Open Source im professionellen Einsatz
Linux-Magazin 05/2013
© Igor Averin, 123rf.com

© Igor Averin, 123rf.com

Frontends für GnuPG

Bund fürs Leben

Wer kryptographische Schlüssel und Zertifikate unter Linux erzeugen oder verwalten möchte, der greift in der Regel zum allseits bekannten GnuPG. Erscheint das Kommandozeilentool mit seinen zahlreichen Parametern zu verwirrend, helfen fünf grafische Frontends weiter.

944

Sicherheitsbewussten Anwendern leistet GnuPG [1] unter Linux, Windows und OS X gleichermaßen gute Dienste, da es Daten ver- und entschlüsselt sowie elektronische Signaturen erzeugt und prüft. Das freie Kryptographiesystem übermittelt somit nicht nur vertrauliche Informationen und sorgt für eine sichere Kommunikation per Mail und Chat, sondern es gewährleistet mit der Signatur zu den versandten Daten auch deren Authentizität und Integrität.

Das Kommandozeilentool »gpg« ist auf Unix-Betriebssystemen die erste Anlaufstelle. Es erzeugt, exportiert und importiert Schlüssel, verwaltet den eigenen Schlüsselbund, ver- und entschlüsselt Daten, kommuniziert mit Keyservern und vieles mehr. Die zahlreichen Aufrufoptionen erfordern allerdings ein gutes Gedächtnis oder einen wiederholten Blick in die Manpage.

Zahlreiche Frontends stellen daher »gpg« -Funktionen über eine grafische Oberfläche bereit. Sie erfordern allesamt das grundsätzliche Verständnis der asymmetrischen Verschlüsselung. Teilweise verlangen sie sogar nach Hintergrundwissen zur Bedienung von GnuPG selbst. In diesem Test treten der GNU Privacy Assistant [2], das Duo Kgpg [3] und Kleopatra [4], Pyrite [5] sowie Seahorse [6] an und zeigen, ob sie Linux-Anwendern die Arbeit mit der Kryptographiesoftware erleichtern können (Tabelle 1).

Tabelle 1

Frontends für GnuPG

Name

GNU Privacy Assistant

Kgpg/Kleopatra

Pyrite

Seahorse

Getestete Version

0.9.3

2.9/2.1.1

1.0.0

3.6.3

GUI-Toolkit

GTK+ 2

Qt/KDE

Python

GTK+/Gnome

Schlüssel erzeugen

ja

ja

nein

ja

Revocation Certificate

nein

ja

nein

nein

Schlüssel löschen

ja

ja

nein

ja

Schlüssel signieren

ja

ja

nein

ja

Vertrauensstufe wählen

ja

ja

nein

ja

Schlüssel importieren

ja

ja

nein

ja

Schlüssel exportieren

ja

ja

nein

ja

Sicherheitskopie anlegen

ja

ja

nein

ja

Public Key mailen

nein

ja

nein

nein

Export/Import von Server

ja/ja

ja/ja

nein

ja/ja

Verfallsdatum bearbeiten

ja

ja

nein

ja

Passphrase ändern

ja

ja

nein

ja

Dateien ver-/entschlüsseln

ja/ja

ja/ja

ja/ja

über Nautilus

Dateien signieren

ja

ja

ja

über Nautilus

Signatur von Dateien verifizieren

ja

ja

ja

über Nautilus

Symmetrische Verschlüsselung

nein

ja

ja

nein

Zertifikatsverwaltung

ja

ja

nein

ja

Externe Smartcards einbinden

ja

ja

nein

nein

Aktuelle Versionen der GUIs finden Anwender auf der jeweiligen Projekthomepage. Zusätzlich stehen von GPA, Kgpg, Kleopatra und Seahorse Pakete in den Repositories fast aller großen Distributionen bereit – allerdings in einigen leicht veralteten Fassungen. Pyrite bauen Nutzer aus den Quellen selbst.

GNU Privacy Assistant

Das offizielle Frontend für GnuPG [2] steht unter den Fittichen der Free Software Foundation. GPA ist laut Webseite "Work in progress" – und das seit 2000. Im Test trat die neueste Version 0.9.3 vom August 2012 an. Das Werkzeug setzt auf die GTK+-Bibliothek in der älteren Version 2. Mangels Dokumentation muss der Benutzer alle weiteren Abhängigkeiten mit »configure« mühsam selbst herausfinden, will er das Frontend selbst bauen. Unter Ubuntu 12.10 wollte das Programm nicht starten, sondern lieber unendlich lange die Verlässlichkeits-Datenbank wiederherstellen. Die Zusammenarbeit mit Open Suse 12.2 klappte nach einigen Anlaufschwierigkeiten jedoch.

Einen neuen Schlüssel fertigen Anwender mit einem kleinen Assistenten an, der nacheinander Name und E-Mail-Adresse abfragt. Anschließend bietet er an, eine Kopie des Schlüssels auf einem (externen) Medium zu speichern, wozu er eine Diskette vorschlägt. Die Passphrase fordert danach das Tool Pinentry [7] an; unter Open Suse ist das die installierte Variante »pinentry-qt4« . Sie bescheinigte im Test dem simplen Kennwort »1234567891« eine Qualitätsbestnote von sagenhaften 100 Prozent.

Auf dem Open-Suse-Testrechner schaffte der GNU Privacy Assistant es dann gerade noch, die Kopie des geheimen Schlüssels in eine Datei zu schreiben, bevor er sich reproduzierbar mit einem Speicherfehler verabschiedete. Nach einem Neustart arbeitete GPA jedoch ohne Probleme weiter. Wer die Standardeinstellung für die Schlüssellänge (2048 Bits) ändern möchte, der muss in den Optionen des Programms zum Expertenmodus wechseln. Das Verfallsdatum eigener Schlüssel legen Anwender ebenfalls über GPA fest. Das Tool blendet als Hilfe einen kleinen Kalender ein.

Experten bevorzugt

Das Hauptfenster listet im oberen Bereich alle lokal vorhandenen Zertifikate und Schlüssel auf. Markiert der Anwender einen Eintrag, erscheinen im unteren Bereich weitere Details, zum Beispiel das Verfallsdatum und der Verschlüsselungsalgorithmus. Angaben zur Signatur und zu den untergeordneten Schlüsseln beziehungsweise Informationen zur Vertrauenskette und Schlüsseln bei Zertifikaten bietet nur die Darstellung für Fortgeschrittene (Abbildung 1).

Abbildung 1: Nur in der Betriebsart für Experten blendet der GNU Privacy Assistent am unteren Fensterrand ausführliche Informationen zu den Schlüsseln und Zertifikaten, zu Signaturen und Subkeys ein.

Zum Signieren anderer Schlüssel verwendet der GNU Privacy Assistant ausschließlich den Standardschlüssel. Diesen wiederum müssen Benutzer umständlich in den Programmeinstellungen wählen. Das Tool erlaubt es, die Vertrauensstufen festzulegen, und importiert und exportiert die Schlüssel. Im Test hinterließ GPA allerdings kommentarlos eine leere Datei bei dem Versuch, mehrere Schlüssel gleichzeitig zu exportieren.

Eine eigene Dateiverwaltung verschlüsselt Files auf der lokalen Platte. Sie bietet nicht den gleichen Komfort wie ein Dateimanager, erledigt aber ihren Job. Zum Verschlüsseln und Signieren dürfen Anwender einen der vorhandenen Schlüssel auswählen und dem chiffrierten Ergebnis zudem eine Ascii-Verpackung spendieren. Eine symmetrische Verschlüsselung bietet GPA für Dateien nicht an.

Um schnell einen kleinen Textschnipsel vor neugierigen Augen zu verbergen, hält der GNU Privacy Assistant einen speziellen Texteditor bereit (siehe Abbildung 2). Das Programm bezeichnet ihn etwas irreführend als Zwischenablage. Es ver- und entschlüsselt in diesen Dialog kopierte oder getippte Texte. Außerdem kann GPA sie dort signieren oder vorhandene Signaturen prüfen. Eine Funktion zum Speichern suchen Benutzer hier allerdings vergeblich – den Inhalt übernehmen sie per Copy&Paste in eine andere Anwendung. Last, but not least stellt GPA einen Dialog zur Verfügung, der Smartcards verwaltet und einbindet.

Abbildung 2: Die GPA-Zwischenablage verschlüsselt und signiert Texte.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 5 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Libre Office 5.4

    Ende Juli erschien die neue Libre-Office-Version 5.4, die letzte Major-Release vor dem großen Sprung auf Version 6. Die Entwickler haben dem Büropaket etliche Neuerungen spendiert, darunter das Signieren von Writer-Dokumenten mit Open PGP.

  • Clients

    Ob private oder betriebliche Kommunikation – das Unbehagen wächst. Denn Geheimdienste und Mitbewerber trachten danach, aus dem Urgestein E-Mail eine sprudelnde Quelle abzuschöpfen. Der Schwerpunkt dieser Ausgabe informiert über mögliche Gegenmaßnahmen. Los geht es mit verschlüsselnden Clients.

  • Nach 16 Betas erreicht Gpg4win Version 2.0.0

    Das quelloffene Signier- und Verschlüsselungsprogramm Gpg4win für Windows unterstützt in der neuen stabilen Version neben Open PGP auch S/MIME.

  • Nach dem Einbruch: Fedora plant Schlüssel-Migration

    Bei einem Einbruch in die Server des Fedora-Projekts wurde möglicherweise ein kryptografischer Schlüssel kompromittiert. Nun diskutiert das Projekt, wie sich dieser ablösen lässt.

  • Fedora-Pakete: Umstellung auf neuen Schlüssel beginnt

    Nach dem Einbruch in einen seiner Server tauscht das Fedora-Projekt die Schlüssel aus, mit denen es Pakete für seine Linux-Distribution signiert. Heute beginnt die Umstellung.

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.