Veröffentlicht am 26.07.10, 16:55 Uhr von rj
Für einige Zeit war nach dem Snow Leopard-Update die GPG/PGP-Verschlüsselung unter Mail und Mac OS X mangels Update des Mail-Plugins nicht verfügbar – mittlerweile hat sich das glücklicherweise wieder geändert. Die Schlüsselverwaltung gerät mit der Kommandozeile leider noch etwas aufwändig, aber immerhin: sichere PGP-Verschlüsselung per Mail unter Mac OS X geht wieder. Das Importieren existierender Keyrings ist glücklicherweise eine eher leichte Übung.
Von sente.ch zog GPGMail auf GPGMail.net um, wo das GPG-Plugin für Mail nun weiter gepflegt wird. Die zwischenzeitliche Überlastung des Entwicklers verhinderte das notwendige Update, mit dem das Krypto-Plugin für Mail auch unter Snow Leopard läuft. Nach den notwendigen Updates braucht es nun nur noch die Installation von MacGPG und das anschließende Einspielen der aktuellen GPGMail-Version, um auch unter Snow Leopard und Mail wieder GPG/PGP-verschlüsselte eMails zu verschicken und zu empfangen.
Die Reihenfolge spielt eine Rolle: zuerst muss MacGPG 2 installiert werden – Download hier, anschließend entpackt man das Paket und startet das Installationsfile.
Anschließend kann man sich an die Installation des eigentlichen Mail-Plugins machen. Hier lädt man ebenfalls die aktuelle Version für Mac OS X und startet nach dem Entpacken den Installer. Mail muss neu gestartet werden, anschließend sind wir jedoch erst am Anfang der eigentlichen Einrichtung des Verschlüsselungsplugins. Denn ein schneller Versuch, Mails zu ver- oder entschlüsseln, wird schnell mit einer Fehlermeldung beendet. Kein Wunder, denn das Plugin verfügt noch nicht über die notwendigen öffentlichen bzw. privaten Keyfiles, um verschlüsselte Mails zu lesen oder zu erzeugen.
Wer bereits seine öffentlichen und privaten Schlüssel auf der Platte liegen hat, kann direkt zum Importieren übergehen – für alle anderen nun die Anleitung, wie man via Konsole ein GPG-Schlüsselpaar erzeugt und den öffentlichen Schlüssel der Allgemeinheit zur Verfügung stellt.
Wir starten die Konsole (Programme-Hilfsprogramme) und rufen mit dem Kommando
gpg --gen-key
die Key-Generierung auf. Wir wählen RSA/RSA als Kryptoverfahren. Die 4096 bit Schlüssellänge sind etwas paranoid, aber mit heutiger Rechenleistung keine Systembremse mehr. Unbegrenzte Schlüssellebensdauer mag Geschmackssache sein, im Beispiel wurde sie gewählt.
Anschließend wird Vor/Nachname verlangt – hier kann natürlich auch ein Pseudonym gewählt werden, das eben an den Key und die zugehörige Mailadresse gekoppelt wird. Die Mailadresse wird angegeben, mit der man verschlüsselt kommunizieren will, mit “f” ist das Prozedere “Fertig” und benötigt nur noch die Schlüsselphrase, mit der ein Zugriff auf das Keyfile authentifiziert wird. hier empfiehlt es sich, ein wirklich sicheres, alphanumerisches Passwort zu wählen.
Nun wird eine größere Menge von Zufallswerten erzeugt/gesammelt – hier dauerte das ungefähr drei Minuten, in denen normal am Rechner weitergearbeitet wurde. Anschließend war das Schlüsselpaar erstellt. Die Schlüssel-ID sollte man sich kopieren bzw. notieren: der hier mit 5AC8D5EC automatisch benannte Key kann mit Hilfe dieser ID via Keyserver den zukünftigen Korrespondenten zur Verfügung gestellt werden. Um den eigenen Public Key auf einem Keyserver zu hinterlegen, gibt man in der Konsole den folgenden Befehl ein:
gpg --send-key --keyserver wwwkeys.de.pgp.net (KEY-ID)
Das Ergebnis sollte folgendermaßen aussehen:
noname:~ richie$ gpg --send-key --keyserver wwwkeys.de.pgp.net 5AC8D5EC
gpg: sende Schlüssel 5AC8D5EC auf den hkp-Server wwwkeys.de.pgp.net
noname:~ richie$
Gängige GPG-Frontends legen die Dateien pubring.gpg und secring.gpg an, in denen die öffentlichen bzw. geheimen Schlüssel gespeichert sind. Diese können mit dem Konsolenbefehl
gpg --import (filename)
einfach importiert werden. Zu beachten ist zweierlei: entweder muss für/statt (filename) der korrekte Pfad zur Datei angegeben werden, oder man befindet sich alternativ bereits im Verzeichnis, in der sich das zu importierende Keyfile befindet. Im Beispiel wurden Pubring und Secring auf den Desktop kopiert und von dort importiert:
Weiter ist beim Import des Secring (der die eigenen, geheimen Schlüssel enthält) naturgemäß die Kenntnis der jeweils zum geheimen Schlüssel gehörenden Passphrasen notwendig. Diese werden beim Import angefragt. Weiter wandelt der Importvorgang gegebenenfalls Fileformate um – inwieweit das zu Problemen mit Nutzern der Public Keys führen kann, konnten wir bislang nicht nachvollziehen.
Auf diese Weise kann man sowohl komplette Keyring-Dateien importieren als auch einzelne Public Keys. Letztere können unter beliebigen Filenamen als ASCII-Datei gespeichert und anschließend importiert werden – wenn alle Stricke reißen, kann so auch ein GPG-Key im Browser berachtet, per CopyPaste im Editor der Wahl gespeichert und anschließend in den eigenen Pubring verfrachtet werden.
Nach der Installation und der Auswahl eines Standardschlüssels steht bei jeder eMail, die man mit Mail verfasst, die Option zur Verschlüsselung bzw. Signierung zur Verfügung.
Nach Eingabe der Keyphrase (des Senders) wird die Mail verschlüsselt und verschickt – vorausgesetzt, für die Empfängeradresse ist ein Public Key bereits gespeichert oder kann per Keyserver geladen werden. Verschlüsselt man die Mail nicht wie per Default eingestellt auch an sich selbst, entfällt die Eingabe der Keyphrase – nur ist die Mail anschließend nicht mehr für den Sender, sondern nur noch für den Empfänger entschlüsselbar.
Auf Empfängerseite ist wiederum die Eingabe der Keyphrase (des Empfängers) notwendig, damit die Mail entschlüsselt werden kann.
Einige Details lassen sich mit dem grafischen Mac-Frontend für GnuPG, GPGPreferences, einstellen. Die aktuelle Version auf SourceForge arbeitet auch mit den jetzigen Versionen von GPGMail und MacGPG2 zusammen und erlaubt beispielsweise das automatische Herunterladen der Public Keys Dritter von Keyservern, falls sie nicht im Pubring gefunden werden.
Eine allgemeine, deutschsprachige Einführung in GnuPG (mit kommandozeilenoptionen auch für Mac OS X) findet sich bei GnuPG.org.
Und wie ist deine Meinung? Schreib uns einfach!
Tags: GnuPG, GPG, GPGMail, Mac OS X, Mail, PGP, Snow Leopard, Verschlüsselung
39 Kommentar(e) bisher
Ich glaub ich bin zu dämlivh dafür.
Direkt im ersten Schritt habe ich nur
(1) DSA und Elgamal (voreingestellt)
(2) DSA (nur unterschreiben/beglaubigen)
(5) RSA (nur signieren/beglaubigen)
zur Auswahl!? *help*
GPGMail-Anleitung: PGP/GPG-Mailverschlüsselung mit Mac OS X Snow Leopard und Mail: http://macnot.es/45112
grmpf… dann hab ich moeglicherweise die Pakete vertauscht. Installier mal das macgpg2 von hier und sag, obs dann tut:
http://sourceforge.net/projects/macgpg2/
greetz und sorry, falls es daran lag,
Richie
Danke für den neuen Link, aber geändert hat sich leider nichts.
Gibt es eine Möglichkeit alles zu löschen und nochmal sauber mit den richtigen Files von vorne anzufangen?
RT @Macnotes: GPGMail-Anleitung: PGP/GPG-Mailverschlüsselung mit Mac OS X Snow Leopard und Mail http://macnot.es/45112
RT @stefanwild GPGMail-Anleitung: PGP/GPG-Mailverschlüsselung mit Mac OS X Snow Leopard und Mail: http://macnot.es/45112
Einfach die GnuPG-verzeichnisse loeschen, die dir via Systemsteuerung-GnuPG angezeigt werden – letzter Screenshot, sie muessten in usr/local/bin und users/(home) liegen…
GPGMail-Anleitung: PGP/GPG-Mailverschlüsselung mit Mac OS X Snow Leopard und Mail http://macnot.es/45112 (via @Macnotes)
Mist, ich bekomme gpg (GnuPG) 1.4.9 einfach nicht mehr weg/auf 2.0.14 upgedated, egal wie oft ich es drüberbügel.
Ich werd dann mal auf Gnu-Dateienjagd gehen :D
Aber den Downloadlink von MacGPG solltest du oben ändern, der führt immer noch zur Version 1.4.9 und nicht zur. 2.0.14
RT na endlich. @Macnotes: GPGMail-Anleitung: PGP/GPG-Mailverschlüsselung mit Mac OS X Snow Leopard und Mail http://macnot.es/45112
Anleitung: PGP/GPG-Mailverschlüsselung mit Mac OS X Snow Leopard und Mail http://macnot.es/45112
das ganze thema habe wir schon in verschiedene blogs behandelt. doch leider scheint die sicherheit der mailkommunikation nicht viele zu interessieren. auch ist der technische aspekt kein einfacher, so, dass jeder sich dem thema ohne weiteres widmen kann. schade. vielleicht kommt jetzt eine etwas größere welle in bewegung. bin gespannt.
http://www.keyblog.de/archives/678
http://www.keyblog.de/archives/399
http://www.keyblog.de/archives/313
http://www.station9111.de/2010/01/26/aktion-pgp-unter-das-blogvolk/
Wegen GPG 1.4.9 / 2.0.14: Die Versionen werden unabhängig voneinander installiert und können auch unabhängig voneinander benutzt werden; die 2.x Version ist auch nicht einfach eine “neuere” Version als die 1.x Version, sondern folgt in Teilen auch einem anderen Konzept (ist modulbasiert, unterstützt S/MIME); vgl. http://gnupg.org/download/index.de.html. Wenn beide Versionen installiert habt und sichergehen wollt, dass ihr die 2.x-Version ausführt, dann solltet ihr in der Kommandozeile einfach “gpg2″ statt “gpg” aufrufen. Zu Schlüsselerzeugung lautet der Befehl dann
gpg2 --gen-key.Da bei mir das GPGMail-Plugin nicht wollte (Installation wegen ungenügender Rechte trotz Adminrechte fehlgeschlagen), habe ich nach einer neueren Version geschaut. Unter http://github.com/gpgmail/GPGMail/downloads findet man schon Version 1.3.0. Die ging bei mir.
Die 1.3 kam gestern raus laut Erstellungsdatum… das freut mich einerseits und ich denke weiterhin, dass da bald auch das .dmg bei gpgmail.net liegt… bis dahin mal eine peinliche Frage: wie installiert man das .mailbundle?
@rj: Die .mailbundle-Datei muss in folgendes Verzeichnis kopiert werden:
Users/[Benutzername]/Library/Mail/Bundles/@rj: Oh, und ggf. muss für Mail.app noch die Benutzung von Bundles aktiviert werden; dafür im Terminal ausführen:
defaults write com.apple.mail EnableBundles -bool trueRT @wpSEO: Anleitung: PGP/GPG-Mailverschlüsselung mit Mac OS X Snow Leopard und Mail http://macnot.es/45112
Kleines Update: wir haben das Projekt nun auf http://www.gpgmail.org umgezogen und seit heute gibt es Version 1.3.0.
Einfacher geht es immer noch mit dem Orginal: http://www.pgp.de
First article about the new #gpgmail project (in German): http://macnot.es/45112
Hi Richard,
could you please update the download link for GPGMail. It is
http://www.gpgmail.org/download/index.html
But elese very good article, great job!
Greetings
Felix
@videotrainingsworkshop
was für ein quatsch. Das “original” ist mittlerweile sehr problembehaftet. der support äußerst mangelhaft und der anschaffungspreis mit 100€ astornomisch. was ist daran bitte toll?
@rj wie man das installiert steht auf http://www.gpgmail.org Dort ist auch ein Installer verfügbar, du mußt also einfach zuerst GnuPG 1 oder 2 (geht beides) installieren, dann den Installer laufen lassen und dann schlüssel erstellen (entweder über terminal oder über gpg keychain access, achtung nur PPC, daher bei intel macs rosetta erforderlich).
Bei frage kannst du dich auch an die user-mailing-liste wenden:
http://lists.gpgmail.org/mailman/listinfo/gpgmail-users
Vielleicht magst du die ganzen neuerungen in den artikel einfließen lassen?
beste grüße,
mike
Alles wunderbar installiert. Wie hängt man seinen eigenen Schlüssel an (nicht verschlüsseln oder signieren)? Die Thunderbirdnutzer haben dafür eine Option, aber unter Mail?
Hallo,
ich würde sehr gerne verschlüsselte Mails versenden, leider komme ich ab dem Punkt: “Import bestehender PGP/GPG-Keys” nicht mehr weiter, da ich nicht weiß, wie man die Dateien pubring.gpg und secring.gpg auf den Desktop kopiert.
Für eure Hilfe wäre ich sehr dankbar.
GPGMail-Anleitung: PGP/GPG-Mailverschlüsselung mit Mac OS X Snow Leopard und Mail: http://macnot.es/45112 #PGP #Mail
RT @ingohill: GPGMail-Anleitung: PGP/GPG-Mailverschlüsselung mit Mac OS X Snow Leopard und Mail: http://macnot.es/45112 #PGP #Mail
Hallo,
ich verwende MacGPG2-2.0.16 und GPGMail-1.3.1, da ich die Rechnungs-Zustellung von T-Mobile nutze. Das Entschlüsseln der E-Mail ist auch kein Problem, aber wenn ich den Zip-Anhang mit der Rechnung auf den Desktop ziehe und entpacken möchte, funktioniert das nicht :-( (“Fehler 1 – der Vorgang ist nicht zugelassen”). Woran könnte das liegen?
Danke und Gruß,
Wil_Riker
@Wil_Riker Schau’ mal auf http://www.gpgmail.org/issue
@Alex Sorry, aber da blicke ich irgendwie nicht durch :-(. Kannst Du mir evtl. direkt helfen? An gpgmail kann’s ja eigentlich nicht liegen, da die Mails wie gesagt korrekt entschlüsselt werden. Nur das Entpacken von angehängten Zip-Archiven schlägt immer wieder fehl :-(…
In dem Zusammenhang: GPGMail ist nun Teil von GPGTools. Siehe http://gpgtools.org
@Wil_Riker: sollte das Problem noch bestehen, bitte einfach mal eine Mail (siehe gpgtools.org/about.html).
Heute geladen, noch nicht draufgeworfen, angesichts der ToDo-Liste Gänsehaut bekommen. Nun Feierabend, aber ich muss mir das angucken, versprochen.
Hallo, ich kann meinen key nicht uppen
gpg –send-key –keyserver wwwkeys.de.pgp.net $keyID
gpg: sende Schlüssel 04E0BF30 auf den hkp-Server wwwkeys.de.pgp.net
gpg: Schlüsselserver-Zeitüberschreitung
gpg: Senden an Schlüsselserver fehlgeschlagen: Schlüsselserverfehler
Hat sich die URL geändert?
@danny: ich würde pool.sks-keyservers.net – z.Z. sind einige Server down. Und des Weiteren ggf. lieber an gpgtools-users@lists.gpgtools.org schreiben – da ist denke ich die Antwort auf deine Frage höher ;)
@rj: wir sind noch immer sehr fleißig dabei GPGTools aufzubauen und mittlerweile ist sogar MacGPG2 mit im Team. Würden uns über einen Artikel freuen (bekommen recht viele Besucher von dieser Seite).
Ab heute gibt es auch einen GPGTools Installer für OS X Lion und dazu noch ein schönen Screencast dazu unter http://gpgtools.org.
Neuer Artikel? Bitte? ;)
@Alex das stand gestern tatsächlich auf der ToDo, haben es aber nicht mehr geschafft ;)
Hallo,
kurz vor Weihnachten widmete ich mich auch noch einmal diesem Thema, dank der GPGTools ist es ja mittlerweile wirklich einfach, das ganze einzurichten.
Der recht umfangreiche Artikel ist auch für technisch wenig Interessierte gut nachvollziehbar geschrieben:
http://www.macon.cc/blog/2011/12/e-mail-verschlusselung-unter-mac-os-x/
Beste Grüße,
Marcel
0 Tweets und Re-Tweets
0 Likes auf Facebook
7 Trackbacks/Pingbacks