So verwenden Sie GPG mit GNU Kleopatra unter Linux

2023/07/02

Der GNU Privacy Guard (GPG) ist eines der wichtigsten heute verfügbaren Programme, da es Ihnen ermöglicht, Ihre eigene digitale Identität zu erstellen und verschlüsselte Kommunikation online einzurichten.

In diesem Artikel erfahren Sie, wie Sie mit Kleopatra mit GPG unter Linux beginnen und Ihre erste verschlüsselte Nachricht über das Internet senden können.

Wie GPG funktioniert

Im Kern folgt GPG dem OpenPGP-Standard, der es seinen Benutzern ermöglicht, verschlüsselte und signierte Nachrichten über ein Netzwerk auszutauschen. Die Funktionsweise besteht darin, dass das Programm auf der Idee der asymmetrischen Kryptographie basiert. Hierbei handelt es sich um eine kryptografische Methode, die keinen „vorab vereinbarten“ Schlüssel benötigt, um Nachrichten an andere Benutzer zu verschlüsseln.

Einer der größten Vorteile dieses Ansatzes besteht darin, dass Ihr Empfänger nicht anwesend sein muss, um mit der Verschlüsselung von Nachrichten zu beginnen. Dadurch eignet sich GPG für „verzögerungstolerante“ Kommunikation wie E-Mail.

Ein Screenshot, der zeigt, wie das KMail-Programm eine E-Mail liest.

Darüber hinaus bietet Ihnen die asymmetrische Verschlüsselung auch die Möglichkeit, „öffentliche Schlüssel“ zu erstellen, die Sie zur Überprüfung Ihrer Identität weitergeben können. Dies ist äußerst nützlich, um zu verhindern, dass sich ein böswilliger Akteur online als Sie ausgibt.

GNU Kleopatra installieren

Obwohl GPG ein leistungsstarkes Tool ist, kann die alleinige Verwendung schwierig und komplex sein. GNU Kleopatra zielt darauf ab, diese Komplexität zu reduzieren, indem es ein intuitives und einfach zu bedienendes grafisches Frontend für GPG bereitstellt.

Ein Screenshot der GNU Kleopatra-Programmversion.

Um Kleopatra unter Debian und Ubuntu Linux zu installieren, können Sie den folgenden Befehl ausführen:

sudo apt install kleopatra

Ein Screenshot des Installationsprozesses für GNU Kleopatra.

So installieren Sie Kleopatra auf der Fedora- und Enterprise Linux 8-Distribution:

sudo dnf install kleopatra

und für Arch Linux

sudo pacman -S kleopatra

Erstellen Sie Ihr erstes GPG-Schlüsselpaar

Starten Sie Kleopatra über den Anwendungsstarter Ihres Desktops.

Ein Screenshot des GNU Kleopatra-Anwendungssymbols.

Kleopatra prüft, ob alle Dienstprogramme betriebsbereit sind. Sie können auf „Weiter“ klicken, um das Programm zu laden.

Ein Screenshot des Kleopatra-Selbstkontrollfensters.

Klicken Sie auf die Schaltfläche „Neues Schlüsselpaar“, um Ihren GPG-Schlüssel zu generieren.

Ein Screenshot des Begrüßungsbildschirms von GNU Kleopatra.

Geben Sie den Namen und die E-Mail-Adresse ein, die Sie für Ihren GPG-Schlüssel verwenden möchten. Es ist zwar empfehlenswert, genaue Kontaktinformationen anzugeben, Sie müssen jedoch keine auflösbare E-Mail-Adresse für Ihren Schlüssel angeben.

Ein Screenshot der grundlegenden GPG-Schlüsselinformationsaufforderungen.

Aktivieren Sie das Kontrollkästchen „Generierten Schlüssel mit einer Passphrase schützen“. Dadurch wird eine zusätzliche Sicherheitsebene für Ihren Schlüssel hinzugefügt.

Ein Screenshot des Kontrollkästchens „GPG-Passphrase“.

Klicken Sie auf die Schaltfläche „Erweiterte Einstellungen…“.

Ein Screenshot der Schaltfläche „Erweiterte Einstellungen...“ in GNU Kleopatra.

Konfigurieren Ihres GPG-Schlüssels

Klicken Sie auf das Dropdown-Feld für die Optionen „RSA“ und „+ RSA“ und wählen Sie „4096 Bits“. Durch die Erhöhung der Bits wird sichergestellt, dass Ihr privater GPG-Schlüssel auf absehbare Zeit sicher ist.

Ein Screenshot des Fensters „Erweiterte Einstellungen“ mit den neuen Bitwerten für den GPG-Schlüssel.

Klicken Sie auf das Dropdown-Feld neben dem Kontrollkästchen „Gültig bis:“ und wählen Sie ein Datum für das Ablaufdatum Ihres Schlüssels aus. Dadurch wird sichergestellt, dass sich Ihr GPG-Schlüssel selbst dann deaktiviert, wenn Sie nicht mehr darauf zugreifen können. In meinem Fall lege ich das Ablaufdatum meiner GPG-Schlüssel normalerweise auf 6 bis 9 Monate fest.

Ein Screenshot, der den geänderten Datumswert für den Ablauf des GPG-Schlüssels zeigt.

Klicken Sie auf „OK“ und dann auf „Erstellen“.

Geben Sie das Passwort für Ihren neuen GPG-Schlüssel ein.

Ein Screenshot, der die Eingabeaufforderung für den GPG-Passphrasenschlüssel zeigt.

Klicken Sie auf die Schaltfläche „Fertig stellen“, um Ihren neuen GPG-Schlüssel zu speichern.

Ein Screenshot mit den endgültigen Details des neuen GPG-Schlüssels.

Veröffentlichen Sie Ihren öffentlichen Schlüssel online

Zu diesem Zeitpunkt verfügen Sie über einen funktionierenden GPG-Schlüssel. Sie können damit entweder digitale Nachrichten signieren oder Dateien verschlüsseln, um Ihre Privatsphäre zu schützen. Um jedoch verschlüsselte E-Mails von anderen Personen zu empfangen, müssen Sie zusätzlich den öffentlichen Schlüssel Ihres Schlüssels angeben.

Eine der einfachsten Möglichkeiten hierfür ist die Veröffentlichung Ihres Schlüssels auf einem zentralen GPG-Schlüsselserver. Dabei handelt es sich um einmal beschreibbare und mehrfach lesbare Server, die es Ihnen ermöglichen, Ihren öffentlichen Schlüssel in einem leicht durchsuchbaren Index zu speichern.

Bevor Sie Ihren Schlüssel veröffentlichen, müssen Sie ein „Widerrufszertifikat“ erstellen. Um einen zu generieren, klicken Sie mit der rechten Maustaste auf Ihren Schlüssel und wählen Sie dann „Details“.

Klicken Sie auf „Widerrufszertifikat generieren“.

Ein Screenshot, der die Sperrzertifikatoption in GNU Kleopatra hervorhebt.

Wählen Sie einen Ordner aus, in dem Sie Ihr Zertifikat speichern möchten.

Klicken Sie auf „Schließen“.

Ein Screenshot, der die Hervorhebung zeigt

Mit einem Sperrzertifikat können Sie nun Ihren öffentlichen Schlüssel auf einen GPG-Schlüsselserver hochladen. Klicken Sie mit der rechten Maustaste auf Ihren Schlüssel und wählen Sie „Auf Server veröffentlichen“.

Klicken Sie in der Warnmeldung auf „Weiter“.

Ein Screenshot, der die Warnmeldung zum Hochladen öffentlicher Schlüssel zeigt.

Dadurch wird Ihr öffentlicher Schlüssel auf eine rotierende Liste von Schlüsselservern hochgeladen. Sobald dies erledigt ist, zeigt Kleopatra eine Bestätigungsmeldung an, die besagt, dass der öffentliche Schlüssel jetzt aktiv ist.

Ein Screenshot, der den erfolgreichen Schlüsselexport zeigt.

Importieren der öffentlichen Schlüssel anderer Personen

Abgesehen davon, dass andere Personen Ihren öffentlichen Schlüssel abrufen können, können Sie deren Schlüssel auch in Ihren eigenen Schlüsselbund importieren. Dies kann hilfreich sein, wenn Sie die erste Nachricht senden und möchten, dass der Empfänger seine Identität überprüft.

Um einen öffentlichen GPG-Schlüssel zu finden, müssen Sie in ein Schlüsselverzeichnis gehen. Hierbei handelt es sich um Websites, die den Schlüssel-Fingerabdruck eines jeden Benutzers präsentieren, der seinen öffentlichen Schlüssel online hochgeladen hat. Eines der beliebtesten heute verfügbaren Schlüsselverzeichnisse ist keyserver.ubuntu.com .

Gehen Sie zu keyserver.ubuntu.com

Ein Screenshot, der die Ubuntu-Keyserver-Website zeigt.

Klicken Sie auf die Suchleiste und geben Sie die E-Mail-Adresse des Benutzers ein, dessen öffentlichen Schlüssel Sie importieren möchten. Sie können beispielsweise „ramces@example-email.com“ eingeben, um nach einem GPG-Schlüssel zu suchen, den ich für diesen Artikel erstellt habe.

Ein Screenshot, der die Suchaufforderung für die Ubuntu-Keyserver-Website zeigt.

Klicken Sie mit der rechten Maustaste auf den Link, der eine Zeichenfolge aus Buchstaben und Zahlen in der Spalte mit der Bezeichnung „[selbstsigniert]“ enthält.

Ein Screenshot, der die Ergebnisse der Schlüsselsuche im Ubuntu-Schlüsselserver zeigt.

Klicken Sie auf „Link speichern unter…“

Ändern Sie den Namen der Datei von „lookup“ in „lookup.asc“ und speichern Sie sie in Ihrem Home-Verzeichnis.

Ein Screenshot, der das Dateiauswahlprogramm für die Ubuntu-Keyserver-Website zeigt.

Gehen Sie zurück zu Kleopatra und klicken Sie auf „Datei“ und dann auf „Importieren“.

Navigieren Sie zu Ihrem Home-Verzeichnis und wählen Sie Ihre Datei „lookup.asc“ aus.

Ein Screenshot, der den neuen öffentlichen GPG-Schlüssel in der Dateiauswahl-Eingabeaufforderung zeigt.

Klicken Sie im Bestätigungsfeld auf „OK“, um den neuen öffentlichen Schlüssel in Ihren Schlüsselbund aufzunehmen.

Ein Screenshot, der den erfolgreichen Import des öffentlichen Schlüssels zeigt.

Verschlüsseln Sie Ihre erste Datei in GPG

Sobald Sie den öffentlichen Schlüssel des Benutzers haben, mit dem Sie kommunizieren möchten, können Sie mit Kleopatra verschlüsselte Nachrichten und Dateien an ihn senden.

Um Ihre erste Datei zu verschlüsseln, klicken Sie auf „Datei“ und dann auf „Signieren/Verschlüsseln“.

Ein Screenshot, der die Dateiverschlüsselungsaufforderung in GNU Kleopatra zeigt.

Wählen Sie die Datei aus, die Sie verschlüsseln möchten.

Ein Screenshot, der die Eingabeaufforderung zur Dateiauswahl für den Dateiverschlüsselungsprozess zeigt.

Dadurch öffnet sich ein kleines Fenster, in dem Sie Kleopatra mitteilen können, wie Sie Ihre Datei verschlüsseln möchten. Aktivieren Sie das Kontrollkästchen „Für andere verschlüsseln“ und geben Sie die Adresse des öffentlichen Schlüssels Ihres Empfängers ein.

Ein Screenshot, der die verschiedenen öffentlichen Schlüssel zeigt, mit denen Sie eine Datei verschlüsseln können.

Klicken Sie auf „Signieren/Verschlüsseln“, um Ihre GPG-verschlüsselte Datei zu erstellen.

Ein Screenshot, der ein Bestätigungsfenster des Dateiverschlüsselungsprozesses zeigt.

Entschlüsseln Sie Ihre erste Datei in GPG

Das Kleopatra-Dienstprogramm bietet auch die Möglichkeit, GPG-verschlüsselte Dateien aus dem Programm heraus zu entschlüsseln. Dies, gepaart mit der Möglichkeit, Dateien zu verschlüsseln, macht Kleopatra zu einem effektiven Werkzeug für die sichere Korrespondenz mit anderen GPG-Benutzern.

Um eine GPG-verschlüsselte Datei zu entschlüsseln, klicken Sie auf „Datei“ und dann auf „Entschlüsseln/Verifizieren“.

Ein Screenshot, der eine GPG-Entschlüsselungsfunktion zeigt.

Wählen Sie die Datei aus, die Sie entschlüsseln möchten.

Ein Screenshot, der die Dateiauswahl-Eingabeaufforderung für den Entschlüsselungsprozess zeigt.

Daraufhin öffnet sich ein Übersichtsfenster, in dem Kleopatra prüft, ob die GPG-verschlüsselte Datei ordnungsgemäß verschlüsselt und an Sie adressiert wurde. Sie können Ihre Datei entschlüsseln, indem Sie auf „Alle speichern“ klicken.

Ein Screenshot, der den erfolgreichen Dateientschlüsselungsprozess in GNU Kleopatra zeigt.

Häufig gestellte Fragen

Wie kann ich einen Schlüssel von einem Schlüsselserver löschen?

Es ist nicht möglich, einen Schlüssel vollständig von einem GPG-Keyserver zu löschen. Sie können einem Schlüsselserver jedoch mitteilen, dass Sie einen bestimmten öffentlichen Schlüssel nicht mehr verwenden.

Dadurch wird Ihr Datensatz zwar nicht von einem Schlüsselserver entfernt, Sie können jedoch verhindern, dass böswillige Akteure Ihre alten Schlüssel wiederverwenden. Dazu müssen Sie in Kleopatra mit der rechten Maustaste auf Ihren Schlüssel klicken und „Zertifizierung widerrufen“ auswählen.

Ist es möglich, ein GPG-Schlüsselpasswort wiederherzustellen?

Weder GPG noch Kleopatra verfügen über eine integrierte Funktion zum Wiederherstellen eines Schlüsselkennworts. Wenn das von Ihnen verwendete Passwort einfach genug ist, können Sie versuchen, das Passwort Ihres Schlüssels mit einem Wörterbuch-Passwort-Cracker „brute forcieren“ (obwohl das eigentlich den Zweck des Festlegens eines Passworts verfehlt).

Ist es möglich, ganze Verzeichnisse mit GPG zu verschlüsseln?

Ja. Klicken Sie in Kleopatra auf „Datei -> Ordner signieren/verschlüsseln“. Es öffnet sich ein Dialogfeld zur Dateiauswahl, in dem Sie den Ordner auswählen können, den Sie verschlüsseln möchten.

Darüber hinaus können Sie ein Verzeichnis auch verschlüsseln, indem Sie es zunächst in einem TAR-Archiv ablegen. Wenn Sie beispielsweise Folgendes ausführen, tar cvzf. /encrypt-folder.tar.gz. /samplewird das Beispielverzeichnis als „./encrypt-folder.tar.gz“ komprimiert. Dieses Archiv können Sie dann als Datei in Kleopatra verschlüsseln.

Bildnachweis: Towfiqu barbhuiya über Unsplash . Alle Änderungen und Screenshots von Ramces Red.