CryptoPartyGraz

‘Emailverschlüsselung mit GnuPG’

„Lukas Prokop“ ⟨admin@lukas-prokop.at⟩

16. März 2013

CryptoPartyGraz talk

Was ist GnuPG?

Abk. Gnu Privacy Guard

Kryptographische Software
GPLv3 lizensiert (freie Alternative zu PGP) und Teil des GNU Projekts
GNU/Linux, Mac OS X, Windows (und unixoide Systeme)
Implementiert OpenPGP-Standard (RFC 4880 und RFC 3156)
Verschlüsseln, Entschlüsseln, Signieren, Prüfen

Wozu und wieso Krypto?

Wir haben etwas zu verbergen (vielleicht nicht heute)
Wir brauchen Vertraulichkeit, Authentifizierung und Datenintegrität
Wenn Krypto sinnfrei wäre, hätten wir keine CryptoParty 😏

Asymmetrische Verschlüsselung

Ziel: Vertrauliche Kommunikation (oder mehr 😊)

Jede Entität (Person, Körperschaft, Sockenpuppe) besitzt einen öffentlichen und privaten Schlüssel. Diese werden verwendet, um Nachrichten zu verschlüsseln, entschlüsseln, signieren und zu prüfen.

Anforderungen an GnuPG:

Vertraulichkeit: Keine dritte Person erhält Kenntnis vom Inhalt der Nachricht.
Authentifizierung: Nur der gewünschte Empfänger kann die Nachricht lesen.
Datenintegrität (bzw. Authentizität): Niemand hat die Nachricht gegen eine Fälschung ausgetauscht
Verfügbarkeit: zuverlässig, schnell, ausfallssicher, benutzbar

Konzept #1
Verschlüsseln

Problemstellung: Vertraulichkeit einer übertragenen Nachricht
Verwendet: Asymmetrische Kryptographie

Verschlüsseln

Bob und Alice

1. Schlüssel generieren

Bob und Alice bekommen private und öffentliche Schlüssel

Notiz

Beachte, dass der Partner ein Schlüsselpaar braucht und daher mitmachen muss!

2. Nachricht verfassen

Bob schreibt eine Nachricht an Alice

3. Öffentlicher Schlüssel von Alice + Nachricht

Bob verschlüsselt die Nachricht

4. Verschlüsselte Nachricht

Bob verschlüsselt die Nachricht

5. Versand

Alice empfängt Nachricht

6. Alice entschlüsselt

Alice entschlüsselt die Nachricht

7. Alice liest die Nachricht

Alice liest die Nachricht

Konzept #2
Signieren

Problemstellung: Nachweisbarkeit einer übertragenen Nachricht
Verwendet: Asymmetrische Kryptographie

1. Schlüssel generieren

Bob und Alice mit Schlüsselpaaren

2. Nachricht verfassen

Bob möchte eine Nachricht signieren

3. Signieren

Bob signiert eine Nachricht an Alice

4. Privater Schlüssel von Bob + Nachricht

Bob signiert eine Nachricht an Alice

5. Übertragen der signierten Nachricht

Bob verschlüsselt die Nachricht

6. Alice prüft

Alice prüft die Nachricht

7. Alice sieht die Nachricht

Alice sieht die Nachricht

Konzept #3
PKIs und Web of Trust

Problemstellung: Vertrauen in Identitäten („Ich kann nicht jede Identität überprüfen“)
Verwendet: nichts (wird hier im Kontext der asymmetrischen Kryptographie eingesetzt)

PKIs und Web of Trust

Als Identitätsdiebstahl (auch Identitätsbetrug, Identitätsmissbrauch. Identitätsmissbrauch; engl. Identity Theft), wird die missbräuchliche Nutzung personenbezogener Daten (der Identität) einer natürlichen Person durch Dritte bezeichnet.

—http://de.wikipedia.org/wiki/Identitätsdiebstahl

Wer besagt, dass hinter dem Schlüssel von "Arthur Dent" Arthur Dent steckt?

Die Grundfrage lautet: Wem soll ich vertrauen, dass jemand wirklich die erwartete Identität ist?

Public Key Infrastructure (PKI, X.509, S/MIME)

Public Key Infrastructure hierarchy

Web of trust (OpenPGP)

Web of trust

Transitivität: Wenn A B vertraut und B C vertraut, dann vertraut A C.

Key Signing Party

Web of Trust ⇒ Key Signing Party
Jeder zeigt mittels eines amtlichen Dokuments, dass seine Identität hinter einem Schlüssel steckt.
Daher jeder bringt Reisepass und den Hash seines Schlüssels mit.
Nach der Party beglaubigt man die Identität einer Person und sendet ihr diese Beglaubigung.
Die Person kann diese Beglaubigung über Keyserver ins Web of Trust einspielen.
Key Signing Party finden regelmäßig auf Events zu IT-Security und FLOSS-Software (Graz: Linuxtage!)

Konzept #4
Widerrufszertifikat

Problemstellung: Kompromittierung bekannt geben
Verwendet: Asymmetrische Kryptographie

Revocation certificate

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1.4.10 (GNU/Linux)
Comment: A revocation certificate should follow
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=SZzh
-----END PGP PUBLIC KEY BLOCK-----

Konzepte Übersicht

Verschlüsseln
Signieren
PKIs und Web of Trust
Widerrufszertifikat

Demonstration

Weitere Optionen in GnuPG

Mehrere Empfänger (1 Nachricht mehrfach verschlüsselt)
Symmetrische Verschlüsselung
Unterschlüssel („Subkeys“)
Attachments können verschlüsselt werden

Q & A

?

Danke für die Aufmerksamkeit 😋

CryptoPartyGraz

‘Emailverschlüsselung mit GnuPG’

„Lukas Prokop“ ⟨admin@lukas-prokop.at⟩

16. März 2013

Was ist GnuPG?

Wozu und wieso Krypto?

Asymmetrische Verschlüsselung

Konzept #1 Verschlüsseln

Verschlüsseln

1. Schlüssel generieren

Notiz

2. Nachricht verfassen

3. Öffentlicher Schlüssel von Alice + Nachricht

4. Verschlüsselte Nachricht

5. Versand

6. Alice entschlüsselt

7. Alice liest die Nachricht

Konzept #2 Signieren

1. Schlüssel generieren

2. Nachricht verfassen

3. Signieren

4. Privater Schlüssel von Bob + Nachricht

5. Übertragen der signierten Nachricht

6. Alice prüft

7. Alice sieht die Nachricht

Konzept #3 PKIs und Web of Trust

PKIs und Web of Trust

Public Key Infrastructure (PKI, X.509, S/MIME)

Web of trust (OpenPGP)

Key Signing Party

Konzept #4 Widerrufszertifikat

Revocation certificate

Konzepte Übersicht

Demonstration

Weitere Optionen in GnuPG

Q & A

Konzept #1
Verschlüsseln

Konzept #2
Signieren

Konzept #3
PKIs und Web of Trust

Konzept #4
Widerrufszertifikat