E-Mail-Sicherheit: kmail, ein Teil unserer Serie |
Willkommen, Gast ( Anmelden | Registrierung )
E-Mail-Sicherheit: kmail, ein Teil unserer Serie |
Gast_Bo Derek_* |
01.03.2005, 18:07
Beitrag
#1
|
Gäste |
Dieser Teil unserer Serie E-Mail-Sicherheit erklärt wie man kmail einrichtet, um verschlüsselte und signierte E-Mails zu empfangen und zu versenden. Vielen Dank an unser Mitglied Cobra, das uns diese Anleitung zur Verfügung gestellt hat.
E-Mail-Sicherheit: kmail 1. Installation Benötigte Pakete: - gpg - kgpg - kmail Für alle Anwender von kmail bis Version 1.6 (kde 3.2) hat Gregor Waluga bereits eine ausgezeichnete und vor allem sehr ausführliche (13 Seiten) Anleitung (für kmail bis Version 1.6) ins Netz gestellt. Man findet sie im Bereich Tutorials/HowTos seiner Seite http://waluga.de/linux/linux.htm. Zum Verständnis des folgenden ist sie sehr zu empfehlen, da sie auch die Hintergründe der public key cryptography anreisst. Mit kde 3.3 und kmail 1.7 ändert sich bezüglich der Verschlüsselung grundlegendes. Um zu erreichen, dass die kmail-Signaturen kompatibel zu etlichen anderen Mailclients (z. B. Evolution und Windowsprogrammen) werden, wurde der für die Signatur benutzte Content-Type dem vorherrschenden Standard angepaßt: statt Content-Type: Text/Plain wird nun Content-Type: application/pgp-signature benutzt. Das hat die angenehme Konsequenz, dass man als Nutzer vom kmail 1.7 nun auch die Signatur derjenigen als gültig angezeigt bekommt, die andere Mailclients einsetzen, aber die unangenehme, dass Benutzer von kmail 1.6 endgültig in die Röhre schauen: sie können die Signaturen von kmail 1.7 nicht mehr validieren. Die ganze Geschichte ist also nicht abwärtskompatibel. Trotzdem überwiegen die positiven Aspekte. Kmail 1.7 beherrscht nun auch S/MIME und ein sicheres Passwort-Cashing, das sich, analog zum ssh-agent, gpg-agent nennt. Man installiere zunächst die aktuellen Versionen von gpg, kgpg, und natürlich kmail (und damit schlussendlich kde, wobei die ganze Geschichte natürlich auch unter Gnome oder einem x-beliebigen Windowmanager läuft, sofern man eben die notwendigen kde-Libraries und -Anwendungen installiert hat). Für die erweiterten Funktionen von kmail 1.7 benötigt man ferner gpg1.9.10 (installiert sich als parallel als gpg2) und pinentry-gtk für Gnome bzw. pinentry-qt für kde. Bevor man anfängt, diese Pakete von den Ursprungsseiten zu laden, sollte man schauen, ob diese nicht bereits von der eigenen Distribution bereitgestellt werden. Unter Mandrake z. B. lassen sich alle diese Pakete bequem mittels urpmi installieren, inklusive aller eventuellen Abhängigkeiten. 2. Konfiguration von kgpg Nach der Installation starte man kgpg und erzeuge als erstes ein Schlüsselpaar: Dem Default (DSA & El Gamal) ist zu trauen, aber man wähle auf jeden Fall die maximale Schlüssellänge (4096 bit). Man sollte ein nichttriviales Passwort (Mantra) wählen, das man aber trotzdem behalten kann. Der public key kann dann sogleich mittels des "key server dialogs" auf einen Server hochgeladen (exportiert) werden. Im Gegenzug können die public keys von Freunden heruntergeladen (importiert) werden. Diese Schlüssel müssen mit dem eigenen privaten Schlüssel signiert werden, um verwendbar zu sein. Man achte aber zuerst auf die Problematik, ob die Keys der Freunde auch tatsächlich von diesen stammen. Archaische Medien wie das Telefon oder gar persönliche Treffen sind gute Mittel, die Authentizität eines Schlüssels zu bestätigen. Nein, das ist kein Wahnsinn und keine Paranoia: bei den heutig gängigen Schlüssellängen ist die verwundbarste Stelle der Erstaustausch. 3. Konfiguration von kmail Nun muss kmail konfiguriert werden. Das ist einfach: man muss erstens in den kmail-Optionen unter Security/Crypto-Backends sowohl OpenPgP als auch S/MIME aktivieren. Hier kann man auch einstellen, ob alle Mails signiert oder gar verschlüsselt werden sollen...zumindest ersteres ist sicher zu bejahen, letzteres je nach Gusto. Zweitens wählt man unter Identities/Cryptography den korrekten Schlüssel aus. 4. Konfiguration von gpgagent Schließlich ist noch ein wenig Handarbeit nötig, um gpgagent zu konfigurieren. Man erstelle (hier z. B. für den User karl) eine Datei gpg-agent.conf in /home/karl/.gnupg/ mit dem folgenden beispielhaften Inhalt: CODE pinentry-program /usr/bin/pinentry-qt no-grab default-cache-ttl 28800 Natürlich muß hier der Pfad von pinentry sowie die Zeit der Vorratshaltung des einmal eingegebenen Paßworts (in s) an die persönlichen Gegebenheiten und Bedürfnisse angepaßt werden. Schließlich muß man noch gpg-agent als daemon starten. Manuell geschieht das mit eval "$(gpg-agent --daemon)" in einer Konsole, letztendlich sollte man diesen Befehl in ein Shellskript schreiben, das man als /home/karl/.kde/env/gpgagent.sh anlegt, damit gpg-agent schon beim Start des Systems aktiv ist. Der Inhalt dieses Skripts ist einfach: CODE #!/bin/bash eval "$(gpg-agent --daemon)" 5. Im Einsatz Wie sieht das Verschicken und Empfangen von signierten/verschlüsselten E-mails in der Praxis aus? Nun, beim Verschicken bietet kmail dafür zwei Icons in der Toolbar, also kann man das ganz einfach und nach Belieben ein- und ausschalten: Schickt man diese E-mail los, wird bei entsprechender Einstellung in den Optionen (Always show the encryption keys for approval) der verwendete key angezeigt sowie um die Eingabe des Passworts gebeten: Beim Empfang der Mail sieht das dann so aus: Das sind die Defaultfarben, wem sie zu grell sind, der kann natürlich auch liebliche Pastelltöne einstellen. Weitere hilfreiche Details findet man auf diesen beiden Seiten: http://kmail.kde.org/kmail-pgpmime-howto http://savannah.gnu.org/gpg-agent-howto Cobra für Rokop Security 2005
Angehängte Datei(en)
bild01.JPG ( 39.62KB )
Anzahl der Downloads: 139
bild02.JPG ( 15.78KB ) Anzahl der Downloads: 104 bild03.JPG ( 11.22KB ) Anzahl der Downloads: 96 bild04.JPG ( 20.44KB ) Anzahl der Downloads: 104 bild05.JPG ( 19.2KB ) Anzahl der Downloads: 93 bild06.JPG ( 12.07KB ) Anzahl der Downloads: 97 bild07.JPG ( 39.62KB ) Anzahl der Downloads: 131 bild08.JPG ( 16.23KB ) Anzahl der Downloads: 92 bild09.JPG ( 47.76KB ) Anzahl der Downloads: 159 bild10.JPG ( 53.61KB ) Anzahl der Downloads: 140 bild11.JPG ( 30.8KB ) Anzahl der Downloads: 118 bild12.JPG ( 33.82KB ) Anzahl der Downloads: 99 bild13.JPG ( 22.35KB ) Anzahl der Downloads: 100 bild14.JPG ( 13.83KB ) Anzahl der Downloads: 86 bild15.JPG ( 16.42KB ) Anzahl der Downloads: 94 bild16.JPG ( 81.96KB ) Anzahl der Downloads: 161 |
|
|
Gast_piet_* |
02.03.2005, 15:52
Beitrag
#2
|
Gäste |
Hallo,
ich würd den obersten Absatz rausnehmen bzw. mal editieren, da sich der Link geändert hat in http://waluga.de/linux/linux.htm und unter http://waluga.de/linux/tutorials/kmail-enc...ils-kgpg-de.htm der Tutorialdownload (PDF) leider mit einem "Forbidden" quittiert werden. piet Mein Post kann dann wieder gelöscht werden. |
|
|
Gast_Bo Derek_* |
02.03.2005, 21:18
Beitrag
#3
|
Threadersteller Gäste |
Geändert, vielen Dank!
|
|
|
01.07.2005, 16:47
Beitrag
#4
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.373 Mitglied seit: 15.04.2003 Wohnort: Monaco di Baviera Mitglieds-Nr.: 20 |
QUOTE(Bo Derek @ 01.03.2005, 19:06) Correction: http://kmail.kde.org/kmail-pgpmime-howto.html ist die Adresse. -------------------- But don’t forget the songs that made you cry And the songs that saved your life Yes, you’re older now, and you’re a clever swine But they were the only ones who ever stood by you. |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 13.05.2024, 09:35 |