 |
|
|
|
|
|
|
|||||||||||
|
|||||||||||
|
|||||||||||
|
|||||||||||
|
|||||||||||
| Home / Artikel / ausgabe / 2005 / 05 | |||||||||||
|
 |
|
||
|
Home | ||
|
|||
|
Suchen: |
||
|
|||
|
|
||||||||||||||||||||
|
|
||||||||||||||||||||
|
|
||||||||||||||||||||
|
|||||||||||||||||||||
von Elisabeth Bauer
Irgendwann ist er da, der Moment: Sie sitzen vor einem Chat-Fenster und fragen sich, ob Sie dieses vertrauliche Gespräch wirklich über ein so unsicheres Medium wie das Internet führen sollten. Sitzt vielleicht gerade ein Server-Administrator Ihres Instant-Messenger-Dienstes da und lauscht einfach mit? (Das ist natürlich in der Regel verboten.) Oder zeichnet gar der Dienstanbieter Gespräche auf? Man weiß es nicht, und ein Unbehagen bleibt.
Manche Instant-Messenger-Programme bieten daher SSL-Verschlüsselung an, doch meistens sorgt diese lediglich für eine sichere Verbindung zwischen Ihnen und dem Server. Was mit einer Nachricht zwischen dem Server und Ihrem Gesprächspartner geschieht, liegt nicht in Ihrem Einflussbereich.
Daher bietet es sich an, die komplette Kommunikation mit GnuPG zu verschlüsseln. GnuPG [1] ist eine freie Kryptographie-Software, mit der Anwender in der Regel ihre E-Mails absichern. Doch auch das Jabber-Protokoll unterstützt GnuPG. Ein verschlüsselter Chat funktioniert ganz ähnlich wie der Austausch von E-Mails. Sie tauschen mit demjenigen, mit dem Sie sich unterhalten wollen, Schlüssel aus. Ihr Instant-Messenger-Programm benutzt dann den Schlüssel Ihres Partners, um alle Chat-Nachrichten abzusichern. Nur er kann diese wieder entschlüsseln. Umgekehrt funktioniert es genauso. Nur Sie können die Nachrichten lesen, die Ihr Gesprächspartner mit Ihrem Schlüssel absichert. Genaueres zur Funktionsweise von GnuPG erklärt der Artikel unter [1].
Derzeit gibt es noch nicht viele Clients, die dieses Verfahren unterstützen. Wir stellen in diesem Artikel Psi [2] vor, das es plattformübergreifend sowohl in einer Linux-Version als auch für Windows und Mac-Rechner gibt. Die Hersteller der von EasyLinux unterstützten Distributionen stellen keine Pakete zur Verfügung, daher finden Sie alle nötigen Dateien im Internet auf der EasyLinux-Download-Seite [3].
Die Installation unter Suse Linux gestaltet sich denkbar einfach:
Unter Fedora Core 2 klicken Sie im Konqueror mit der rechten Maustaste auf das Psi-Paket und wählen aus dem Kontextmenü Öffnen mit. Geben Sie im folgenden Dialog system-install-packages in die Textzeile ein und setzen Sie ein Häkchen vor Programm diesem Dateityp fest zuordnen. Das Installationsprogramm fragt Sie nun nach Ihrem Root-Passwort. Bestätigen Sie die folgenden Meldungen mit OK beziehungsweise Weiter.
Als letztes kopieren Suse- und Fedora-Nutzer noch das deutsche Sprachpaket an den richtigen Platz:
Mandrake-Nutzer erwartet gleich ein ganzer Schwung an Paketen. Sie installieren diese per Doppelklick in der folgenden Reihenfolge: libqca1, libqca-sasl, libqca-tls, psi, psi-lang-de.
Bestätigen Sie die Meldungen des Mandrake-Installers und lassen Sie sich von der Warnung über fehlerhafte Signaturen nicht irritieren, die Installation funktioniert trotzdem.
Um verschlüsselt chatten zu können, müssen sie sich natürlich erst die passenden Schlüssel erzeugen und den Key Ihres Gesprächspartners besorgen. Dazu ist ein kurzer Ausflug auf die Kommandozeile notwendig.
Betätigen Sie die Tastenkombination [Alt-F2] und geben in das Dialogfenster konsole ein gefolgt von der [Eingabe]-Taste. Die Schlüsselgenerierung starten Sie mit dem Befehl gpg --gen-key. Bei den ersten beiden Fragen nach Schlüsseltyp und -länge genügt es, die Voreinstellung zu übernehmen. Drücken Sie dazu die Eingabetaste.
Danach geben Sie ein, wie lang Ihr Schlüssel gültig sein soll. Mit 1y verfällt der Schlüssel nach einem Jahr. Sie können ihn danach zwar immer noch benutzen, GnuPG warnt aber dann davor, dass er abgelaufen ist. Diese Einrichtung ist sinnvoll, damit jemand, der Ihren Schlüssel klaut, ihn nur für begrenzte Zeit einsetzen kann.
Die folgende Frage beantworten Sie nach Überprüfung Ihrer vorigen Eingabe mit j. Dann geht es richtig los: GnuPG fordert Sie auf, Ihren Namen und Ihre E-Mail-Adresse einzugeben. Den optionalen Kommentar können Sie sich auch sparen. Eventuell ist ein Kommentar wie "Nur zum Chatten" nützlich. Drücken Sie [Eingabe] und dann [F] wieder gefolgt von [Eingabe].
Jetzt erwartet GnuPG von Ihnen die Eingabe einer so genannten Passphrase. Sie schützt Ihren Schlüssel vor unbefugten Zugriffen. Ihr Schlüssel kann nur in Zusammenhang mit dieser Passphrase verwendet werden. Sie sollte daher nicht zu kurz und nicht zu leicht zu erraten sein. Im besten Fall besteht sie aus einer Kombination von Buchstaben, Zahlen und Sonderzeichen (wie "{" oder "$").
Ihren fertig generierten Schlüssel speichern Sie nun in einer separaten Datei, um ihn an die Personen zu verteilen, mit denen Sie chatten wollen. Das erledigt das Kommando gpg --export -a tux@suedpol.de > mein-schluessel.txt.
Statt tux@suedpol.de geben Sie die E-Mail-Adresse an, die Sie zuvor in Ihrem Schlüssel verwendet haben. Was Sie hier exportieren, ist der so genannte öffentliche Schlüssel. Der zweite Bestandteil, der private Schlüssel, bleibt sicher auf Ihrer Festplatte und sollte diese auch nie verlassen: Mit ihm entschlüsseln Sie später an Sie geschickte Nachrichten. Die oben erzeugte Datei schicken Sie nun zum Beispiel als E-Mail-Anhang an Ihre Gesprächspartner.
Auf die gleiche Weise erzeugen und exportieren auch Ihre Gesprächspartner einen Schlüssel und schicken Ihnen diesen. Mit dem Befehl gpg --import DATEINAME hängen Sie einen erhaltenen Key an Ihren Schlüsselbund. Um zu überprüfen, ob GnuPG die Dateien korrekt importiert hat, verwenden Sie das Kommando gpg --list-keys. In der Ausgabe sollten nun die neuen Schlüssel auftauchen.
Beim ersten Start fordert Psi Sie auf, ein Profil anzulegen. Geben Sie einen Namen für das Profil ein und klicken Sie auf Anlegen. Als Nächstes geht es ans Anlegen eines Nutzerkontos. Wenn der Dialog sich nicht automatisch öffnet, rufen Sie ihn über den Eintrag Nutzerkonten des Pull-down-Menüs links unten im Psi-Hauptfenster auf und klicken auf Hinzufügen.
Geben Sie einen Namen -- zum Beispiel Ihren Spitznamen -- für das Konto ein. Wenn Sie noch keinen Jabber-Account besitzen, markieren Sie Neues Nutzerkonto registrieren und klicken auf Hinzufügen (Abbildung 1).
Jabber-Benutzernamen sehen so ähnlich aus wie E-Mail-Adressen: Vor dem @-Zeichen kommt ihr Benutzername, dahinter steht der Name des Jabber-Servers. Neben dem zentralen Server der Jabber-Foundation, jabber.org, stehen eine Reihe weiterer freier Server zur Auswahl. Eine Liste finden Sie unter [4]. Die Server sind miteinander verbunden, so dass Sie, egal, wo Sie Ihren Account anlegen, mit allen anderen Jabber-Benutzern kommunizieren können. Um einen Account zu registrieren, geben Sie einen frei gewählten Spitznamen und dahinter die Adresse eines Server ein, in unserem Beispiel etwa tux@amessage.be (Abbildung 2).
Anschließend geben Sie zweimal das gleiche Passwort ein und klicken auf Registrieren. Wenn der gewählte Name schon vergeben ist, erhalten Sie eine Fehlermeldung. Dann können Sie es entweder mit einem anderen Namen oder auf einem anderen Server erneut versuchen.
Haben Sie das Konto erfolgreich eingerichtet, präsentiert Psi die Einstellungen für das Nutzerkonto, die Sie auch über den Eintrag Nutzerkonten im Psi-Menü erreichen (Abbildung 3).
Für die verschlüsselte Kommunikation mit GnuPG klicken Sie im ersten Reiter auf Schlüssel auswählen und markieren im folgenden Dialog Ihren Schlüssel.
Um nicht nur die Nachrichten, sondern auch die Kommunikation mit dem Server zu verschlüsseln, markieren Sie im Reiter Verbindung die Checkbox vor SSL-Verschlüsselung benutzen. Beachten Sie jedoch, dass nicht alle Server diese Funktion unterstützen. Beim von der Redaktion im Test verwendeten Server amessage.be war das Zertifikat ungültig.
In diesem Fall haben Sie die Möglichkeit, die Verschlüsselung durch einen Klick auch Weiter trotzdem vorzunehmen. Ohne ein gültiges Zertifikat ist nicht sichergestellt, dass die Person, mit der Sie kommunizieren, diejenige ist, als die sie sich ausgibt. Es könnte also auch ein Angreifer dahinter stecken. Die Verbindung ist aber trotzdem verschlüsselt. Sie sollten also daher Verbindungen ohne gültiges Zertifikat nicht vertrauen.
Damit sind die wichtigsten Einstellungen erledigt, und Ihr Jabber-Account ist einsatzbereit. Stellen Sie im rechten Pull-Down-Menü unten den Status auf Online. Psi meldet Sie nun am Server an, fragt zuerst nach dem Jabber-Passwort, dann nach der GPG-Passphrase und präsentiert Ihnen ein Visitenkartenformular (Abbildung 4).
Über dieses Formular publizieren Sie Ihre Daten im öffentlichen Benutzerverzeichnis auf dem Server. Möchten Sie das nicht, klicken Sie auf Schließen. Ansonsten füllen Sie die Felder im Formular aus, die Sie bekanntgeben möchten (die Angaben sind nicht verpflichtend) und klicken auf Veröffentlichen.
Eine Willkommensnachricht des Servers dürfte bereits auf Sie warten und in der Kontaktliste blinken. Mit einem Doppelklick öffnen Sie sie. Zum Chatten nehmen Sie die Jabber-Accounts Ihrer Bekannten in die Kontaktliste auf. Dazu wählen Sie im Menü links unten Kontakt hinzufügen und geben in den Dialog die Jabber-ID Ihres Bekannten ein.
Ohne autorisiert zu sein, kann in Jabber aus Datenschutzgründen niemand den Online-Status des anderen sehen. Psi schickt deshalb eine Anfrage an den entsprechenden Account, die der Benutzer das nächste Mal, wenn er sich bei Jabber anmeldet, erhält. Er antwortet dann mit einer Autorisierung, oder eben nicht. Im positiven Fall sehen Sie nun auch, ob Ihr Partner gerade online ist.
Per Doppelklick auf einen Kontakt öffnen Sie ein Chat-Fenster. Im unteren Fenster geben Sie Ihre Nachrichten ein, mit der Eingabetaste schicken Sie sie ab. Um verschlüsselt zu chatten, klicken Sie auf das Vorhängeschloss-Symbol. Bei der nächsten Nachricht, die Sie eingeben, präsentiert Psi einen Dialog mit den Schlüsseln in Ihrem Schlüsselbund. Hier wählen Sie den zuvor importierten Schlüssel Ihres Gesprächspartners aus (Abbildung 5).
Damit kann Ihr Gegenüber die Nachricht, die Sie ihm geschickt haben, lesen; potenzielle Lauscher nicht mehr. Um verschlüsselt zu antworten, muss er wiederum Ihren Schlüssel besitzen und in Psi auswählen. Mit dem Schlosssymbol schalten Sie die Verschlüsselung an und ab.
Mit dem Netzwerk-Scanner Ethereal [5] verfolgen Anwender sehr bequem, welche Daten dabei durch die Leitung gehen (Abbildung 6). Normale Jabber-Nachrichten schickt Psi als Klartext ab; bei der verschlüsselten Kommunikation sieht man dagegen lediglich einen Zeichensalat, den nur der gewünschte Empfänger mit dem richtigen Schlüssel wieder in lesbaren Text verwandelt.
Die Prozedur der Schlüsselauswahl müssen Sie glücklicherweise nur einmal durchführen. Psi merkt sich die ausgewählten Schlüssel für jeden Jabber-Account. Haben Sie aus Versehen einen falschen Schlüssel erwischt oder hat Ihr Kontakt einen neuen angelegt, klicken Sie mit der rechten Maustaste auf den Eintrag in der Kontaktliste und wählen im Kontextmenü OpenPGP-Schlüssel entfernen. Anschließend können Sie übers Kontextmenü oder mit dem beschriebenen Verfahren dem Kontakt einen neuen Schlüssel zuweisen. (mwe)
| Infos |
|
[1] Andrea Müller: "Digitales Schlüsselbrett", EasyLinux 09/2003, S. 21 ff., http://www.easylinux.de/2003/09/021-gpg-kgpg/
[2] Psi-Artikel: Martin Loschwitz und Elisabeth Bauer: "Diskussionsbedarf", EasyLinux 05/2004, S. 40 ff., http://www.easylinux.de/2004/05/040-psi/ [3] EasyLinux-Download-Bereich: http://www.easylinux.de/Download [4] Öffentliche Jabber-Server: http://www.jabber.org/network/ [5] Ethereal-Artikel: Elisabeth Bauer: "Abgehört", EasyLinux 01/2005 S. 23 ff., http://www.easylinux.de/2005/01/023-ethereal/ |
Dieser Online-Artikel kann Links enthalten, die auf nicht mehr vorhandene Seiten verweisen. Wir ändern solche "broken links" nur in wenigen Ausnahmefällen. Der Online-Artikel soll möglichst unverändert der gedruckten Fassung entsprechen.
Druckerfreundliche Version |
Feedback zu dieser Seite |
Datenschutz |
© 2012 Linux New Media AG |
Last modified: 2007-04-05 11:10
[Linux-Magazin]
[LinuxUser]
[Linux-Community]
[Admin-Magazin]
[Ubuntu User]
[Smart Developer]
[Linux Events]
[Linux Magazine]
[Ubuntu User]
[Admin Magazine]
[Smart Developer]
[Linux Magazine Poland]
[Linux Community Poland]
[Linux Magazine Brasil]
[Linux Magazine Spain]
[Linux Technical Review]