Rokop Security

Willkommen, Gast ( Anmelden | Registrierung )

 
Closed TopicStart new topic
> E-Mail-Sicherheit: kmail, ein Teil unserer Serie
Gast_Bo Derek_*
Beitrag 01.03.2005, 18:07
Beitrag #1






Gäste






Dieser Teil unserer Serie E-Mail-Sicherheit erklärt wie man kmail einrichtet, um verschlüsselte und signierte E-Mails zu empfangen und zu versenden. Vielen Dank an unser Mitglied Cobra, das uns diese Anleitung zur Verfügung gestellt hat.

E-Mail-Sicherheit: kmail

1. Installation

Benötigte Pakete:

- gpg
- kgpg
- kmail

Für alle Anwender von kmail bis Version 1.6 (kde 3.2) hat Gregor Waluga bereits eine ausgezeichnete und vor allem sehr ausführliche (13 Seiten) Anleitung (für kmail bis Version 1.6) ins Netz gestellt. Man findet sie im Bereich Tutorials/HowTos seiner Seite http://waluga.de/linux/linux.htm. Zum Verständnis des folgenden ist sie sehr zu empfehlen, da sie auch die Hintergründe der public key cryptography anreisst.

Mit kde 3.3 und kmail 1.7 ändert sich bezüglich der Verschlüsselung grundlegendes. Um zu erreichen, dass die kmail-Signaturen kompatibel zu etlichen anderen Mailclients (z. B. Evolution und Windowsprogrammen) werden, wurde der für die Signatur benutzte Content-Type dem vorherrschenden Standard angepaßt: statt Content-Type: Text/Plain wird nun Content-Type: application/pgp-signature benutzt. Das hat die angenehme Konsequenz, dass man als Nutzer vom kmail 1.7 nun auch die Signatur derjenigen als gültig angezeigt bekommt, die andere Mailclients einsetzen, aber die unangenehme, dass Benutzer von kmail 1.6 endgültig in die Röhre schauen: sie können die Signaturen von kmail 1.7 nicht mehr validieren. Die ganze Geschichte ist also nicht abwärtskompatibel. Trotzdem überwiegen die positiven Aspekte. Kmail 1.7 beherrscht nun auch S/MIME und ein sicheres Passwort-Cashing, das sich, analog zum ssh-agent, gpg-agent nennt.

Man installiere zunächst die aktuellen Versionen von gpg, kgpg, und natürlich kmail (und damit schlussendlich kde, wobei die ganze Geschichte natürlich auch unter Gnome oder einem x-beliebigen Windowmanager läuft, sofern man eben die notwendigen kde-Libraries und -Anwendungen installiert hat). Für die erweiterten Funktionen von kmail 1.7 benötigt man ferner gpg1.9.10 (installiert sich als parallel als gpg2) und pinentry-gtk für Gnome bzw. pinentry-qt für kde. Bevor man anfängt, diese Pakete von den Ursprungsseiten zu laden, sollte man schauen, ob diese nicht bereits von der eigenen Distribution bereitgestellt werden. Unter Mandrake z. B. lassen sich alle diese Pakete bequem mittels urpmi installieren, inklusive aller eventuellen Abhängigkeiten.


2. Konfiguration von kgpg

Nach der Installation starte man kgpg und erzeuge als erstes ein Schlüsselpaar:





Dem Default (DSA & El Gamal) ist zu trauen, aber man wähle auf jeden Fall die maximale Schlüssellänge (4096 bit). Man sollte ein nichttriviales Passwort (Mantra) wählen, das man aber trotzdem behalten kann. Der public key kann dann sogleich mittels des "key server dialogs" auf einen Server hochgeladen (exportiert) werden.





Im Gegenzug können die public keys von Freunden heruntergeladen (importiert) werden.





Diese Schlüssel müssen mit dem eigenen privaten Schlüssel signiert werden, um verwendbar zu sein.





Man achte aber zuerst auf die Problematik, ob die Keys der Freunde auch tatsächlich von diesen stammen. Archaische Medien wie das Telefon oder gar persönliche Treffen sind gute Mittel, die Authentizität eines Schlüssels zu bestätigen. Nein, das ist kein Wahnsinn und keine Paranoia: bei den heutig gängigen Schlüssellängen ist die verwundbarste Stelle der Erstaustausch.


3. Konfiguration von kmail

Nun muss kmail konfiguriert werden. Das ist einfach: man muss erstens in den kmail-Optionen unter Security/Crypto-Backends sowohl OpenPgP als auch S/MIME aktivieren.



Hier kann man auch einstellen, ob alle Mails signiert oder gar verschlüsselt werden sollen...zumindest ersteres ist sicher zu bejahen, letzteres je nach Gusto.



Zweitens wählt man unter Identities/Cryptography den korrekten Schlüssel aus.




4. Konfiguration von gpgagent

Schließlich ist noch ein wenig Handarbeit nötig, um gpgagent zu konfigurieren. Man erstelle (hier z. B. für den User karl) eine Datei gpg-agent.conf in /home/karl/.gnupg/ mit dem folgenden beispielhaften Inhalt:

CODE
pinentry-program /usr/bin/pinentry-qt
no-grab
default-cache-ttl 28800


Natürlich muß hier der Pfad von pinentry sowie die Zeit der Vorratshaltung des einmal eingegebenen Paßworts (in s) an die persönlichen Gegebenheiten und Bedürfnisse angepaßt werden. Schließlich muß man noch gpg-agent als daemon starten. Manuell geschieht das mit eval "$(gpg-agent --daemon)" in einer Konsole, letztendlich sollte man diesen Befehl in ein Shellskript schreiben, das man als /home/karl/.kde/env/gpgagent.sh anlegt, damit gpg-agent schon beim Start des Systems aktiv ist. Der Inhalt dieses Skripts ist einfach:

CODE
#!/bin/bash

eval "$(gpg-agent --daemon)"



5. Im Einsatz

Wie sieht das Verschicken und Empfangen von signierten/verschlüsselten E-mails in der Praxis aus? Nun, beim Verschicken bietet kmail dafür zwei Icons in der Toolbar, also kann man das ganz einfach und nach Belieben ein- und ausschalten:



Schickt man diese E-mail los, wird bei entsprechender Einstellung in den Optionen (Always show the encryption keys for approval) der verwendete key angezeigt



sowie um die Eingabe des Passworts gebeten:



Beim Empfang der Mail sieht das dann so aus:





Das sind die Defaultfarben, wem sie zu grell sind, der kann natürlich auch liebliche Pastelltöne einstellen. wink.gif

Weitere hilfreiche Details findet man auf diesen beiden Seiten:

http://kmail.kde.org/kmail-pgpmime-howto
http://savannah.gnu.org/gpg-agent-howto

Cobra für Rokop Security 2005
Angehängte Datei(en)
Angehängte Datei  bild01.JPG ( 39.62KB ) Anzahl der Downloads: 139
Angehängte Datei  bild02.JPG ( 15.78KB ) Anzahl der Downloads: 104
Angehängte Datei  bild03.JPG ( 11.22KB ) Anzahl der Downloads: 96
Angehängte Datei  bild04.JPG ( 20.44KB ) Anzahl der Downloads: 104
Angehängte Datei  bild05.JPG ( 19.2KB ) Anzahl der Downloads: 93
Angehängte Datei  bild06.JPG ( 12.07KB ) Anzahl der Downloads: 97
Angehängte Datei  bild07.JPG ( 39.62KB ) Anzahl der Downloads: 131
Angehängte Datei  bild08.JPG ( 16.23KB ) Anzahl der Downloads: 92
Angehängte Datei  bild09.JPG ( 47.76KB ) Anzahl der Downloads: 159
Angehängte Datei  bild10.JPG ( 53.61KB ) Anzahl der Downloads: 140
Angehängte Datei  bild11.JPG ( 30.8KB ) Anzahl der Downloads: 118
Angehängte Datei  bild12.JPG ( 33.82KB ) Anzahl der Downloads: 99
Angehängte Datei  bild13.JPG ( 22.35KB ) Anzahl der Downloads: 100
Angehängte Datei  bild14.JPG ( 13.83KB ) Anzahl der Downloads: 86
Angehängte Datei  bild15.JPG ( 16.42KB ) Anzahl der Downloads: 94
Angehängte Datei  bild16.JPG ( 81.96KB ) Anzahl der Downloads: 161
 
Go to the top of the page
 
+Quote Post
Gast_piet_*
Beitrag 02.03.2005, 15:52
Beitrag #2






Gäste






Hallo,

ich würd den obersten Absatz rausnehmen bzw. mal editieren, da sich der Link geändert hat in http://waluga.de/linux/linux.htm und unter http://waluga.de/linux/tutorials/kmail-enc...ils-kgpg-de.htm der Tutorialdownload (PDF) leider mit einem "Forbidden" quittiert werden.

piet

Mein Post kann dann wieder gelöscht werden.
Go to the top of the page
 
+Quote Post
Gast_Bo Derek_*
Beitrag 02.03.2005, 21:18
Beitrag #3


Threadersteller




Gäste






Geändert, vielen Dank!
Go to the top of the page
 
+Quote Post
Yopie
Beitrag 01.07.2005, 16:47
Beitrag #4



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.373
Mitglied seit: 15.04.2003
Wohnort: Monaco di Baviera
Mitglieds-Nr.: 20



QUOTE(Bo Derek @ 01.03.2005, 19:06)


Correction: http://kmail.kde.org/kmail-pgpmime-howto.html ist die Adresse.


--------------------

But don’t forget the songs that made you cry
And the songs that saved your life
Yes, you’re older now, and you’re a clever swine
But they were the only ones who ever stood by you.
Go to the top of the page
 
+Quote Post

Closed TopicStart new topic
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:

 



Vereinfachte Darstellung Aktuelles Datum: 21.10.2018, 21:00
Impressum