Visual Universitätsmedizin Mainz

PGP (Pretty Good Privacy)

PGP ist ein asymmetrisches Verschlüsselungsverfahren, bei dem Sender und Empfänger zwei unterschiedliche Schlüssel (Public Key/Private Key) benutzen. Genau genommen ist es ein Verfahren der hybriden Verschlüsselung, bei dem die eigentliche Nachricht symmetrisch und der Schlüssel asymmetrisch verschlüsselt werden.

 

Verwendung des öffentlichen PGP-Schlüssels des Deutschen Kinderkrebsregisters (DKKR):

 

  • Der Schlüssel ist durch die Gesellschaft für Pädiatrische Onkologie und Hämatologie (GPOH) zertifiziert.

  • Fingerprint: 8AA1 DAFD 5CD2 7127 BA1E EE1E 2486 CC37 AAFD D043
  •  

  • Öffentlicher PGP - Schlüssel des DKKR

Nutzung von GnuPG (OpenPGP)

Die Nutzung von E-Mail zur Kommunikation kann eine große Arbeitserleichterung bedeuten. Zur Übermittlung personenbezogener oder vertraulicher Daten ist sie jedoch nur geeignet, wenn ein kryptographisches Verschlüsselungsverfahren eingesetzt wird. Hierfür ist das kostenlos erhältliche Open Source-Programm GnuPG besonders geeignet. Es ist in Mail-Programme wie Outlook oder auch Thunderbird (mit Enigmail.xpi) direkt integrierbar; mit anderen Mail-Programmen ist die Nutzung aber auch möglich.

Eine sehr gute Einführung zu GnuPG ist das im Paket enthaltene Handbuch für Einsteiger/Durchblicker von Gpg4win. Darüber hinaus gibt es im WWW eine Reihe weiterer nützlicher und gut verständlicher Informationen, so auf der der Seite www.gpg4win.de Online-Handbücher und ein Kompendium zum Thema GnuPG.

 

Vorgehen zur Installation auf Windows-Systemen

 

Die Installation ist leicht, erfordert aber insgesamt, einschließlich Herunterladen, Anlegen eines Schlüsselpaares bzw. Einbinden vorhandener Schlüssel, ca. 20 Min. Zeit.

 

Die aktuelle Version ist immer erhältlich bei http://www.gpg4win.de oder [hier].
OpenPGP-Signatur (für gpg4win-2.3.0.exe)
zum Download [hier]
SHA1-Prüfsumme (gpg4win-2.3.0.exe): 88d90ee9a1ea3e66b198ea866063140b882444d5

  • Anwählen des Links »Download« in der Version 2.3.0 oder höher.
  • Abspeichern. (Die Datei gpg4win-2.3.0.exe ist etwa 26 MByte groß.)
  • Die heruntergeladene Datei ausführen (Doppelklick) - dadurch wird GnuPG installiert. 
  • Für die Installation sind Administrator-Rechte auf dem PC nötig!
  • Für das Einbinden in Thunderbird, um Mails zu verschlüsseln, benötigen Sie noch ein »Add-on« namens Enigmail.xpi.
  • Die aktuelle Version dieses »Add-on« in Deutsch finden Sie auf der Seite http://www.thunderbird-mail.de/wiki/Enigmail oder [hier]

Die Handbücher befinden sich in dem neu angelegten Verzeichnis im PDF-Format und enthalten eine sehr gut verständliche Anleitung zur Nutzung in 2 unterschiedlichen Schwierigkeitsgraden. Der zum Lesen benötigte Adobe-Acrobat-Reader ist bei http://www.adobe.com frei erhältlich.

 

Voraussetzung der Nutzung: Eigene Schlüssel erzeugen

 

Mit Hilfe von Kleopatra-Schlüsselverwaltung »Kleopatra Tray« kann ein eigenes Schlüsselpaar erzeugt werden. Der private Schlüssel wird mit einer möglichst sicheren »Passphrase« geschützt. Nach den neuesten Erkenntnissen empfiehlt es sich, 2048-Bit-Schlüssel vom Typ: DSA/ELG  zu verwenden. Die wichtigsten Schritte dazu sind:

  • Die Vorgaben können fast alle übernommen werden.
  • Über Kleopatra-Einstellungen sollten Sie die Dateierweiterungen auf pgp umstellen, damit vorhandene Schlüssel leichter einzubinden sind.
  • Wird der Rechner regelmäßig von mehreren Personen benutzt, ist es sicherer, die Schlüsselringe auf einer persönlichen Diskette, einem USB-Stick oder einem gesicherten Netzlaufwerk zu speichern.
  • Die Passphrase sollte nicht zu kurz und vor allem für andere nicht zu erraten sein. Eine gute Methode ist, von einem Spruch, den man gut im Kopf hat, die Anfangsbuchstaben zu verwenden und einige Unregelmäßigkeiten einzubauen. Beispiel: Aus dem Spruch »Wer andern eine Grube graebt, ......« könnte man die Passphrase »WeRaNDeRNeiNeGRuBeGRaeBT« machen.
  • Das Senden des öffentlichen Schlüssels an einen Public Key Server ist zu empfehlen, allerdings ist es günstiger, erst das GPOH-Zertifikat (s. u.) einzuholen.

Einholen eines GPOH-Zertifikats

 

= Signieren lassen des öffentlichen Schlüssels (Public Key) mit dem GPOH-Zertifikatsschlüssel, der bei der Koordinationszentrale geführt wird und mit dem im Auftrag der GPOH die öffentlichen Schlüssel persönlich bekannter Mitarbeiter bestätigt werden.

  • Mit dem Programm Kleopatra-Schlüsselverwaltung den öffentlichen Schlüssel in eine ASCII-Datei exportieren (name.asc).
  • Diese zur nächsten GPOH-Tagung auf Diskette/USB-Stick mitbringen.
  • Sie bekommen auf Ihre Diskette/USB-Stick den Schlüssel mitsamt der Signatur durch den GPOH-Zertifizierungsschlüssel zurückgeschrieben.
  • Ferner bekommen Sie auf Ihre Diskette eine ASCII-Datei gpoh.asc, die den öffentlichen GPOH-Zertifizierungsschlüssel enthält.
  • Diese beiden ASCII-Dateien importieren Sie dann in Ihren Schlüsselbund.
  • Signieren Sie selbst den importierten GPOH-Schlüssel.

oder:

  • Holen Sie sich den GPOH-Zertifikatsschlüssel [hier].

Bekanntmachen des öffentlichen Schlüssels

 

Danach können Sie den eigenen (zertifizierten) öffentlichen Schlüssel mit PGPkeys an einen PGP-Key Server schicken. Wer durch einen Firewall geschützt ist, wird evtl. am Einsenden gehindert. In diesem Fall kann man einen WWW-Zugang verwenden,

z. B.: http://pgp.uni-mainz.de. (PGP-Key Server der Universität Mainz

 

Öffentliche Schlüssel suchen kann man mit der Kleopatra-Schlüsselverwaltung oder [hier].