Das Bild von Axel habe ich extra rot eingefärbt, damit es als Beispiel besser sichtbar ist. Es ist ganz einfach, das Foto im GnuPG-Schlüssel abzuspeichern, allerdings gibt es zwei, drei Dinge, die dazu wichtig sind:

• Das Bild muss im Format jpeg vorliegen
• Da es direkt in den Schlüssel inkludiert wird, sollte es nicht zu schwer sein.
• Graustufenbilder sind leichter.
• 100 Pixel Breite ist ein guter Richtwert

Das Bild kann dann mittels der Konsole hinzugefügt werden. Es versteht sich von selbst, dass ein GnuPG-Schlüsselpaar bestehen muss, um das Foto hinzufügen zu können.

gpg --edit-key Roman Hanhart

Die Informationen zum Schlüssel werden angezeigt; zuvor ist es eventuell erforderlich, dass das Kennwort zum Schlüssel eingegeben werden muss.

addphoto

initiiert nun die Arbeit, um das Bild anzufügen. Das Programm erfragt den Pfad zum Bild, zeigt das Bild an und erbittet nach dem Schliessen des Bildes eine Bestätigung, dass es sich dabei um das Foto handelt, das man einbinden will.

save

sichert die ganze Geschichte und dann kann man den öffentlichen Schlüssel wieder auf einen Keyserver hochladen. Fertig.

Ähnliche Artikel

• 12. Dezember 2009 -- Keysigning-Party zu Zürich und CAcert (4)
• 6. Dezember 2009 -- PGP-Schlüssel verwalten (1)
• 5. Oktober 2010 -- Keysigning an der Ubucon (1)
• 12. August 2010 -- Keysigning-Party am 18. September in Zürich (1)
• 15. Mai 2010 -- Keysigning-Party am LinuxTag in Berlin (0)

Die elfte Folge kann wir immer auf dem Deimhart-Blog heruntergeladen oder online gehört werden.

Am kommenden Samstag, den 6. März 2010, sind wir zu Gast bei Martin und Axel im Radio LORA bei der Sendung Hackerfunk. Dann geht es nicht um die Verschlüsselung, sondern um unsere Arbeit mit Podcasts und um Deimhart im Allgemeinen. Ich freue mich sehr auf diese Sendung, welche übrigens in Schweizerdeutsch gehalten wird. Radio LORA kann über das Web gehört oder direkt im Äther oder über Kabel abgezapft werden.

Die Sendung steht auch nachher noch als Podcast auf dem Archiv des Hackerfunks zur Verfügung. Danke für die Einladung, Martin und Axel!

Ähnliche Artikel

• 12. August 2008 -- Firefox und GnuGP (5)
• 30. Dezember 2010 -- Zurück zu Ubuntu (12)
• 6. Dezember 2010 -- Perl und DeimHart (0)
• 2. November 2010 -- Ubucon 2010 und Ubuntu Maverick Meerkat (8)
• 15. Juni 2010 -- FreiesMagazin bei DeimHart (0)

Mich fasziniert die Organisation einer solcher Veranstaltung, auch wenn es gestern und im Vorfeld ab und zu Kleinigkeiten gab, die nicht auf Anhieb rollten. Aber darüber darf man getrost hinwegsehen; stattdessen bedanke ich mich bei den Veranstalter für die Organisation. Gerne nehme ich mir wieder einmal Zeit für eine solche Veranstaltung, die manchmal auch in anderen, grösseren Anlässen wie BarCamps, Linux-Tage oder der Ubucon eingebettet ist. Die Arbeit für die einzelnen Teilnehmer folgt nach der Party, wenn die Schlüssel anhand der Fingerabdrücke überprüft und unterschrieben werden. Ausserdem wird der Grad des Vertrauens festgelegt und der öffentliche Teilschlüssel dann dem Inhaber per Mail zugesandt oder direkt auf dem Schlüsselserver geschickt. Ich erledigte diese Arbeit mit Enigmail, einer Erweiterung für Thunderbird, um GnuPG zu nutzen.

Bei dieser Gelegenheit sprach mich Dirk auf CAcert an. Das ist eine freie Variante von SSL-Zertifikaten für verschiedene Zwecke. Da sich an der Keysigning-Party auch einige Leute aus der “CAcert-Szene” tummelten, konnte ich nach einiger Überzeugungs- und Willensarbeit seitens Dirk ein paar Anträge ausfüllen und gleich beglaubigen lassen. Somit komme ich wohl schon bald zu einem Root-Zertifikat. Die ganze Geschichte rund um die CAcert-Zertifikate macht mir einen stabilen und seriösen Eindruck. Ausserdem scheint CAcert eine gelungene Alternative zu den wirtschaftlich getriebenen “öffentlichen Zertifikats-Häusern” zu sein, auch wenn sich CAcert nicht überall sinnreich einsetzen lässt. Mindestens solange nicht, wie die Zertifikate nicht den gleichen Rang wie die andern bekommen und in den Browsern vorinstalliert werden. Aber vielleicht erleben wir das eines fernen Tages.

Ähnliche Artikel

• 6. Dezember 2009 -- PGP-Schlüssel verwalten (1)
• 15. Mai 2010 -- Keysigning-Party am LinuxTag in Berlin (0)
• 30. November 2009 -- Keysigning-Party am 11. Dezember in Zürich (3)
• 5. Oktober 2010 -- Keysigning an der Ubucon (1)
• 12. August 2010 -- Keysigning-Party am 18. September in Zürich (1)

Wir haben dazu auf unseren Ubuntu-Rechnern das Terminal benutzt, während dem Martin auf seinem Mac ein grafisches Tool eingesetzt hat. Welches er verwendet hat, wird im Laufe unserer 8. Folge, die am kommenden Montag veröffentlicht wird, erklärt. Mit dem Terminal ist das Ganze leicht umständlich, Freunde des Terminals sehen das aber wohl etwas anders. Idealerweise würde man dazu noch caff installieren, welches im Paket signing-party liegt. Dort ist es wichtig, dass zuerst der gewünschte lokale Mailer installiert wird, sonst löst die Abhängigkeit von apt die zusätzliche Installation von exim4 aus. Auf der Website der Keysigning-Party zu Zürich ist das Vorgehen per Terminal sehr gut beschrieben. Ich für meinen Teil habe es lieber etwas grafischer und suchte deshalb nach Alternativen.

Die wahrscheinlich einfachste Möglichkeit unter Gnome wird Seahorse sein, da dieses Programm seit Ubuntu 8.04 standardmässig mitinstalliert wird. Daneben gibt es noch GPA, das direkt vom GnuPG-Projekt stammt. Es ist aber recht spartanisch und bietet nicht viel, reicht aber im Allgemeinen für die Aufgaben im Zusammenhang mit der Schlüsselverwaltung. Für KDE-Freunde gibt es Kgpg. Wahrscheinlich gibt es noch weitere grafische Applikationen, um solche Aufgaben damit zu erledigen.

Ganz praktisch finde ich die Erweiterung für Thunderbird namens Enigmail. Es erweitert Thunderbird und weitere Klienten wie dem Mailer von SeaMonkey um Funktionen, mit denen GnuPG genutzt werden kann und Mails verschlüsselt oder signiert versandt oder empfangen werden. Mit dabei ist auch eine Schlüsselverwaltung, welche die nötigsten Funktionen wie Suchen auf einem Schlüsselserver, Signieren, Vertrauen, Exportieren und den Upload auf den Schlüsselserver bereitstellt. Damit lassen sich also auch alle anfallenden Tätigkeiten nach einer Keysigning-Party abwickeln.

Obschon das Vertrauen und Signieren mit Enigmail viel schneller erledigt werden kann, aber auch das Versenden des Schlüssels oder das Hochladen direkt auf den Server, sollte trotzdem exakt gearbeitet werden, damit wirklich nur solche Schlüssel signiert und für vertrauenswürdig eingestuft werden, deren Besitzer man eindeutig identifiziert hat. Auf der Website der Keysigning-Party heisst es dazu:

Trotzdem gilt nach wie vor Genauigkeit und Sorgfalt bei der Prüfung des so genannten Fingerprints und anderer Schlüsseldetails walten zu lassen.

Ich freue mich auf die Party, zumal solche Veranstaltungen nicht nur für das Keysigning an sich genutzt werden, sondern auch die Kontaktpflege und der Austausch nicht zu kurz kommen. Und mit Enigmail kann ich die administrativen Aufgaben nach der Party wohl etwas einfacher erledigen – hoffe ich zumindest.

Ähnliche Artikel

• 12. Dezember 2009 -- Keysigning-Party zu Zürich und CAcert (4)
• 5. Oktober 2010 -- Keysigning an der Ubucon (1)
• 15. Mai 2010 -- Keysigning-Party am LinuxTag in Berlin (0)
• 5. Mai 2010 -- Ein Foto im GnuPG-Schlüssel (5)
• 30. November 2009 -- Keysigning-Party am 11. Dezember in Zürich (3)

Da jeder ein Schlüsselpaar erzeugen kann, ist es sinnreich, dessen Authentizität zu bescheinigen oder eben zu signieren. Je mehr Nutzer einem Schlüsselinhaber ihr Vertrauen aussprechen und bescheinigen, dass dieser Schlüssel tatsächlich zu jenem Nutzer gehört, umso mehr wächst das Vertrauen in jenen Schlüssel und seinen Inhaber und damit in die Gemeinschaft aller “Schlüssel-Nutzer”.

Eine Keysigning-Party geht genau diesem Anliegen nach und versucht, möglichst vielen Nutzern dieser Schlüssel die Möglichkeit zu bieten, ihren öffentlichen Schlüssel auszutauschen und sich gegenseitig zu authentifizieren. Die Linux User Group Schweiz führt am 11. Dezember 2009 in Zürich eine solche Keysigning-Party durch. Menschen wie Axel Beckert oder Martin Ebnöther und weitere engagieren sich für diese Veranstaltung namens Keysigning-Party Schweiz 2009.

Die kostenlose Party findet am Freitag, 11. Dezember 2009 ab 19:00 Uhr im Gemeinschaftszentrum Wipkingen in Zürich statt. Wer daran teilnehmen möchte, braucht dazu zunächst einen GnuPG-Schlüssel. Wie der erzeugt wird, steht wie immer sauber auf dem Wiki von ubuntuusers.de. Sobald ein Schlüssel besteht, braucht man den öffentlichen Teil davon nur noch auf den dafür vorgesehen Schlüsselserver zu übertragen. Das geht am besten in der Konsole:

gpg --keyserver hkp://zrh2k9-ksp.ftbfs.de --send-key KeyID

KeyID muss natürlich noch durch die ID des eigenen Keys ersetzt werden. Die ID zeigt man sich am Terminal mit der Anweisung gpg --list-keys an:

pub 1024D/3B8AF84B 2009-09-17 [verfällt: 2012-09-16]

In diesem Beispiel liefert der Wert 3B8AF84B (nach dem Slash) die ID. Das Terminal liefert im Erfolgsfall nach der Übertragung des Schlüssels keine Meldung, dann ist der Schlüssel korrekt übertragen worden. Ob es auch wirklich geklappt hat, sollte man am nächsten Tag prüfen, diese URL aufrufen und sich selbst in der Textdatei gelistet sehen.

Bitte weitersagen, damit sich sich die Keysigning-Party Schweiz 2009 zu einem Erfolg emporheben kann.

Ähnliche Artikel

• 15. Mai 2010 -- Keysigning-Party am LinuxTag in Berlin (0)
• 12. Dezember 2009 -- Keysigning-Party zu Zürich und CAcert (4)
• 12. August 2010 -- Keysigning-Party am 18. September in Zürich (1)
• 6. Dezember 2009 -- PGP-Schlüssel verwalten (1)
• 5. Oktober 2010 -- Keysigning an der Ubucon (1)

Aufgrund dieser Diskussion auf ubunutuusers.de und dem Beitrag von xTOMx bin ich auf das Add-on FireGPG für den Firefox gestossen. Bisher habe ich noch nie davon gehört.

GnuPG nutze ich schon einige Zeit, verwende es sehr gerne zusammen mit Sylpheed. Und so habe ich mir das Teil namens FirePGP geholt – neuerdings braucht man offenbar bei Mozilla ein Login, um ein Add-on herunterladen zu können.

FirePGP richtet sich an die Menschen, die gerne per Browser ihre Mails lesen und schreiben und dabei trotzdem nicht auf eine digitale Unterschrift und / oder Verschlüsselung verzichten wollen. Ich persönlich nutze aber doch lieber die Verschlüsselung in einem “echten Mailclient”.

Das Add-on erkennt nach der Installation die digitalen Schlüssel, soweit sie am Standard-Ort liegen. Verwenden lässt sich die Erweiterung sehr einfach und schnell.

Unter den Optionen finden sich diverse, zum Teil sinnreiche Einstellungen. Auch für GMail und andere Webmailer gibt es vordefinierte Werte.

Unter RoundCube (von dem es übrigens eine Alpha-Version der 0.2 gibt und das ein eidgenössisches Produkt ist) lässt sich das Teil sehr einfach nutzen. Man kann in den Optionen festhalten, wie die Verschlüsselung angewendet werden soll. Hier auf dem Bild wurde bloss der Text im Body verschlüsselt.

Auch die verschlüsselt versendeten Mails werden natürlich verschlüsselt im Ordner der versandten Nachrichten angezeigt. Funktioniert bestens! Wer also gerne per Browser seine Mails bearbeitet und PGP nutzen will, könnte damit nicht schlecht bedient sein. Es gibt ja Webmailer (zum Beispiel Horde), welche die PGP-Unterstützung schon mitbringen, aber die meisten tun es eben nicht. Und dann ist eine solche Erweiterung wohl willkommen.

Wer meinen öffentlichen GnuPG-Schlüssel nutzen will, bitte.

Ähnliche Artikel

• 1. März 2010 -- Schutz vor fremdem Zugriff (0)
• 5. Mai 2010 -- Ein Foto im GnuPG-Schlüssel (5)
• 6. Dezember 2009 -- PGP-Schlüssel verwalten (1)
• 17. Dezember 2010 -- Firefox ohne network-manager geht offline (10)
• 5. Oktober 2010 -- Keysigning an der Ubucon (1)

Und nun bin ich bei sylpheed angekommen. Ich nutze zur Zeit den originalen Entwicklungszweig von Hiroyuki Yamamoto; es gäbe ja noch die “Abspaltung” claws-mail, die sich weiterentwickelt nennt und wohl auch experimentelle Features beherbergt.

An sylpheed gefällt mir die Einfachheit, die sich aber dennoch in einer recht feinen Parametrisierung manifestiert. Viele Dinge lassen sich einstellen, die man sonst wenig oder kaum findet. Aber der Hammer finde ich die “bubi-einfache” Einbindung eines GnuPG-Schlüssels zum digitalen Signieren und Verschlüsseln. Hat man nämlich die GnuPG-Schlüssel erzeugt, findet sylpheed diese anhand der E-Mail-Adresse selbst, da sich das Programm in den Verzeichnissen, in denen die Schlüssel liegen, erkundigt. Damit entfällt das Importieren der eigenen Schlüssel. Das habe ich bisher noch nie so gesehen.

Auch der Export des Adressbuches von Thunderbird zu sylpheed klappte via ldif-Datei bestens. Die Mails habe ich nicht umgezogen, werde ich aber wohl noch tun. Lösen lässt sich das mit dem Import von einer Mbox-Datei. Wer sich ebenfalls nach einem andern Mailclienten umsieht, sollte meiner Meinung nach sylpheed unbedingt ansehen.

Ähnliche Artikel

• 5. Juli 2008 -- Balsa, der Gnome Mail-Client (3)
• 5. Mai 2010 -- Ein Foto im GnuPG-Schlüssel (5)
• 11. März 2010 -- Balsa, der vergessene Mail-Klient (11)
• 6. Dezember 2009 -- PGP-Schlüssel verwalten (1)
• 20. April 2009 -- gwibber – OpenSource Microblogging Client (5)