| |
| yubikey4hk:funktionen:openpgp:e-mail_verschluesselung [2020-07-13 17:41] – [Privaten Schlüssel vom YubiKey verfügbar machen] Kristoffer Dorfmayr | yubikey4hk:funktionen:openpgp:e-mail_verschluesselung [2023-09-22 20:40] (current) – external edit 127.0.0.1 |
|---|
| |
| ==== Privaten Schlüssel vom YubiKey verfügbar machen ==== | ==== Privaten Schlüssel vom YubiKey verfügbar machen ==== |
| Im Ausschnitt oben hat man bereits meinen öffentlichen Schlüssel gesehen. Dieser hat die Key-ID mit der Endung "AAFAE". Wenn ich aber Enigmail auf einem neuen System installiere ist mein Schlüssel noch nicht am System. In diesem Absatz gehe ich davon aus, dass der eigene Schlüssel noch nicht am System bekannt ist. Ich sehe also nur den zuvor hinzugefügten Schlüssel von Troye:\\ | Im Ausschnitt oben hat man bereits meinen öffentlichen Schlüssel gesehen. Dieser hat die Key-ID mit der Endung "59C51". Wenn ich aber Enigmail auf einem neuen System installiere ist mein Schlüssel noch nicht am System. In diesem Absatz gehe ich davon aus, dass der eigene Schlüssel noch nicht am System bekannt ist. Ich sehe also nur den zuvor hinzugefügten Schlüssel von Troye:\\ |
| {{yubikey4hk:funktionen:openpgp:thunderbird_enigmail_privavail_troye.png?500|}} \\ | {{yubikey4hk:funktionen:openpgp:thunderbird_enigmail_privavail_troye.png?500|}} \\ |
| Da es sich bei den privaten Schlüsseln am YubiKey ausschließlich um Subschlüssel handelt, benötigen wir im lokalen Schlüsselbund zumindest den öffentlichen Schlüssel. Dieser liefert uns die notwendigen Informationen über die Struktur unseres OpenPGP-Schlüssels. Der gesamte OpenPGP-Schlüssel besteht nämlich aus dem Hauptschlüssel (dieser hat den Fingerprint mit der Endung "AAFAE") und den drei zugehörigen Subschlüsseln deren private Teile sich am YubiKey befinden. Um nun den eigenen öffentlichen Schlüssel zu importieren gibt es die gleichen Wege wie oben im Abschnitt [[#Schlüssel importieren|Schlüssel importieren]] beschrieben. Ein Import der öffentlichen Schlüssel direkt vom YubiKey auf das jeweilige System ist nicht möglich, da dafür nicht genügend Informationen über den öffentlichen Schlüssel auf dem YubiKey gespeichert sind! Eine weitere sehr praktische Variante ist die Nutzung der "URL of public key", die wir auf unserem YubiKey [[yubikey4hk:funktionen:openpgp#metadaten_auf_den_yubikey_laden|hinterlegt haben]]. Dieser Weg des Imports ist aber nur über das gpg-Kommando möglich. Einfach den YubiKey am System anstecken und in der Kommandozeile folgende Befehle ausführen: | Da es sich bei den privaten Schlüsseln am YubiKey ausschließlich um Subschlüssel handelt, benötigen wir im lokalen Schlüsselbund zumindest den öffentlichen Schlüssel. Dieser liefert uns die notwendigen Informationen über die Struktur unseres OpenPGP-Schlüssels. Der gesamte OpenPGP-Schlüssel besteht nämlich aus dem Hauptschlüssel (dieser hat den Fingerprint mit der Endung "59C51") und den drei zugehörigen Subschlüsseln deren private Teile sich am YubiKey befinden. Um nun den eigenen öffentlichen Schlüssel zu importieren gibt es die gleichen Wege wie oben im Abschnitt [[#Schlüssel importieren|Schlüssel importieren]] beschrieben. Ein Import der öffentlichen Schlüssel direkt vom YubiKey auf das jeweilige System ist nicht möglich, da dafür nicht genügend Informationen über den öffentlichen Schlüssel auf dem YubiKey gespeichert sind! Eine weitere sehr praktische Variante ist die Nutzung der "URL of public key", die wir auf unserem YubiKey [[yubikey4hk:funktionen:openpgp#metadaten_auf_den_yubikey_laden|hinterlegt haben]]. Dieser Weg des Imports ist aber nur über das gpg-Kommando möglich. Einfach den YubiKey am System anstecken und in der Kommandozeile folgende Befehle ausführen: |
| <code bash> | <code bash> |
| kali@kali:~$ gpg --edit-card | kali@kali:~$ gpg --edit-card |
| Mit einem Rechtsklick auf den Schlüssel "Sign Key" öffnet sich das Fenster zum Signieren des Schlüssels: \\ | Mit einem Rechtsklick auf den Schlüssel "Sign Key" öffnet sich das Fenster zum Signieren des Schlüssels: \\ |
| {{yubikey4hk:funktionen:openpgp:enigmail_sign2.png?600|}} \\ | {{yubikey4hk:funktionen:openpgp:enigmail_sign2.png?600|}} \\ |
| Wenn man mehrere Schlüssel im privaten Schlüsselbund hat, welche die "Certify" Eigenschaft besitzen, kann man diese über das "Key for signing" Drop-Down Menü auswählen. Ich habe nur den einen Hauptschlüssel mit der Endung "AAFAE" und werde mit diesem, den öffentlichen Schlüssel von Troye signieren. \\ Die Abfrage, wie genau man die Authentizität des Schlüssels überprüft hat, hat Auswirkung auf den Signaturtyp<sup>[[#Quellen|[4, Kapitel 5.2.1]]]</sup>, der im Signaturpaket vermerkt ist. Im Grunde ist das für Enigmail aber unerheblich - signiert ist signiert. \\ Die Auswahl "Local signature" ermöglicht es, schlüssel lokal, also nicht exportierbar zu signieren. Das heißt, dass sich Enigmail die Signatur merkt, das Signaturenpaket aber nicht im GPG-Schlüsselbund an den jeweiligen Schlüssel angehängt wird. Exportiert man diesen signierten öffentlichen Schlüssel wird eine lokale Signatur also nicht mit-exportiert. Sollte man später von einer lokalen Signatur auf eine "normale" Signatur umsteigen wollen, kann man den Schlüssel einfach erneut signieren, nur ohne die Auswahl der lokalen Signatur. \\ Nach Bestätigen des Dialoges und Eingabe der Passphrase wird meine Signatur dem öffentlichen Schlüssel angehängt. Ersichtlich ist diese Signatur in den Schlüsseleigenschaften des signierten Schlüssels (//rechtsklick/Key Properties/Certifications//): \\ | Wenn man mehrere Schlüssel im privaten Schlüsselbund hat, welche die "Certify" Eigenschaft besitzen, kann man diese über das "Key for signing" Drop-Down Menü auswählen. Ich habe nur den einen Hauptschlüssel mit der Endung "59C51" und werde mit diesem, den öffentlichen Schlüssel von Troye signieren. \\ Die Abfrage, wie genau man die Authentizität des Schlüssels überprüft hat, hat Auswirkung auf den Signaturtyp<sup>[[#Quellen|[4, Kapitel 5.2.1]]]</sup>, der im Signaturpaket vermerkt ist. Im Grunde ist das für Enigmail aber unerheblich - signiert ist signiert. \\ Die Auswahl "Local signature" ermöglicht es, schlüssel lokal, also nicht exportierbar zu signieren. Das heißt, dass sich Enigmail die Signatur merkt, das Signaturenpaket aber nicht im GPG-Schlüsselbund an den jeweiligen Schlüssel angehängt wird. Exportiert man diesen signierten öffentlichen Schlüssel wird eine lokale Signatur also nicht mit-exportiert. Sollte man später von einer lokalen Signatur auf eine "normale" Signatur umsteigen wollen, kann man den Schlüssel einfach erneut signieren, nur ohne die Auswahl der lokalen Signatur. \\ Nach Bestätigen des Dialoges und Eingabe der Passphrase wird meine Signatur dem öffentlichen Schlüssel angehängt. Ersichtlich ist diese Signatur in den Schlüsseleigenschaften des signierten Schlüssels (//rechtsklick/Key Properties/Certifications//): \\ |
| {{yubikey4hk:funktionen:openpgp:enigmail_sign3.png?500|}} \\ | {{yubikey4hk:funktionen:openpgp:enigmail_sign3.png?500|}} \\ |
| Hier können ohne weiteres auch mehrere Signaturen aufscheinen. Einerseits die Signaturen des Hauptschlüssels über sich selbst und seine Subschlüssel, andererseits Signaturen von den Schlüsseln anderer Nutzer. Mithilfe des Kommandozeilenprogrammes //pgpdump// kann man sich den genauen Aufbau eines Schlüssels sehr gut ansehen. Man sieht hier das hinzugefügte Signaturpaket (Zeile 13), das mit meinem Schlüssel mit der Endung "AAFAE" (Zeile 19) über den öffentlichen Schlüssel (Paket beginnt in Zeile 2) und die Identität (Paket beginnt in Zeile 8) erstellt wurde: | Hier können ohne weiteres auch mehrere Signaturen aufscheinen. Einerseits die Signaturen des Hauptschlüssels über sich selbst und seine Subschlüssel, andererseits Signaturen von den Schlüsseln anderer Nutzer. Mithilfe des Kommandozeilenprogrammes //pgpdump// kann man sich den genauen Aufbau eines Schlüssels sehr gut ansehen. Man sieht hier das hinzugefügte Signaturpaket (Zeile 13), das mit meinem Schlüssel mit der Endung "59C51" (Zeile 19) über den öffentlichen Schlüssel (Paket beginnt in Zeile 2) und die Identität (Paket beginnt in Zeile 8) erstellt wurde: |
| <code bash [enable_line_numbers="true"]> | <code bash [enable_line_numbers="true"]> |
| kali@kali:~$ pgpdump finnegan.troye_pub.asc | kali@kali:~$ pgpdump finnegan.troye_pub.asc |
