| |
DG9EP > LEXIKON 26.03.05 11:43l 957 Lines 34110 Bytes #999 (0) @ DL
BID : 271707DB0IZ
Read: GUEST DG5YMS DD3IA
Subj: FAQ: P G P im AFu (Text-Format)
Path: DB0KCP<DB0ZKA<DB0LX<DB0RBS<DB0SWR<DB0FP<DB0ERF<DB0HSK<DB0SGL<DB0MKA<
DB0IZ
Sent: 970127/1606z @:DB0IZ.#NRW.DEU.EU [JO31NE, Op: DL6EE] $:271707DB0IZ
de DG9EP @ DB0IZ.#NRW.DEU.EU (Walter)
to LEXIKON @ DL
(Der gleiche Text wurde gestern im HTML-Format eingespielt. Auf Euren Wunsch
hin hab ich ihn durch einen Konverter gejagt, so dass er nun als reiner Text
vorliegt. Inhaltlich hat sich nichts geändert)
Installation und Anwendung von PGP im Amateurfunk
Pretty Good Privacy Version 2.6.3i
---------------------------------------
Installation und Anwendung von PGP im Amateurfunk
-
Basierend auf einem Text von Perry Metzger,
Colin Plumb, Derek Atkins,
Jeffrey I. Schiller und anderen
Angepasst für PGP 2.6.3i durch Stale Schumacher
Übersetzt und angepasst
für den Amateurfunkbereich durch DG9EP
Version 0.6
26.Jan.97
---------------------------------------------------------------------
INHALT
* Schnellstart
* Was ist PGP ?
* Wie installiert man PGP
* Die Umgebung einrichten
* Den eigenen Schlüssel erzeugen
* Überprüfung der PGP Auslieferung
* Lese die Dokumentation!
* Einen fremden öff.Schlüssel finden
* Fremde Schlüssel in den eigenen Schlüsselbund aufnehmen
* Den öff.Schlüssel anderer beglaubigen
* Wo bekomme ich neue Beglaubigungen her?
* Den eigenen öffentlichen Schlüssel bekannt machen
* Wie man einen Text unterschreibt
* Wie überprüft man die Unterschrift unter fremden Texten
* Was man beim unbedingt beachten muss
* PGP-fähige PR-Programme
* He! Das ist doch nur *Amateur*funk - das ist ja alles übertrieben!
* Wo kriegt man die neueste Version dieses Textes her?
* Installation auf einem Amiga
---------------------------------------------------------------------
Vorbemerkungen:
* Ich gehe hier bewusst nicht auf Sicherheitsaspekte ein - diese sind in
der Rubrik PGP schon ausreichend diskutiert worden.
* Eigentlich sollte dieser Text überflüssig sein, denn wer PGP
einsetzen will, sollte es eigentlich 100% verstanden haben.
Allerdings scheint es sinnvoll auf Besonderheiten im AFubereich
extra einzugehen.
* Selbstverständlich ist im AFu - Bereich nur das Signieren (Unterschreiben)
von Texten in Klartext, sowie das Übertragen von öff.Schlüsseln offene
Sprache im Sinne des Gesetzes
* In der Beschreibung wird von einer Installation auf einem PC ausgegangen.
Es gibt allerdings kaum betriebssystemabhängiges ausser Syntax von Dateinamen.
* Im Anhang gibt es Hinweise fuuml: die Installation auf einem
Amiga (von Rainer, DC8YH).
Schnellstart
-------------
Möchte man PGP verwenden, so geht man am besten folgendermassen vor:
* Prüfen, ob man PGP brauchen kann
* PGP besorgen
* Lese die Dokumentation!
* PGP installieren
* Dokumentation lesen
* Einen fremden öff.Schlüssel finden
* Fremde Schlüssel in den eigenen Schlüsselbund aufnehmen
* Überprüfung der Unterschrift unter fremden Texten
* Den eigenen Schlüssel erzeugen
* Wie man einen Text unterschreibt
* Nun spielt man ein wenig mit PGP herum, und schaut, ob man damit zurecht kommt.
Dabei sollte man selber *nichts* verschicken! Gefällt einem PGP so lösche man seinen pubring.pgp und secring.pgp und macht nun ernst:
* Lese die Dokumentation!
* Den eigenen Schlüssel erzeugen
* Wo bekomme ich neue Beglaubigungen her?
* Den eigenen öffentlichen Schlüssel bekannt machen
* Wie man einen Text unterschreibt
Was ist PGP ?
--------------
Mit PGP kann man Texte und Dateien elektronisch unterschreiben, und so gegen
Fälschung schützen.
Weitergehende Funktionen, die PGP anbietet sind im Amateurfunk uninteressant.
PGP besorgen
-------------
In den AFu Mailboxen wurden Versionen eingespielt (z.B. von DL1ALL im April 96).
Sie befinden sich entweder in der Rubrik PGP (z.B. in DB0IZ-0 oder bei DB0AAB),
oder auf einem EL Server (z.B. bei DB0GV: EL S PGP ).
In anderen Boxen wird es wohl ähnlich sein
Wie installiert man PGP
------------------------
PGP wird als Archiv verteilt. Dadurch hat man alle Dateien am Stück
zusammen und man spart Platz auf der Platte und Übertragungszeit.
Die aktuelle Version, 2.6.3i, wurde mit ZIP gepackt. Sie heissen:
PGP263I.ZIP (MSDOS 16-bit)
PGP263IX.ZIP (MSDOS 32-bit)
PGP263I2.ZIP (OS/2 FAT)
pgp263i-os2.zip (OS/2 HPFS)
Diese Archive enthalten die ausführbaren Dateien, die Dokumentation (in
englisch, allerdings sind auch dt. Übersetzungen erhältlich) und einige
Schlüssel (keys) und Unterschriften (signatures).
Der Quellcode (C und Assmbler) ist ebenfalls erhältlich (PGP263IS.ZIP).
Man sollte ihn am selben Ort finden, wo man auch die anderen Archive
her hat. Falls nicht, sendet eine E-Mail an
pgp@hypnotech.com
mit dem Titel (subject field): "INFO PGP" [oder per PR an dg9ep@db0iz].
Man benötigt PKUNZIP version 2.0 (oder höher) um das Archiv auszupacken.
PKUNZIP ist Shareware und ist im allgemeinen auf DOS und OS/2 Rechnern
bereits vorhanden [Ebenso ist i.a. auch der kostenlose Klon UNZIP.EXE
einsetzbar]. Das Auspackprogramm muß natürlich im Pfad liegen.
Nun muss ein Verzeichniss für die PGP Dateien erstellt werden. In dieser
Doku verwenden wir C:\PGP als Beispiel, aber man kann das natürlich
auf seine eigenen Verhältnisse anpassen. [So liegt PGP bei mir z.B. auf
F:\AFU\PGP].
Man gebe also auf der Kommandozeile folgende Kommandos ein [in Windows
erreichbar in der Hauptgruppe als "MSDOS-Eingabeaufforderung"]:
c:
md \pgp
cd \pgp
Nun packen wir das Archiv in diesem Verzeichnis aus. Wir gehen mal davon
aus, daß dieses ZIP-Archiv auf Diskette im Laufwerk A: liegt:
pkunzip -d a:pgp263i
Das erzeugt dann die Dateien PGP263II.ZIP und PGP263II.ASC.
PGP263II.ZIP muss nochmals ausgepackt werden, mit dem Kommando:
pkunzip -d pgp263ii
Wenn man hier das "-d" nicht angibt, werden die Dateien, die normalerweise
in einem DOC-Unterverzeichnis gelandet wären, im C:\PGP gelandet. Das ist
dann m.E. etwas unübersichtlich.
PGP263II.ZIP sollte aber nicht gelöscht werden. Wenn PGP gleich
läuft, kann man mittel PGP263II.ASC die digitalle Unterschrift unter
PGP263II.ZIP zu prüfen. Es sollte die von Stale Schumacher sein (dessen
Schlüssel in KEYS.ASC drin ist).
Die Umgebung einrichten
------------------------
Als nächstes kann man eine Umgebungsvariable des Betriebssystems ("environment
variable") setzen, damit PGP weiss, wo es seine Hilfsdateien findet, falls
man PGP aus einen anderen als dem PGP-Verzeichnis ausfüfhren will.
Mit jedem beleibigen Editor (z.B. EDIT unter DOS; NotePad/Editor unter Windows)
kann man folgenden Zeile in die Datei AUTOEXEC.BAT (DOS) oder CONFIG.SYS (OS/2)
(üblicherweise sind die auf der C: Platte) einfügen:
SET PGPPATH=C:\PGP
SET PATH=C:\PGP;%PATH%
Wenn man ein anderes Verzeichnis als C:\PGP verwendet, muss man dann dieses
im obigen Beispiel einsetzen.
Die CONFIG.TXT Datei enthält einige Voreinstellungen. Man kann damit die
Sprache änderen, in denen PGP sich äussert, und den Zeichensatz der in
den Texten verwendet wird.
Auf IBM-kompatiblen PCs nennt man den normalen Zeichensatz
"Code Page 850" und dieser wird benutzt wenn man
die Zeile
charset = cp850
in die Datei CONFIG.TXT einfügt. [Hier folgt im Original: "You probably
want to add that line". Wie übersezt man das? "Vielleicht möchte man
diese Zeile einfügen"? Klingt doof. Und ist m.E. auch nicht nötig
da unter DOS und OS/2 dieses eh die Voreinstellung ist].
Als Deutschsprachiger sollte man in der Datei CONFIG.TXT die Zeile
Language = en
durch
Language = de
ersetzen. Dann spricht PGP auch deutsch.
Eine andere Variable, die man setzen sollte, heisst "TZ". Diese sagt
dem Betriebssystem, in welcher Zeitzone man sich befindet. Dadurch kann
PGP die Uhrzeit für Schlüssel und Unterschriften in GMT speichern
("create GMT timestamps").
Wenn man TZ in der AUTOEXEC.BAT (bzw. CONFIG.SYS) richtig einstellt,
wird MSDOS (bzw. OS/2) brauchbare GMT-Uhrzeiten erzeugen und automatisch
Sommer- und Winterzeit berücksichtigen.
Ein paar Beispieleinstellungen:
Los Angeles: SET TZ=PST8PDT
Arizona: SET TZ=MST7 (Arizona hat keine Sommerzeit!)
New York: SET TZ=EST5EDT
London: SET TZ=GMT0BST
Düsseldorf: SET TZ=MET-1DST
oder: SET TZ=CET-1DST
Moscow: SET TZ=MSK-3MSD
Aukland: SET TZ=NZT-12DST
[Da sind unsere Freunde etwas zu optimistisch. Im Dunstkreis von Win95 und
TZ habe ich schon einige graue Haare gekriegt.... Man sollte TZ auf
MET-1DST setzen, und bei Sommerzeit auf MET-2DST ändern, dann ist
die Uhrzeit einigermassen genau (+- 1h)]
So. Nun muss man wieder booten, damit PGPPATH und TZ wirksam werden [furchtbar
wg. jedem Mist muss man diese Rechner booten]
Wenn man nach dem Booten in das Verzeichniss C:\PGP (oder wie auch immer es
bei dir heisst) geht, und dort PGP eingibt, sollte sich PGP melden
und höflich vorstellen
Den eigenen Schlüssel erzeugen
------------------------------
Eine der ersten Sachen, die man wirklich mit PGP machen will (ausser es
einfach nur zu testen) ist die Erzeugung eines eigenen Schlüssels.
Dies ist detaillierter im Kapitel "RSA Key Generation" des PGP-Handbuchs
beschrieben.
Man sollte sich klarmachen, daß der Schlässel so etwas wie eine geschriebe
Unterschrift, die PIN der Scheckkarte oder der Generalschlüssel eines Hauses
ist - Also muß man ihn geheim und verschlossen halten.
Also:
PGP -kg
eingeben, und schon geht die Fragerei los.
Als erstes wird nach der
Schlüssellänge gefragt. 768 oder 1024 sind m.E. die besten Werte. Je höher
die Schlüssellänge ist, desto "sicherer" ist der Schlüssel, aber um so
länger dauern die damit verbundenen Operationen.
Anschliessen wird nach der BenutzerID (UserID) gefragt. M.E. sollte
diese für den AFu Bereich etwas so aussehen:
Vorname Nachname <call>
oder
Vorname Nachname <call@mailbox.#region.dl.eu>
also z.B.
Walter Koch <dg9ep@db0iz.#nrw.dl.eu>
Man kann die UserID zwar später jederzeit ändern, doch damit werden
auf diese UserID gemüntzte Beglaubigungen des Schlüssels wertlos.
Danach wird man nach dem "Mantra" gefragt. Dies ist eine dt. Bezeichnung für
Password.
Mit diesem Matra wird die Datei SECRING.PGP vor Ausspähung geschützt.
SECRING.PGP enthält den geheimzuhaltenden Teil des Schlüssel und ist nur mit
Hilfe des Mantras zugreifbar.
Verwende ein langes, nicht zu erratendes und nicht triviales Mantra.
Vergiss dieses Mantra nicht!
Jetzt wird es scheinbar etwas seltsam bis magisch. PGP bittet einen nämlich
irgendwelchen Text auf der Tastatur zu schreiben, um die Zeit zwischen den
Tastendrücken als Startwert für die Berechnung scheinzufälliger
Zahlen für den Key zu bestimmen. Die genaue Erklärung und
Begründung dafür ist etwas aufwendiger. Deswegen spare
ich sie mir hier.
Tut einfach das, was PGP Euch sagt :)
Anschliessend rödelt der Rechner eine ganze Weile, und wenn er dann
fertig ist gibt es zwei neue Dateien (Schlüsselbund/Keyring):
* PUBRING.PGP dort ist der öffentliche Teil des neuen Keys drin (und
neue fremde Schlüssel werden automatisch dort landen)
* SECRING.PGP enthält den geheimen Teil des Schlüssels, der
sofort auf einer Diskette gesichert werden sollte, die anschliessend
schreibgeschützt wird (den kleinen Schieber schieben)
[SECRING.PGP darf auf keinen Fall in die Hände anderer fallen. Also darauf
achten, daß niemand Zugang zu dem Rechner hat, oder ein RemoteVerzeichniss
darauf zeitg].
M.E. sollte man jetzt auch mal den PUBRING.PGP sichern (also eine Kopie
davon machen).
Jetzt kan man ein paar andere öffentliche Schlüssel in den
Schlüsselbund reintun.
Als Beispiel sind ein paar Beispielschlüssel in der Datei KEYS.ASC zu
finden.
Man fügt sie hinzu in dem man einfach
PGP -ka KEYS.ASC
eingibt.
Überprüfung der PGP Auslieferung
-------------------------------
So, da PGP läuft und einige öffentlich Schlüssel (z.B. aus KEYS.ASC) drin
sind, kann man die Seriösität der benutzen Auslieferung ("distribution")
überprüfen.
Das geht so:
pgp pgp263ii.asc
PGP sagt dann, daß pgp263ii.asc eine Unterschrift, aber keinen Text
enthält. Es fordert einen dann wohl auf einen Dateinamen einzugeben der
zu der Unterschrift gehört.
Man gebe nun "pgp263ii.zip" ein [ man könnte auch direkt
pgp pgp263ii.asc pgp263ii.zip
eingeben]
PGP sollte einem dann sagen:
BESTÄTIGTE Unterschrift von Stale Schumacher
Ausserdem sagt er dann noch was davon daß er diesem Schlüssel nicht traut
("WARNUNG: Da dieser öffentliche Schlüssel nicht mit einer vertrauenswürdigen
Unterschrift beglaubigt ist, ist nicht sicher, daß er wirklich zu
"Stale Schumacher " gehört.").
Das liegt daran, dass
PGP nicht wissen kann, daß der Key in KEYS.ASC wirklich zu Herrn Schumacher
gehört [Das wird in der Rubrik PGP des öfteren mal gefragt und erklärt].
Man lese deshalb den Abschnitt "How to Protect Public Keys from Tampering"
in Band 1 des PGP Handbunch.
Lese die Dokumentation!
------------------------
LESE die Dokumentation! Zumindest Band I des PGP-Handbuchs
("PGP User's Guide", den es wohl auch auf deutsch gibt).
Signatur Software kann man leicht falsch verwenden/bedienen. Und wenn man
Sie nicht richtig benutzt, geht viel von der Sicherheit, die sie einem
bieten kann, verloren!
Vielfach sind einem auch die Konzepe der asymetrischen Verschlüsselung und
Signatur nicht vertraut, das Handbuch erläutert sie.
Auch wenn man diese Konzepte schon kennt, ist es wichtig, wie diese Konzepte
in PGP verwirklicht wurden.
PGP mag ein unknackbares Schloss sein, aber man muss es richtig an der
Tür anbringen, oder es ist nutzlos.
[ab hier ist der Text komplett auf meinem Mist gewachsen]
Einen fremden öff.Schlüssel finden
---------------------------------
Wo findet man einen fremden Schlüssel?
* Im BBS-System in der Rubrik PGP (allerdings haben einige Boxen diese
Rubrik offenbar als unerwünscht gekennzeichnet,
aber z.B. in DB0AAB, DB0GV oder DB0IZ sind sie hinreichend lange drin)
* Im direkten QSO mit demjenigen, dessen Schlüssel man sucht.
* Im QSO mit irgendwem anderen oder im Convers danach fragen.
* Auf einem sog. Keyserver im Internet z.B.
* http://dh1dae.nue.et-inf.uni-siegen.de/cgi-bin/pgp/frontend.cmd
* http://swissnet.ai.mit.edu:11371/pks (nicht getestet)
* http://ourworld.compuserve.com/homepages/WalterKoch/pgp.htm
Aber: Egal woher der Key dann ist - immer dran denken, daß ein Key ohne
richtige Beglaubigung nicht viel wert ist.
Fremde Schlüssel in den eigenen Schlüsselbund aufnehmen
------------------------------------------------------
Findet man in der Box neue Schlüssel (meist in der Rubrik PGP, erkennbar
am Text: ---BEGIN PUBLIC KEY BLOCK ---), so kann man sie dem eigenen
Schlüsselbund hinzufügen, um Texte des Einspielers verifizieren zu
können.
Hat man ein PGP-fähiges PR-Programm so geht das hinzufügen
vollautomatisch.
Ansonsten schreibt man am besten die ganze Mailbox-Session mit ("SAVE")
und ruft amschliessend PGP mit dem Filename auf
PGP -ka <filename>
z.B.
PGP -ka save0001.txt
Daraufhin untersucht PGP den Text nach neuen Schlüsseln, prüft sie
und fügt sie dem Schlüsselbund hinzu.
PGP findet dabei auch mehrere im Text vorkommenden neue Schlüssel.
Man wird während des Vorgangs u.U. gefragt, ob man jemanden vertrauen will
bzw. ob man sich sicher ist, ob ein Schlüssel wirklich zu demjenigen
gehört, der in der UserID steht. Ist man sich irgendwie unsicher sollte man
immer "Nein" bzw. "Ich weiss nicht" wählen.
Den öff.Schlüssel anderer beglaubigen
------------------------------------
Ist man sich absolut sicher, daß ein Schlüssel wirklich dem behaupteten
Benutzer gehört, und dieser bittet einem, seinen Schlüssel zu beglaubigen
oder zu unterschreiben (was dasselbe ist), geht man folgendermassen vor.
Man besorgt sich den Schlüssel des Anderen (z.B. aus der Rubrik PGP oder
aus einem DirektQSO), überprüft die Echtheit
des Anderen (NICHT über AFu!!! sondern auf einem anderen Weg UND
aus erster Hand!!! - Bester Weg: Auf einem Afu-Treffen o.ä).
Diesen fügt man seinem Schlüsselbund hinzu (s.o.)
Danach gibt man ein:
pgp -ks <FremdCall>
Danach fragt PGP normalerweise nochmal nach ob man wirklich den fremden
Schlüssel beglaubigen will. Danach schreibt PGP das Ergebnis dann
in die Datei PUBRING.PGP mit hinein.
Nun kann man sich mit
PGP -kvv <FremdCall>
ansehen, ob man es richtig gem8 hat.
Nun kann man mit
PGP -kxa <FremdCall>
eine versendbare Datei <FremdCall>.ASC erzeugen, die den nunmehr
beglaubigten Schlüssel enthält und an <FremdCall> per
BBS verschicken.
Man sollte ihn NICHT in die Rubrik PGP (oder sonstwo öffentlich)
einspielen, da für die Verbreitung einen Schlüssels und
seiner Unterschriften m.E. nach nur der Eigentümer verantwortlich
ist.
Achtung: Mit so einer Unterschrift BÜRGT man mit seinem guten Ruf
für die ECHTHEIT des Schlüssel des anderen, entsprechend
vorsichtig sollte man sein!
Aber: Man haftet natürlich nicht für den INHALT von Texten,
die jemand mit diesem Key unterschreibt.
Es macht keinen grossen Sinn, wenn man einen anderen Schlussel beglaubigt,
aber sein eigenen Schlüssel nicht verteilt.
Wo bekomme ich neue Beglaubigungen her?
----------------------------------------
Am einfachsten von Leuten, die man kennt regemässig auch sieht.
Auf Messen und Tagungen etc. Da sollte man sich für vorbereiten:
* Sich verabreden, damit man einen Tauschpartner hat :-)
Besonders nett sind Veranstaltungen, die einen Treffpunkt
für sowas ausgezeichnet haben.
* Auf Papier den eigenen Schlüssel-Fingerabdruck (fingerprint)
und die Key-ID ausdrucken/aufschreiben. Das sind 16 Hex-Zahlen,
die man mit
PGP -kvc <Eigenes_Call>
sich anzeigen lassen kann. Bei mir sieht das etwas so aus:
Typ Bits/ID Datum Benutzer
öff 1024/18A85CC1 1995/08/29 Walter Koch <dg9ep@db0iz.#nrw.deu.eu>
Fingerabdruck des Schlüssels: 33 D4 AE EF D6 17 78 41 CF 66 ED 9D 22 3C 53 48
Diesen Zettel gebe man dann auf der Messe den potentiellen Beglaubiger
und zeige ihm dann auf Verlangen einen (Ausweis Lis) Übrigens:
Wenn der andere NICHT von selber nach meiner ID fragt, so würde ich
mir das merken, und denjenigen bei mir als nicht vertrauenswürdig
kennzeichnen - er ist nämlich offenbar zu gutgläubig... :-)
Natürlich kann man auch Disketten mit seinem öffentlichen Key
verteilen. Was man NICHT machen sollte: Den Laptop mit rumschleppen,
und auf der Stelle fremde Keys beglaubigen. Abgesehen davon, daß man
Dich sehr einfach bei Eintippen des SecRing-Passwortes beobachten kann,
ist ja Dein geheimer Schlüssel auf dem Laptop...
Wieder zu Hause besorge man sich irgendwie (z.B. aus der Rubrik PGP) den
Key des Schlüsselbesitzers. Den füge man seinem Schlüsselbund hinzu,
testet ihn wiederum mit
pgp -kvc <SeinCall>
Sind die Zahlen auf dem
Zettel nun gleich denen, die PGP jetzt anzeigt, kann man davon ausgehen,
daß dies der echte Schluessel ist. Diesen kann man nun - wenn man
möchte - beglaubigen ( PGP -ks <SeinCall> ) und ihm dem
Schlüsselbesitzer z.B. per PR schicken.
Den eigenen öffentlichen Schlüssel bekannt machen
------------------------------------------------
Man muss natürlich eine Schlüsselpaar erzeugt haben (s.o.).
Den eigenen Key auch selber unterschreiben (warum steht im PGP - FAQ).
Das geht mit
pgp -ks <deinCall> -u <deinCall>
als z.B.
pgp -ks dg9ep -u dg9ep
Nun muss man jemanden finden, der einem den Public Key beglaubigt -
möglichst jemanden der schon "bekannter" ist, oder dessen Schlüssel
von einem "Bekannteren" unterzeichnet wurde.
Wie das geht, ist unter Den öff.Schlüssel anderer
beglaubigen aus der Sicht des bekannteren beschrieben.
Einen nicht unterzeichenten Schlüssel ins Netz zu spielen macht nicht
allzuviel Sinn...
Den eigenen nunmehr beglaubigten *K*ey aus dem Schluesslbund e*X*trahieren
und in eine *A*scii-Datei schreiben. Das geht mit:
PGP -kxa
Dann wird im Dialog (oder auf modischdeutsch:"interaktiv") nach der
BenutzerID gefragt. Normalerweise reicht es dann das eigene Rufzeichen
einzugeben.
Dann wird nach dem Dateiname gefragt, wo der Schlüssel rein soll. Da kann
man was beliebiges eintragen - man sollte sich nur daran erinnern, denn
dieser File wird nachher zur Box hochgeladen.
Man kann auch:
pgp -kxa <DeinCall> <Ausgabedateiname>
machen, also z.B.
pgp -kxa dg9ep c:\tmp\dg9ep.txt
So, nun ab in die Box damit. Ein
S PGP@DL Public Key <DeinCall>
abgeschickt, und die gerade erzeugte Datei als TEXT abschicken (Aber ohne
jede Umlautwandlung, bitte).
Fertig.
Übrigens:
Nie den PUBRING.PGP selber versenden (warum steht im Handbuch), und
niemals, niemals, niemals SECRING.PGP per Remote zugreifbar machen oder
gar versenden!
Wie man einen Text unterschreibt
---------------------------------
Hat man eine PGP-fähiges PR-Programm ist es sehr einfach. Bei GP/2 ruft
man den Maileditor auf, schreibt seinen Text, und kreuzt vor dem Senden
das entsprechende Feld ("Signatur") und gibt im Feld daneben das Passwort
an. Fertig.
Ansonsten:
Mit einem Texteditor (EDIT, NotePad oder dem Editor von GP-DOS...) den Text
schreiben und abspeichern.
Verwendet man ein Textverarbeitung, so muss man es als "MSDOS-Text"
abspeichern.
Den Text signieren:
PGP -sat <textdateiname>
anschliessend wird nach dem Passwort gefragt. Danach rödelt der Rechner
ein bischen und erzeugt eine Datei mit der Endung .ASC.
Diese versendet man dann mit Texttransfer o.ä in die BBS.
ACHTUNG: Beim Senden darf keine Umlautwandlung oder ähnliches
eingeschaltet sein (z.B. in GP/DOS nimmt der Texteditor Wandlungen vor).
Wie überprüft man die Unterschrift unter fremden Texten
------------------------------------------------------
Hat man ein PGP-fähiges PR-Programm
so geht dies vollautomatisch.
Ansonsten schreibt man am besten die ganze Mailbox-Session mit ("SAVE")
und ruft amschliessend PGP mit dem Filename auf
PGP <filename>
z.B.
PGP save0001.txt
Daraufhin untersucht PGP den Text nach unterschriebenen Texten, prüft sie
und gibt seinen Kommentar dazu aus (PGP findet bei einem Aufruf lediglich
mit einem Filenamen als Argument alle in dieser Datei vorkommenden
Unterschriften und erkennt auch neue PublicKeys und neue Unterschriften
unter bereits vorhandenen Schlüsseln, die er nach Nachfrage auch
automatisch in den Schlüsselbund aufnimmt. Man braucht also -
ausser beim Unterschreiben selber - fast nie irgendwelche Optionen
anzugeben).
Die möglichen Antworten von PGP:
---------------------------------------------------------------------
BESTÄTIGTE Unterschrift von "Ulf Saran, DH1DAE",
Unterschrift erzeugt am 1996/11/25 15:48 GMT mit 768-Bit-Schlüssel 0xB496469D.
Text Unteschrift stimmt, und stammt von DH1DAE.
Alles in Ordnung. Prima. Problemlos. Hurra.
---------------------------------------------------------------------
WARNUNG: Die Unterschrift stimmt nicht mit dem Datei-Inhalt überein!
FEHLERHAFTE Unterschrift von "Ulf Saran, DH1DAE",
Unterschrift erzeugt am 1996/11/25 15:48 GMT mit 768-Bit-Schlüssel 0xB496469D.
Ups. Das ist eindeutig. Im AFu Bereich passiert sowas aber nicht nur durch
einen bewussten Fälschungs-Versuch, sondern auch durch
Übertragungsfehler oder
vorhanden Umlautkonvertierungen der PR-Terminalprogramms [ich habe diese
Meldung erzeugt, indem ich den signierten Text änderte - also einen
Fälschungsversuch vornahm...].
Also ganz schnell die Einspielbox connecten und nochmals den Text auslesen.
Ist dieser auch falsch, dann sofort Sysops und den Rufzeicheninhaber
verständigen (möglichst nicht per PR...). Und eine kleine Mail
in die gleiche Rubrik setzen.
Und - natürlich - bis zur Klärung des Sachverhalts den Inhalt der
Mail ignorieren.
---------------------------------------------------------------------
Der zur erwarteten Schlüssel-ID F5780045 passende Schlüssel
ist nicht in der Datei 'pubring.pgp' enthalten.
Dateiname des öffentlichen Schlüssels:
WARNUNG: Ich kann den passenden öffentlichen Schlüssel nicht finden.
Eine Überprüfung der Unterschrift ist nicht möglich.
Spricht (hoffentlich) für sich selber.
S.a. Einen fremden öff.Schlüssel finden"
---------------------------------------------------------------------
FEHLER: Falsche Prüfsumme der Versandhülle
FEHLER beim Entfernen der Versandhülle von Datei 'xyz'.
Da ist was fürchterlich schief gegangen. Offenbar ist die Signatur (das
ist dieses Buchstaben und Zahlengewirr unter dem Text:
-----BEGIN PGP SIGNATURE----
Version: 2.6.3i
Charset: noconv
iQB1AwUBMpm/wQ3Vofu0lkadAQG9wgL9FAYbQVf+II3ByfpD6k6+c5LSypas0On2
t2kLkzNoa9ho6Xjk0d4xA3TJnlWXfHn5seFAcspmrPaDGdilSWp+Hzh8zUv+hsZ/
4cXoIo4JOkxnLP13djRE547UhJGRv8Ff
=Yjpr
-----END PGP SIGNATURE----
) formal nicht korrekt. Ursache wie oben, oder mal wieder ein plumper
Versuch PGP zu veralbern (durch nachgeäffte Buchstaben und
Zahlenkombinationen).
---------------------------------------------------------------------
FEHLER: Die Datei 'xyz' ist nicht verschlüsselt
und enthält weder eine Unterschrift noch einen oder mehrere Schlüssel.
Da wurde wohl versucht eine Datei zu überprüfen, in der nix von PGP
bearbeitbares drin ist.
---------------------------------------------------------------------
Und dann gibt es noch die Variante:
BESTÄTIGTE Unterschrift von "Stale Schumacher ",
Unterschrift erzeugt am 1996/01/18 13:56 GMT mit 1024-Bit-Schlüssel 0xCCEF447D.
#7
WARNUNG: Da dieser öffentliche Schlüssel nicht mit einer vertrauenswürdigen
Unterschrift beglaubigt ist, ist nicht sicher, daß er wirklich zu
"Stale Schumacher " gehört.
D.h. daß die in der Datei vorhandene Unterschrift zu dem Text passt,
und daß der Schlüssel mit dem diese Unterschrift erzeugt wurde,
wirklich die ID 0xCCEF447D hat. Aber es ist eben nicht sicher,
daß dieser Schlüssel wirklich von Herrn Schumacher
eingespielt und benutzt wurde. Denn niemand (oder niemand, den wir
vertrauenswürdig finden) hat diese Tatsache beglaubigt.
Das ist übrigens eins der beiden zentralen
Verständnissschwierigkeiten gewesen, als PGP sich im AFu
breitmachte (das andere war die Sache mit der offenen Sprache).
Was man beim unbedingt beachten muss
-------------------------------------
Ich habe zwar gesagt, ich will auf Sicherheitsaspekte nicht eingehen,
aber trotzdem:
1) Gib niemals Deinen privaten Schluessel in fremde Hände!
2) Schuetze Deinen privaten Schluessel immer mit einem nicht trivialen Passwort!
3) Fertige eine Sicherheitskopie Deines privaten Schluessels an und
verwahre Sie an einem sicheren Ort. Wenn Du den Schluessel verlierst
und einen neuen anfertigen musst, ist Dein frueherer oeffentlicher
Schluessel nicht mehr gueltig und muss gegen den neuen ausgetauscht
werden!
4) Akzeptiere niemals blind einen oeffentlichen Schluessel, dessen
Herkunft Du nicht kennst und von keiner Person unterschrieben ist, der
Du uneingeschraenkt vertrauen kannst!
5) Beglaubige niemals einen fremden Schluessel, ohne Dich vorher selbst
ueber dessen Authentizitaet ueberzeugt zu haben (z.B. durch Erfragen
des Fingerabdrucks beim Besitzer des Schluessels). Mit Deiner
Unterschrift verbuergst Du Dich fuer die Echtheit des Schluessels!
Selbst, wenn der Schluessel bereits von einer anderen Person signiert
ist, vertraue in diesem Fall der Signatur nicht blind! Sei besonders
vorsichtig, wenn Du um die Beglaubigung eines Schluessels gebeten
wirst. Stellt sich ein von Dir beglaubigter Schluessel spaeter als
gefaelscht heraus, hat dies negative Auswirkungen auf Deine
Glaubwuerdigkeit!
(Hemmungslos kopiert bei DH1DAE)
PGP-fähige PR-Programme
-----------------------
GP/2 für OS/2
von DH1DAE.
Dieses kann automatisch alle für AFu relevante
PGP-Funktionen ausführen (ueberpruefen, signieren, Keys hinzufuegen)
wenn eine funktionsfähige PGP Installation vorhanden ist.
MCuT (DOS) von DG4IAD enthaelt rudimentaere
PGP-Untersuetzung. Signaturen werden automatisch
ueberprueft und Nachrichten, die im internen Editor geschrieben wurden,
koennen signiert werden.
Das ganze ist am 8.12.96 in die Rubrik SOFTWARE eingespielt worden.
Gerd-Michael, DL5FBD@DB0GV hat ein Programm BOXPGP geschrieben, was in
Mailboxen (z.B. DB0GV) läuft.
Man ist momentan sehr geteilter Meinung ob dies Sinn macht, aber für
C64 Besitzer ist es wohl die einzige Möglichkeit, eine Unterschrift
zu begucken...
Von Andreas (DG1KFA @ DK0MWX.#NRW.DEU.EU) gibt es ein Program namens
PGPSERV. Auszug aus der Ankündigung:
"PGPSERV ist ein in (soweit getestet) jeder
PR-Software einsetzbares Remote-Programm, um einen
fernsteuerbaren PGP-Keyserver aufzubauen. Es eignet
sich sowohl für den Einsatz im Mailboxen
(getestet nur mit BayBox) als auch in herkömmlichen
Terminal-Programmen wie GP, SP, BayCom, Air-TE und
wahrscheinlich auch den meisten anderen (nicht getestet)."
Es gibt diverse Oberflächen ("Shells") für PGP, die einen
menügesteurten Zugriff auf alle PGP-Funktionen erlauben. Welche
Programme es alles gibt weiss ich nicht, aber eine Suche in den diversen
Suchmaschinen mit den Schlagworten
PGP Shell Menu
sollte zu einem ausreichenden Ergebniss führen.
Hee! Das ist doch nur *Amateur*funk - das ist ja
alles übertrieben!
-----------------------------------------------------------------
Oder wie z.B. DL7QG formulierte:
WER? hat WARUM? ein so vehementes Interesse an der Durchsetzung von PGP
im Hobby "Amateurfunk"?
Worauf DH1DAE u.anderem antwortete:
WER? hat WARUM? ein so vehements Interesse GEGEN die Anwendung von PGP im
Hobby "Amateurfunk"?
Amateurfunkinhalte sind per Definition unwichtig. Also weshalb stört
PGP dann? Es ist halt so, dass im AFu manchmal Sachen gemacht werden, die
unnoetigt erscheinen. Aber das ist doch in Ordnung... Ansonsten koennte man
auch sagen: Wozu funken? Ruf doch einfach mit Telefon an.
Wo kriegt man die neueste Version dieses Textes her?
-----------------------------------------------------
Die aktuellste Version ist immer per PR in DB0IZ-0 (und in anderen Mailboxen)
in der Rubrik PGP zu finden.
Im Internet gibt es auf meiner
PGP-Seite
einen Link hierhin
Es gibt auch ein
deutsches
Handbuch von PGP.
Es wurde auch von DG1DAC im Juni 96 ins BBS System eingespielt (Rubrik PGP,
BID: 216608DB0ERF, Title: "Alles ueber PGP" )
---------------------------------------------------------------------
Installation auf einem Amiga
-----------------------------
(A500+, 2MB RAM, keine HD)
von Rainer, dc8yh @ db0ea
Auch PGP fuer den Amiga wird als Archiv verteilt. Man kann es
sich als Funkamateur entweder vom EL-Fileserver DB0NOS-8,
Verzeichnis C:\EL\AMIGA\UTILS, von der CD 2/95 der Zeitschrift AMIGA
plus oder vom einem FTP-Server des AMINET bzw. einer entsprechenden
AMINET-CD, Pfad util/crypt, herunterladen.
Ich habe die Version 2.6.3i von DB0NOS. Nach dem Extrahieren und
Dekodieren mit 7Plus erhaelt man das Archiv PGPAmiga-2.6.3is.lha .
Zum Auspacken benoetigt man LhA, ich benutze die Version 1.38 .
Das Archiv ist nach dem Auspacken 955164 Byte gross und passt
somit nicht mehr auf eine DD-Diskette. Besitzer eines Amigas ohne
Festplatte sollten aber dennoch weiterlesen.
Zuerst werden in der Shell die Befehle copy, delete, list und
rename mit
resident c:....
speicherresident gemacht.
Dann habe ich LhA auf die RAM-Disk (2MB) kopiert und das
PGP-Archiv mit
lha x DF0:PGPAmiga-2.6.3is.lha RAM:
in das RAM ausgepackt. Man erhaelt im Verzeichnis RAM:PGPAmiga-
2.6.3i die Dateien PGPAmiga-263i.asc und PGPAmiga-263i.lzh sowie
den File ReadMe.1st.
Als Nächstes legt man eine vorformatierte und PGP genannte Dis-
kette in das Laufwerk ein und wechselt das aktuelle Verzeichnis:
cd RAM:PGPAmiga-2.6.3i
Danach:
copy ReadMe.1st PGP:ReadMe_by_Peter_Simons clone
Aus Platzgruenden werden nur die benoetigten Files aus dem Archiv
ausgepackt und auf die Diskette geschrieben:
lha x PGPAmiga-263i.lzh bin/#? RAM:
Das Verzeichnis RAM:bin enthaelt nun zwei PGP-Versionen, die fuer
die beiden Motorola CPUs 68000 und 68020 uebersetzt wurden. Eine
Version - bei mir ist es die fuer die CPU 68020 - kann geloescht
werden, die andere wird umbenannt:
delete RAM:bin/PGP263i-020
rename RAM:bin/PGP263i-000 RAM:bin/PGP
Dann wird das komplette Verzeichnis auf die Diskette kopiert:
copy RAM:bin/#? PGP: clone
Und weiter:
lha x PGPAmiga-263i.lzh doc/#? PGP:
lha x PGPAmiga-263i.lzh src/#? PGP:
lha x PGPAmiga-263i.lzh keys.asc PGP:
lha x PGPAmiga-263i.lzh readme.#? PGP:
lha x PGPAmiga-263i.lzh setup.doc PGP:
Nach dem Sichern der Originalversion der Konfiguration ist diese
mit dem betriebssystemeigenen Editor anzupassen:
cd PGP:
copy config.txt config.bak clone
ed config.txt
Im Wesentlichen gilt die Beschreibung fuer den PC von Walter,
DG9EP. Amiga-spezifisch sind jedoch die Eintraege:
CharSet = noconv
TMP = "RAM:T"
TZFix = -7
Mit TZFix = -7 zeigt mein Amiga die systeminterne Uhrzeit in GMT
an.
Bei der Benutzung von PGP sollte man mit
cd PGP:
in das Verzeichnis der Diskette PGP: wechseln. Files, die man
unterschreiben will oder deren Unterschrift ueberprueft werden soll,
werden entweder vorher in die RAM-Disk kopiert (verhindert haeufigen
Diskettenwechsel) oder mit vollem Pfadnamen eingegeben.
Die Amiga-Version der PGP-Auslieferung traegt uebrigens die
Unterschrift von Peter Simons <simons@peti.rhein.de>.
Besitzer eines Amiga mit Festplatte haben es bei der Installation
und Benutzung von PGP etwas leichter und koennen meine Anleitung
sicher entsprechend anpassen.
---------------------------------------------------------------------
Dank für die Hilfe bei der Erstellung an alle Diskussionsteilnehmer in
der BBS-Rubrik PGP, insbesondere an DH1DAE, der ausserdem durch seinen
PGP-Vortrag auf der
12. Internationalen PR-Tagung in Darmstadt den PGP - Stein im AFu mit ins
Rollen brachte, und Dank an alle Lieferanten von Textbeiträgen.
---------------------------------------------------------------------
Dies ist eine vorläufige Version des Textes. Ich bitte um Resonanz
(Tippfehler, Sachliche Fehler oder Ergänzungen, offene Fragen etc.) an
dg9ep@DB0IZ oder an meine E-Mail
Adresse
Alle Angaben ohne Gewähr.
Verbreitung des Textes nur im Sinne der
ALAS.
Read previous mail | Read next mail
| |
