Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
ich habe soeben einen Schlüsselbund erstellt. Dieser besteht aus einem public und einem secret Key.
Meine Frage:
Angenommen ich durchsuche den "Keyserver" nach einer Person und finde deren öffentlichen Schlüssel. Wenn ich diesen dann importiere, kann ich denen dann direkt eine verschlüsselte eMail schicken oder muss ich noch was beachten, damit wir verschlüsselt kommunizieren können?
Wenn du einen gültigen öffentlichen Schlüssel einer Person hast, kannst du dieser verschlüsselte Nachrichten schicken. Sinnvollerweise prüft man jedoch über einen anderen Kanal, ob das wirklich der Schlüssel des gewünschten Kommunikationspartners ist. Genauso gibt es die Möglichkeit, dass andere Leute, denen du vertraust den Schlüssel des gewünschten Partners signiert haben.
Dann fehlt dem Bot dein öffentlicher Schlüssel. Hast du den denn an die Mail gehangen, die du dem Bot geschickt hast? Ein Link zu dem Bot wäre auch noch ganz hilfreich.
Womit machst du das ganze eigentlich? Thunderbird + Enigmail dürften am einfachsten sein, gibt auch etliche Anleitungen für diese Kombination.
Die FSF hat für diesen Bot eine wunderbare Schritt-für-Schritt-Anleitung. Dort siehst du in 3.A auch, was der Fehler ist. Die Mail mit deinem öffentlichen Schlüssel wurde nicht unverschlüsselt verschickt sondern verschlüsselt. Da beißt sich die Katze in den Schwanz – wie soll der Bot etwas entschüsseln, wenn der Schlüssel verschlüsselt ist?
Bei echten Menschen umgeht man diese kleine Unsicherheit oft dadurch, daß man sich in persona trifft und die öffentlichen Schlüssel über einen USB-Stick o. Ä. austauscht. Weil man sich aber nicht mit jedem persönlich treffen kann, mit dem man per PGP kommunizieren möchte, wurden Schlüsselserver ins Leben gerufen. Wie Piktogramm oben schon gesagt hat, sind die aber mit kleiner Vorsicht zu genießen. Man hat bei einem völlig Unbekannten keine Möglichkeit zu prüfen, ob nicht jemand anderes auf seinen Namen einen Schlüssel hochgeladen hat und sich für ihn ausgibt. Ein Gegenmittel dafür ist wiederum ein Web of Trust. Oder du läßt deinen öffentlichen Schlüssel von der c’t im Rahmen der Kryptokampagne zertifizieren.
Mal angenommen ich benutze den Schlüsselserver nicht, weil die Person den Schlüssel nicht veröffentlich hat. Zudem ist die Person extrem weit weg, kann mich also nicht einfach mit ihr treffen.
Wenn die Person mir jetzt den öffentlichen Schlüssel von sich schickt, kann ich der Person ja verschlüsselt antworten, richtig? Oder muss der Austausch der öffentlichen Schlüssel beide Personen machen?
Ich frage mich halt: Wenn der öffentliche Schlüssel aufm Server liegt oder ich den per Mail, unverschlüsselt bekomme, kann ich dann schon verschlüsselt kommunizieren oder muss ich meinen ebenfalls unentschlüsselt senden?
Willst du die verschlüsselte Mail von jemandem lesen, brauchst du seinen öffentlichen Schlüssel. Soll das in beide Richtungen funktionieren, brauchen beide natürlich den öffentlichen Schlüssel des jeweils anderen.
Die Reihenfolge kannst du wie du beschrieben hast einhalten. Probier’s mal mit Adele statt Ed.
Definition: Bob und Alice sind Kommunikationspartner
Wenn Bob und Alice die öffentlichen Schlüssel des jeweils anderen nicht kennen, so können die öffentlichen Schlüssel via unverschlüsselter Email übertragen werden. Da hierbei die Gefahr besteht, dass die Schlüssel bei der Übertragung von 3. verfälscht werden, sollte geprüft werden, ob der Schlüssel auch genau der öffentliche Schlüssel des Partners ist. Möglichkeiten:
*Über einen anderen Kommunikationsweg wird der Fingerabdruck der Schlüssel abgeglichen (Telefon zum Beispiel, Gegenbeispiel: Eine Webseite wie dieses Forum. Wenn der Schlüssel hier zum Download angeboten wird, ist eine PN kein anderes Medium. Auch eine andere Emailaddresse wäre kein anderes Medium)
*Die Schlüssel wurden mit einem dir als vertrauenswürdig bekanntem Schlüssel bzw. Zertifikat unterschrieben/signiert und die Signierung ist gültig.
Ich schicke euch meinen public key. Ihr könnt mir encrypted eine Nachricht schicken. Kann ich dann auch sofort encrypted antworten oder müsst ihr _unbedingt_ euren dran hängen? Wird der automatisch importiert?
Mag sich jemand als Testperson zur Verfügung stellen?
Du musst mir eine verschlüsselte Mail schicken mit deinem (PGP PUBLIC KEY, separat natürlich, unverschl.).
Dann müssen wir noch den Fingerabdruck abgleichen.
Wenn du zB engine oder mir deinen Schlüssel schickst ist das unverschlüsselt. Wir können dir dann verschlüsselt unseren Schlüssel schicken.
Wobei dabei ein Dritter natürlich die Schlüssel während der Übertragung austauschen kann und so transparent mithören könnte. Also sollte über einen anderen Kanal der Fingerabdruck geprüft werden.
Ich habe das eben getestet und bin ein wenig verwirrt.
Ich habe zwei Accounts erstellt. Habe den einen Schlüssel auf einen Keyserver geladen, wo ich diesen dann bei dem anderen Account geladen habe. Anschließend habe ich von Acc 2 eine Verschlüsselte Mail an 1 geschickt und konnte von 1, obwohl 2 nichts beigelegt hat, direkt auch verschlüsselt antworten.
Hatte das eben mit einem Reddit User versucht und er sagte mir, dass er meinen key vom Server suchen musste. Das verwirrt mich.
Falls jemand Zeit und Lust hat:
ID: CE24FF91
Bitte nur signieren und verschlüsseln. Den öffentlichen bitte nicht als Anhang beilegen.
Je nach Einstellung des Mail-Clients und entsprechender Plugins wird der Public-Key direkt mitgeschickt, auch wenn man das nicht explizit anstößt. Nach meinen Gefühl ist das vor allem dann der Fall, wenn auch signiert wird (völlig subjektives Empfinden).
Die andere Möglichkeit ist, dass du dir zwar zwei Accounts zum Testen gemacht hast, das ganze aber mit einer GPG-Installation durchführst und deshalb der Schlüssel von deinem Testaccount schon bekannt war.
Zur Info:
Bei mit machen Firefox-Noscript-Mailvelope mächtig zicken, kann den ö. PGP Key nicht kopieren.
Wenn man einmal etwas testen möchte geht nichts, keine Einstellung hilft bis jetzt, außer über den Seitenquelltest, ist aber sicher nicht so vorgesehen.
Hilft also nur ein Export des ö. PGP Key in eine Datei und dann den mir senden bitte, siehe PN.
Wenn mein Schlüssel auf einem Keyserver liegt reicht es aus, wenn ich meinen Schlüssel an die andere Person schicke. Das Programm bezieht den öffentlichen Schlüssel dann wohl über den Keyserver.
Wenn beide nicht den Schlüssel auf dem Keyserver haben, müssen beide den öffentlichen Schlüssel der eMail anhängen.