Special News: 26. Juli 2010,

GPGMail-Anleitung: PGP/GPG-Verschlüsselung mit OS X Snow Leopard und Mail

MacGPG2
MacGPG2 - Installation abgeschlossen

Für einige Zeit war nach dem Snow-Leopard-Update die GPG/PGP-Verschlüsselung unter Mail und Mac OS X mangels Update des Mail-Plugins nicht verfügbar – mittlerweile hat sich das glücklicherweise wieder geändert. Die Schlüsselverwaltung gerät mit der Kommandozeile leider noch etwas aufwändig, aber immerhin: sichere PGP-Verschlüsselung per Mail unter Mac OS X geht wieder. Das Importieren existierender Keyrings ist glücklicherweise eine eher leichte Übung.

Werbung

Von Sente.ch zog GPGMail auf GPGMail.net um, wo das GPG-Plugin für Mail nun weiter gepflegt wird. Die zwischenzeitliche Überlastung des Entwicklers verhinderte das notwendige Update, mit dem das Krypto-Plugin für Mail unter Snow Leopard läuft. Nach den notwendigen Updates braucht es nur noch die Installation von MacGPG und das anschließende Einspielen der aktuellen GPGMail-Version, um unter Snow Leopard und Mail wieder GPG/PGP-verschlüsselte E-Mails zu verschicken und empfangen.

Installation von MacGPG und GPGMail

Die Reihenfolge spielt eine Rolle: zuerst muss MacGPG 2 installiert werden. Nach dem Download entpackt man das Archiv und startet das Installationsfile.

Anschließend kann man sich an die Installation des eigentlichen Mail-Plugins machen. Man lädt die aktuelle Version für Mac OS X und startet nach dem Entpacken den Installer. Mail muss neu gestartet werden, anschließend sind wir jedoch erst am Anfang der eigentlichen Einrichtung des Verschlüsselungs-Plugins. Denn ein schneller Versuch, Mails zu ver- oder entschlüsseln, wird schnell mit einer Fehlermeldung beendet. Kein Wunder, denn das Plugin verfügt noch nicht über die notwendigen öffentlichen bzw. privaten Keyfiles, um verschlüsselte Mails zu lesen oder zu erzeugen.

GPGMail - PGP Schlüssel fehlen

GPGMail – PGP Schlüssel fehlen

Wer bereits seine öffentlichen und privaten Schlüssel auf der Platte liegen hat, kann direkt zum Import übergehen – für alle anderen nun die Anleitung, wie man via Terminal ein GPG-Schlüsselpaar erzeugt und den öffentlichen Schlüssel der Allgemeinheit zur Verfügung stellt.

Öffentlichen und geheimen GPG/PGP-Schlüssel erzeugen

Wir starten die Konsole (Programme-Hilfsprogramme) und rufen mit dem Kommando gpg --gen-key die Key-Generierung auf. Wir wählen RSA/RSA als Kryptoverfahren. Die 4096 bit Schlüssellänge ist etwas paranoid, aber mit heutiger Rechenleistung keine Systembremse mehr. Unbegrenzte Schlüssellebensdauer mag Geschmackssache sein, im Beispiel wurde sie gewählt.

Anschließend wird man nach seinem Vor- und Nachnamen gefragt. Man kann natürlich ein Pseudonym angeben, das eben an den Key und die zugehörige Mailadresse gekoppelt wird. Die Mailadresse wird angegeben, mit der man verschlüsselt kommunizieren will, mit “f” ist das Prozedere “Fertig” und benötigt nur noch die Schlüsselphrase, mit der ein Zugriff auf das Keyfile authentifiziert wird. Es empfiehlt sich, ein wirklich sicheres, alphanumerisches Passwort zu wählen.

Nun wird eine größere Menge von Zufallswerten erzeugt/gesammelt – es dauerte in unserem Beispiel ungefähr drei Minuten, in denen normal am Rechner weitergearbeitet wurde. Anschließend war das Schlüsselpaar erstellt. Die Schlüssel-ID sollte man sich kopieren bzw. notieren: der mit 5AC8D5EC automatisch benannte Key kann mit Hilfe dieser ID via Keyserver den zukünftigen Korrespondenten zur Verfügung gestellt werden. Um den eigenen Public Key auf einem Keyserver zu hinterlegen, gibt man in der Konsole den folgenden Befehl ein: gpg --send-key --keyserver wwwkeys.de.pgp.net (KEY-ID).

Das Ergebnis sollte folgendermaßen aussehen:

noname:~ richie$ gpg --send-key --keyserver wwwkeys.de.pgp.net 5AC8D5EC
gpg: sende Schlüssel 5AC8D5EC auf den hkp-Server wwwkeys.de.pgp.net
noname:~ richie$

Import bestehender PGP/GPG-Keys

Gängige GPG-Frontends legen die Dateien pubring.gpg und secring.gpg an, in denen die öffentlichen bzw. geheimen Schlüssel gespeichert sind. Diese können mit dem Konsolenbefehl gpg --import (filename) einfach importiert werden. Zu beachten ist zweierlei: entweder muss für/statt (filename) der korrekte Pfad zur Datei angegeben werden, oder man befindet sich bereits im Verzeichnis, in dem sich das zu importierende Keyfile befindet. Im Beispiel wurden Pubring und Secring auf den Desktop kopiert und von dort importiert.

Weiter ist beim Import des Secring (der die eigenen, geheimen Schlüssel enthält) naturgemäß die Kenntnis der jeweils zum geheimen Schlüssel gehörenden Passphrasen notwendig. Diese werden beim Import angefragt. Weiter wandelt der Importvorgang gegebenenfalls Dateiformate um – inwieweit das zu Problemen mit Nutzern der Public Keys führen kann, konnten wir bislang nicht nachvollziehen.

Auf diese Weise kann man sowohl komplette Keyring-Dateien importieren als auch einzelne öffentliche Schlüssel. Letztere können unter beliebigen Dateinamen als ASCII-Datei gespeichert und anschließend importiert werden – wenn alle Stricke reißen, kann so auch ein GPG-Key im Browser betrachtet, per Kopieren und Einfügen im Editor der Wahl gespeichert und anschließend in den eigenen Pubring verfrachtet werden.

E-Mails verschlüsselt versenden und empfangen

Nach der Installation und der Auswahl eines Standardschlüssels steht bei jeder E-Mail, die man mit Mail verfasst, die Option zur Verschlüsselung bzw. Signierung zur Verfügung.

Apple Mail - GPG Verschlüsselung

Apple Mail – GPG Verschlüsselung

Nach Eingabe der Keyphrase (des Senders) wird die Mail verschlüsselt und verschickt – vorausgesetzt, für die Empfängeradresse ist ein Public Key bereits gespeichert oder kann per Keyserver geladen werden. Verschlüsselt man die Mail nicht wie per Default eingestellt auch an sich selbst, entfällt die Eingabe der Keyphrase – nur ist die Mail anschließend nicht mehr für den Sender, sondern nur noch für den Empfänger entschlüsselbar.

Apple Mail - GPG Entschlüsselung

Apple Mail – GPG Entschlüsselung

Auf Empfängerseite ist wiederum die Eingabe der Keyphrase (des Empfängers) notwendig, damit die Mail entschlüsselt werden kann.

Weitersagen

Zuletzt kommentiert

 12 Kommentar(e) bisher

  •  Volker (26. Juli 2010)

    Mist, ich bekomme gpg (GnuPG) 1.4.9 einfach nicht mehr weg/auf 2.0.14 upgedated, egal wie oft ich es drüberbügel.
    Ich werd dann mal auf Gnu-Dateienjagd gehen :D
    Aber den Downloadlink von MacGPG solltest du oben ändern, der führt immer noch zur Version 1.4.9 und nicht zur. 2.0.14

  •  thd (27. Juli 2010)

    Wegen GPG 1.4.9 / 2.0.14: Die Versionen werden unabhängig voneinander installiert und können auch unabhängig voneinander benutzt werden; die 2.x Version ist auch nicht einfach eine “neuere” Version als die 1.x Version, sondern folgt in Teilen auch einem anderen Konzept (ist modulbasiert, unterstützt S/MIME); vgl. http://gnupg.org/download/index.de.html. Wenn beide Versionen installiert habt und sichergehen wollt, dass ihr die 2.x-Version ausführt, dann solltet ihr in der Kommandozeile einfach “gpg2″ statt “gpg” aufrufen. Zu Schlüsselerzeugung lautet der Befehl dann
    gpg2 --gen-key.

  •  Arne (28. Juli 2010)

    Da bei mir das GPGMail-Plugin nicht wollte (Installation wegen ungenügender Rechte trotz Adminrechte fehlgeschlagen), habe ich nach einer neueren Version geschaut. Unter http://github.com/gpgmail/GPGMail/downloads findet man schon Version 1.3.0. Die ging bei mir.

  •  rj (28. Juli 2010)

    Die 1.3 kam gestern raus laut Erstellungsdatum… das freut mich einerseits und ich denke weiterhin, dass da bald auch das .dmg bei gpgmail.net liegt… bis dahin mal eine peinliche Frage: wie installiert man das .mailbundle?

  •  thd (28. Juli 2010)

    @rj: Die .mailbundle-Datei muss in folgendes Verzeichnis kopiert werden:
    Users/[Benutzername]/Library/Mail/Bundles/

  •  thd (28. Juli 2010)

    @rj: Oh, und ggf. muss für Mail.app noch die Benutzung von Bundles aktiviert werden; dafür im Terminal ausführen:

    defaults write com.apple.mail EnableBundles -bool true

  •  mike (30. Juli 2010)

    @rj wie man das installiert steht auf http://www.gpgmail.org Dort ist auch ein Installer verfügbar, du mußt also einfach zuerst GnuPG 1 oder 2 (geht beides) installieren, dann den Installer laufen lassen und dann schlüssel erstellen (entweder über terminal oder über gpg keychain access, achtung nur PPC, daher bei intel macs rosetta erforderlich).

    Bei frage kannst du dich auch an die user-mailing-liste wenden:
    http://lists.gpgmail.org/mailman/listinfo/gpgmail-users

    Vielleicht magst du die ganzen neuerungen in den artikel einfließen lassen?

    beste grüße,
    mike

  •  sabbeljan (24. August 2010)

    Alles wunderbar installiert. Wie hängt man seinen eigenen Schlüssel an (nicht verschlüsseln oder signieren)? Die Thunderbirdnutzer haben dafür eine Option, aber unter Mail?

  •  danny (26. Januar 2011)

    Hallo, ich kann meinen key nicht uppen
    gpg –send-key –keyserver wwwkeys.de.pgp.net $keyID

    gpg: sende Schlüssel 04E0BF30 auf den hkp-Server wwwkeys.de.pgp.net
    gpg: Schlüsselserver-Zeitüberschreitung
    gpg: Senden an Schlüsselserver fehlgeschlagen: Schlüsselserverfehler

    Hat sich die URL geändert?

  •  Alex (7. Februar 2011)

    @danny: ich würde pool.sks-keyservers.net – z.Z. sind einige Server down. Und des Weiteren ggf. lieber an gpgtools-users@lists.gpgtools.org schreiben – da ist denke ich die Antwort auf deine Frage höher ;)

  •  Alex (10. November 2011)

    Ab heute gibt es auch einen GPGTools Installer für OS X Lion und dazu noch ein schönen Screencast dazu unter http://gpgtools.org.
    Neuer Artikel? Bitte? ;)

  •  kg (11. November 2011)

    @Alex das stand gestern tatsächlich auf der ToDo, haben es aber nicht mehr geschafft ;)


Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht.



Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Werbung