Zum Inhalt springenZur Seitennavigation springen: vorherige Seite [Zugriffstaste p]/nächste Seite [Zugriffstaste n]
documentation.suse.com / SUSE Linux Enterprise Server-Dokumentation / GNOME-Benutzerhandbuch / Konnektivität, Dateien und Ressourcen / Passwörter und Schlüssel: Signieren und Verschlüsseln von Daten
Gilt für SUSE Linux Enterprise Server 15 SP5

8 Passwörter und Schlüssel: Signieren und Verschlüsseln von Daten

Hier erfahren Sie, wie Sie PGP- und SSH-Schlüssel erstellen und verwalten.

Das Programm GNOME „Passwörter und Schlüssel“ ist eine wichtige Komponente der Verschlüsselungsinfrastruktur Ihres Systems. Mithilfe dieses Programms können Sie PGP- und SSH-Schlüssel erstellen und verwalten, die Schlüssel importieren, exportieren und freigeben, die Schlüssel und den Schlüsselring sichern und den Passwortsatz im Cache ablegen.

Öffnen Sie zum Starten der Anwendung die Aktivitätenübersicht, indem Sie Meta drücken und nach pass suchen.

Hauptfenster Passwörter und Schlüssel
Abbildung 8.1: Hauptfenster Passwörter und Schlüssel

8.1 Signieren und Verschlüsseln

Signieren.  Vorgang, bei dem elektronische Signaturen an Informationen angehängt werden (z. B. an Email-Nachrichten oder Software) und so deren Ursprung belegen. Sie sollten Ihre Emails signieren, um zu verhindern, dass jemand Emails in Ihrem Namen schreibt, und um sowohl sich selbst als auch die Personen, an die Sie die Emails senden, zu schützen. Anhand der Signaturen können Sie prüfen, wer Ihnen die empfangenen Nachrichten gesendet hat, und Sie können dadurch auch gutartige Nachrichten von gefährlichen unterscheiden.

Software-Entwickler signieren ihre Software, damit Sie deren Integrität überprüfen können. Auch wenn Sie Software von einem inoffiziellen Server erhalten, können Sie das Paket anhand der Signatur überprüfen.

Verschlüsselung.  Sie haben möglicherweise sensible Informationen, die Sie vor anderen schützen wollen. Durch die Verschlüsselung können Sie Daten übertragen und für andere unlesbar machen. Dies ist wichtig für Unternehmen, da sie so die Möglichkeit erhalten, interne Informationen sowie die Daten ihrer Mitarbeiter zu schützen.

8.2 Erstellen eines neuen Schlüsselpaars

Damit Sie mit anderen Benutzern verschlüsselte Nachrichten austauschen können, müssen Sie zuerst ein eigenes Schlüsselpaar erstellen. Dieses Schlüsselpaar besteht entsprechend aus zwei Teilen:

  • Öffentlicher Schlüssel.  Dieser Schlüssel dient zur Verschlüsselung. Geben Sie ihn an Ihre Kommunikationspartner weiter, sodass diese damit ihre Dateien oder Nachrichten für Sie verschlüsseln können.

  • Privater Schlüssel.  Dieser Schlüssel dient zur Entschlüsselung. Hiermit machen Sie verschlüsselte Dateien oder Nachrichten von anderen Benutzern (oder von Ihnen selbst) wieder lesbar.

Wichtig
Wichtig: Zugang zum privaten Schlüssel

Wenn Dritte den Zugang zu Ihrem privaten Schlüssel erhalten, können sie damit die Dateien und Nachrichten entschlüsseln, die nur für Sie bestimmt waren. Geben Sie Ihren privaten Schlüssel niemals an Dritte weiter.

8.2.1 Erstellen von OpenPGP-Schlüsseln

Das nicht proprietäre Protokoll OpenPGP verschlüsselt Email-Nachrichten mithilfe der auf PGP basierenden öffentlichen Schlüsselkryptografie. OpenPGP definiert Standardformate für verschlüsselte Nachrichten, Signaturen, private Schlüssel und Zertifikate für den Austausch öffentlicher Schlüssel.

  1. Öffnen Sie die Aktivitätenübersicht und geben Sie pass ein.

  2. Öffnen Sie Passwörter und Schlüssel.

  3. Drücken Sie auf die Plus-Schaltfläche (+) oben links im Fenster.

  4. Wählen Sie in der Liste die Option GPP Key (GPP-Schlüssel).

  5. Geben Sie Ihren vollständigen Namen in das Feld Full Name (Vollständiger Name) ein.

    Geben Sie optional auch Ihre Email-Adresse und einen Kommentar mit einer Beschreibung des Schlüssels ein.

  6. Klicken Sie auf Create (Erstellen), um das neue Schlüsselpaar zu erstellen.

    Geben Sie im Passwortdialogfeld ein Passwort für den Schlüssel ein.

  7. Bestätigen Sie Ihre Auswahl mit OK.

    Wenn Sie einen Passwortsatz angeben, sollten Sie dieselben Kriteren anwenden wie bei der Erstellung eines sicheren Passworts.

8.2.2 Erstellen von Secure Shell-Schlüsseln

Secure Shell (SSH) ist eine Methode zur Anmeldung bei einem entfernten Computer für das Ausführen von Kommandos auf diesem Rechner. SSH-Schlüssel werden in einem schlüsselbasierten Authentifizierungssystem als Alternative zum standardmäßigen Passwortauthentifizierungssystem verwendet. Bei Verwendung einer schlüsselbasierten Authentifizierung müssen Sie kein Passwort eingeben, um sich zu authentifizieren.

  1. Öffnen Sie die Aktivitätenübersicht und geben Sie pass ein.

  2. Öffnen Sie Passwörter und Schlüssel.

  3. Drücken Sie auf die Plus-Schaltfläche (+) oben links im Fenster.

  4. Wählen Sie in der Liste die Option Secure Shell Key.

  5. Geben Sie eine Beschreibung für den Schlüssel ein.

    Ändern Sie optional die Standardeinstellungen für die Verschlüsselungsart oder die Schlüsselstärke.

    Verschlüsselungsart.  Legt die Verschlüsselungsalgorithmen fest, die zur Erstellung Ihrer Schlüssel verwendet werden. Wählen Sie RSA, um den Rivest-Shamir-Adleman-Algorithmus (RSA) für die Erstellung des SSH-Schlüssels zu verwenden. Dies ist die bevorzugte und sicherere Option. Wählen Sie DSA, um den Digital Signature-Algorithmus (DSA) für die Erstellung des SSH-Schlüssels zu verwenden.

    Schlüsselstärke.  Gibt die Länge des Schlüssels in Bit an. Je länger der Schlüssel, desto sicherer ist er (sofern ein starker Passwortsatz verwendet wird). Denken Sie daran, dass die Ausführung einer Operation mit einem längeren Schlüssel länger dauert als mit einem kürzeren Schlüssel. Annehmbare Werte liegen zwischen 1024 und 4096 Bit. Empfohlen werden mindestens 2048 Bit.

  6. Bestätigen Sie entweder mit Just Create Key (Nur Schlüssel erstellen) oder mit Create and Set Up (Erstellen und einrichten). Im letzteren Fall werden Sie durch die Installation des öffentlichen Schlüssels geführt.

8.3 Ändern von Schlüsseleigenschaften

Die Eigenschaften der vorhandenen OpenPGP- oder SSH-Schlüssel können bearbeitet werden.

8.3.1 Bearbeiten von OpenPGP-Schlüsseleigenschaften

Die Beschreibungen in diesem Abschnitt gelten für alle OpenPGP-Schlüssel.

  1. Öffnen Sie die Aktivitätenübersicht und geben Sie pass ein.

  2. Öffnen Sie Passwörter und Schlüssel.

  3. Wählen Sie im linken Navigationsbereich die Option GnuPG keys (GnuPG-Schlüssel).

  4. Klicken Sie mit der rechten Maustaste auf den zu bearbeitenden PGP-Schlüssel und wählen Sie Properties (Eigenschaften).

    Ein Dialogfeld mit folgenden Schlüsseleigenschaften wird geöffnet:

    Schlüssel-ID: Die Schlüssel-ID gleicht dem Fingerabdruck; sie enthält jedoch nur die letzten acht Zeichen des Fingerabdrucks. Es ist generell möglich, einen Schlüssel nur durch die Schlüssel-ID zu identifizieren. Manchmal können jedoch zwei Schlüssel dieselbe Schlüssel-ID aufweisen.

    Fingerabdruck: Eine eindeutige Zeichenfolge, die einen Schlüssel exakt identifiziert.

    Expires (Ablauf): Das Datum, ab dem der Schlüssel nicht mehr verwendet werden kann (ein Schlüssel kann nicht mehr für Schlüsseloperationen eingesetzt werden, wenn er abgelaufen ist). Wenn das Ablaufdatum eines Schlüssels auf einen späteren Zeitpunkt verschoben wird, wird der Schlüssel reaktiviert. Eine praktische Lösung besteht in der Erstellung eines Master-Schlüssels, der niemals abläuft, und mehrerer Unterschlüssel, die ablaufen und vom Master-Schlüssel signiert sind.

    Subkeys (Unterschlüssel): Weitere Informationen zu diesem Thema finden Sie unter dem Stichwort Abschnitt 8.3.1.2, „Bearbeiten der Eigenschaften von OpenPGP-Unterschlüsseln“.

    Vertrauen in den Eigentümer überschreiben: Hier können Sie die Vertrauensstufe für den Schlüsseleigentümer festlegen. Durch Ihr Vertrauen signalisieren Sie, in welchem Maße Sie davon überzeugt sind, dass eine Person fähig ist, das Vertrauensnetzwerk zu erweitern. Wenn ein Schlüssel vorliegt, den Sie nicht signiert haben, wird die Echtheit des Schlüssels anhand seiner Signaturen ermittelt und anhand des Grads, in dem Sie den entsprechenden Signierern vertrauen.

  5. Klicken Sie auf die Plus-Schaltfläche und fügen Sie dem Schlüssel ein Foto hinzu oder ändern Sie den Passwortsatz für den Schlüssel.

    Durch Foto-IDs kann der Eigentümer eines Schlüssels ein oder mehrere Fotos von sich in einen Schlüssel einbetten. Diese IDs können wie normale Benutzer-IDs signiert werden. Eine Foto-ID muss das JPEG-Format aufweisen. Die empfohlene Größe ist 120x150 Pixel.

    Wenn Dateityp und Größe des ausgewählten Bilds nicht den Anforderungen entsprechen, wird das Bild ggf. von Passwörter und Schlüssel verkleinert und aus jedem von der GDK-Bibliothek unterstützten Format in das erforderliche Format konvertiert.

  6. Schließen Sie zum Abschluss das Dialogfeld.

8.3.1.1 Hinzufügen einer Benutzer-ID

Benutzer-IDs ermöglichen die Verwendung mehrerer Identitäten und Email-Adressen mit demselben Schlüssel. Das Hinzufügen einer Benutzer-ID ist sinnvoll, beispielsweise wenn Sie eine Identität für Ihren Beruf und eine für Ihre Freunde verwenden möchten. Benutzer-IDs weisen folgende Form auf:

Name (COMMENT) <E-MAIL>
  1. Öffnen Sie die Aktivitätenübersicht und geben Sie pass ein.

  2. Öffnen Sie Passwörter und Schlüssel.

  3. Wählen Sie im linken Navigationsbereich den Schlüsselbund GnuPG keys (GnuPG-Schlüssel) aus.

  4. Wählen Sie in der Liste die Option Personal PGP key (Persönlicher PGP-Schlüssel).

  5. Klicken Sie mit der rechten Maustaste auf den Schlüssel und wählen Sie Properties (Eigenschaften) › Add user ID (Benutzer-ID hinzufügen).

  6. Füllen Sie im Dialogfeld die Felder Full Name (Vollständiger Name), Email Address (Email-Adresse) und Key Comment (Schlüsselkommentar) für die neue Benutzer-ID aus und klicken Sie auf OK.

    Anhand Ihrer Email-Adresse werden die meisten Benutzer Ihren Schlüssel auf einem Schlüsselserver oder bei einem anderen Schlüsselanbieter finden können. Vergewissern Sie sich, dass die Adresse richtig ist, bevor Sie fortfahren.

  7. Geben Sie den Passwortsatz ein und klicken Sie abschließend auf OK.

8.3.1.2 Bearbeiten der Eigenschaften von OpenPGP-Unterschlüsseln

Jeder OpenPGP-Schlüssel verfügt über einen Master-Schlüssel, der nur zum Signieren verwendet wird. Unterschlüssel werden zum Verschlüsseln und zum Signieren verwendet. Auf diese Weise müssen Sie Ihren Master-Schlüssel nicht zurücknehmen, wenn Ihr Unterschlüssel beschädigt wird.

  1. Öffnen Sie die Aktivitätenübersicht und geben Sie pass ein.

  2. Öffnen Sie Passwörter und Schlüssel.

  3. Wählen Sie in der Liste die Option GnuPG keys (GnuPG-Schlüssel).

  4. Wählen Sie in der Liste die Option Personal PGP (Persönlicher PGP).

  5. Klicken Sie mit der rechten Maustaste auf den ausgewählten Schlüssel und wählen Sie Properties (Eigenschaften).

  6. Legen Sie die Eigenschaften für Ihren Schlüssel fest.

  7. Zum Bestätigen der Änderungen schließen Sie das Dialogfeld.

8.3.2 Bearbeiten der Secure Shell-Schlüsseleigenschaften

Die Beschreibungen in diesem Abschnitt gelten für alle SSH-Schlüssel.

  1. Öffnen Sie die Aktivitätenübersicht und geben Sie pass ein.

  2. Öffnen Sie Passwörter und Schlüssel.

  3. Wählen Sie in der Liste die Option OpenSSH keys (OpenSSH-Schlüssel) und klicken Sie mit der rechten Maustaste auf den zu bearbeitenden Schlüssel.

  4. Ein Dialogfeld wird geöffnet, in dem Sie folgende Eigenschaften einsehen und bearbeiten können:

    Algorithm (Algorithmus): Gibt den Verschlüsselungsalgorithmus an, der zur Erstellung des Schlüssels verwendet wurde.

    Standort: Das Verzeichnis, in dem der private Schlüssel gespeichert wurde.

    Fingerabdruck: Eine eindeutige Zeichenfolge, die einen Schlüssel exakt identifiziert.

    Exportieren.  Exportiert den Schlüssel in eine Datei.

  5. Zum Bestätigen der Änderungen schließen Sie das Dialogfeld.

8.4 Importieren von Schlüsseln

Schlüssel können in Textdateien exportiert werden. Diese Dateien enthalten Klartext am Anfang und am Ende eines Schlüssels. Dieses Format wird als ASCII-verschlüsselter Schlüssel bezeichnet.

So importieren Sie Schlüssel:

  1. Öffnen Sie die Aktivitätenübersicht und geben Sie pass ein.

  2. Öffnen Sie Passwörter und Schlüssel.

  3. Drücken Sie auf die Plus-Schaltfläche (+) in der oberen linken Ecke.

  4. Wählen Sie in der Liste die Option Import from file (Aus Datei importieren).

  5. Wählen Sie im Dialogfeld den zu importierenden Schlüssel aus. Öffentliche SSH-Schlüssel enden auf pub.

  6. Klicken Sie auf Open (Öffnen), um den Schlüssel zu importieren.

In Passwörter und Verschlüsselung können Sie auch Schlüssel einfügen:

  1. Wählen Sie einen ASCII-geschützten öffentlichen Textblock aus und kopieren Sie ihn in die Zwischenablage.

  2. Öffnen Sie die Aktivitätenübersicht und geben Sie pass ein.

  3. Öffnen Sie Passwörter und Schlüssel.

  4. Drücken Sie auf die Plus-Schaltfläche (+) in der oberen linken Ecke.

  5. Fügen Sie den Schlüssel an der gewünschten Position ein.

8.5 Exportieren von Schlüsseln

So exportieren Sie Schlüssel:

  1. Öffnen Sie die Aktivitätenübersicht und geben Sie pass ein.

  2. Öffnen Sie Passwörter und Schlüssel.

    Wählen Sie im linken Navigationsbereich den zu exportierenden Schlüsselbund GnuPG keys (GnuPG-Schlüssel) aus.

  3. Wählen Sie unter Personal PGP key (Persönlicher PGP-Schlüssel) den zu exportierenden Schlüssel aus.

  4. Klicken Sie mit der rechten Maustaste auf den Schlüssel und wählen Sie Export (Exportieren).

  5. Soll der Schlüssel im ASCII-Format gespeichert werden, wählen Sie Armored PGP keys (Geschützte PGP-Schlüssel).

  6. Wählen Sie einen Speicherort aus und bestätigen Sie mit Export (Exportieren).

8.6 Signieren eines Schlüssels

Durch das Signieren des Schlüssels einer anderen Person geben Sie an, dass Sie dieser Person vertrauen. Bevor Sie einen Schlüssel signieren, sollten Sie den Fingerabdruck des Schlüssels sorgfältig überprüfen, um sicherzustellen, dass der Schlüssel tatsächlich dieser Person gehört.

Durch Ihr Vertrauen signalisieren Sie, in welchem Maße Sie davon überzeugt sind, dass eine Person fähig ist, das Vertrauensnetzwerk zu erweitern. Wenn ein Schlüssel vorliegt, den Sie nicht signiert haben, wird die Echtheit des Schlüssels anhand seiner Signaturen ermittelt und anhand des Grads, in dem Sie den entsprechenden Signierern vertrauen.

  1. Öffnen Sie die Aktivitätenübersicht und geben Sie pass ein.

  2. Öffnen Sie Passwörter und Schlüssel.

  3. Importieren Sie den zu signierenden Schlüssel.

  4. Wählen Sie in der Liste GnuPG keys (GnuPG-Schlüssel) den importierten Schlüssel aus.

  5. Klicken Sie mit der rechten Maustaste auf den Schlüssel und wählen Sie Properties (Eigenschaften) › Trust (Vertrauen).

  6. Klicken Sie auf die Schaltfläche Sign this Key (Diesen Schlüssel signieren).

  7. Geben Sie an, wie sorgfältig Sie den Schlüssel geprüft haben.

  8. Legen Sie fest, ob Sie Ihre Signatur zu einem späteren Zeitpunkt widerrufen können möchten und ob Ihre Signatur öffentlich gemacht werden soll.

  9. Bestätigen Sie mit Sign (Signieren).

8.7 Passwort-Schlüsselbunde

Sie können die Einstellungen für Passwort-Schlüsselbunde verwenden, um Schlüsselbunde zu erstellen oder zu entfernen, einen Standardschlüsselbund für Anwendungspasswörter festzulegen oder um das Passwort zum Entsperren eines Schlüsselbunds zu ändern. Gehen Sie folgendermaßen vor, um einen neuen Schlüsselbund zu erstellen:

  1. Öffnen Sie die Aktivitätenübersicht und geben Sie pass ein.

  2. Öffnen Sie Passwörter und Schlüssel.

  3. Drücken Sie auf die Plus-Schaltfläche (+) in der oberen linken Ecke.

  4. Wählen Sie in der Liste die Option Password keyring (Passwort-Schlüsselbund).

  5. Geben Sie einen Namen für den Schlüsselbund ein und klicken Sie auf Hinzufügen.

  6. Geben Sie ein neues Passwort für den Schlüsselbund ein, bestätigen Sie es und klicken Sie zum Erstellen des Schlüssels auf Continue (Weiter).

Um das Passwort zum Entsperren eines vorhandenen Schlüsselbunds zu ändern, klicken Sie mit der rechten Maustaste auf die Registerkarte Passwörter auf den Schlüsselbund und klicken Sie dann auf Passwort ändern. Sie müssen das alte Passwort angeben, um es ändern zu können.

Klicken Sie zum Ändern des Standard-Schlüsselbunds für Anwendungspasswörter mit der rechten Maustaste auf der Registerkarte Passwörter auf den Schlüsselbund und klicken Sie dann auf Als Standard festlegen.

8.8 Schlüsselserver

Sie können Ihre Schlüssel auf dem neuesten Stand halten, indem Sie diese regelmäßig mit entfernten Schlüsselservern synchronisieren. Durch die Synchronisierung stellen Sie sicher, dass all Ihre Schlüssel stets die neuesten Signaturen aufweisen und das Vertrauensnetzwerk wirksam ist.

  1. Öffnen Sie die Aktivitätenübersicht und geben Sie pass ein.

  2. Öffnen Sie Passwörter und Schlüssel.

  3. Wählen Sie den zu synchronisierenden PGP-Schlüssel aus.

  4. Drücken Sie die Menüschaltfläche in der Kopfleiste.

  5. Wählen Sie Sync and publish keys (Schlüssel synchronisieren und veröffentlichen).

    HKP-Schlüsselserver: HKP-Schlüsselserver sind normale webbasierte Schlüsselserver, beispielsweise der beliebte Server hkp://pgp.mit.edu:11371, der auch unter http://pgp.mit.edu verfügbar ist.

    LDAP-Schlüsselserver: LDAP-Schlüsselserver kommen seltener vor, stellen die Schlüssel jedoch über das standardmäßige LDAP-Protokoll bereit. ldap://keyserver.pgp.com ist ein guter LDAP-Server.

    Sie können die zu verwendenden Schlüsselserver mithilfe der Schaltflächen auf der linken Seite hinzufügen oder entfernen. Legen Sie zum Hinzufügen eines neuen Schlüsselservers dessen Typ, Host und, falls nötig, dessen Port fest.

  6. Legen Sie fest, ob Ihre öffentlichen Schlüssel automatisch veröffentlicht werden sollen und welcher Schlüsselserver verwendet werden soll. Geben Sie an, ob Schlüssel automatisch von Schlüsselservern abgerufen und ob geänderte Schlüssel mit den Schlüsselservern synchronisiert werden sollen.

  7. Klicken Sie zum Synchronisieren Ihres Schlüssels auf die Schaltfläche Sync (Synchronisieren).

8.9 Schlüsselfreigabe

Die Schlüsselfreigabe wird durch DNS-SD bereitgestellt, das auch als Bonjour oder Rendezvous bezeichnet wird. Durch die Aktivierung der Schlüsselfreigabe werden die öffentlichen Schlüsselbunde der lokalen Benutzer von Passwörter und Schlüssel in das Dialogfeld für die entfernte Suche eingefügt. Die Verwendung dieser lokalen Schlüsselserver erfolgt generell schneller als der Zugriff auf entfernte Server.

  1. Öffnen Sie die Aktivitätenübersicht und geben Sie pass ein.

  2. Öffnen Sie Passwörter und Schlüssel.

  3. Wählen Sie im linken Navigationsbereich die Option GnuPG keys (GnuPG-Schlüssel).

  4. Wählen Sie in der Liste unter Personal PGP key (Persönlicher PGP-Schlüssel) den freizugebenden Schlüssel aus.

  5. Drücken Sie die Menüschaltfläche in der Kopfleiste.

  6. Wählen Sie Sync and publish keys (Schlüssel synchronisieren und veröffentlichen).

  7. Öffnen Sie die Liste der Schlüsselserver über die Schaltfläche Key Servers (Schlüsselserver).

  8. Zum Veröffentlichen Ihres Schlüssels wählen Sie einen Server im Menü aus. Schließen Sie das Fenster und wechseln Sie zum vorherigen Dialogfeld zurück.

  9. Drücken Sie abschließend Sync (Synchronisieren).