waarom gebruiken zo weinig mensen PGP/GPG? (tutorial AF :))

[ByteWarrior]

Als je wilt dat veel mensen het gaan gebruiken, dan moet het zo eenvoudig zijn als ergens per mail-account (of globaal in de Thunderbird-instellingen) een vinkje zetten (Email beveiligen) waarmee de email automatisch versleuteld wordt. Op dit moment is het versleutelen van email technisch mogelijk en een extensie als Enigmail maakt het ook nog een stuk eenvoudiger.

Het is eigenlijk niet meer als een extensie installeren. Toch denk ik dat je een basiskennis moet hebben over encryptie. Als je het principe van publieke sleutel encryptie niet doorhebt, kan je ook niet veel met Enigmail gaan doen.

Maar zolang je er handleidingen voor nodig hebt om de principes erachter te begrijpen en er zelf geen directe toepassing voor hebt (omdat je op zich niets te verbergen hebt) zal het zich volgens mij blijven beperken tot mensen die zich erin verdiepen en het wel een prettig idee vinden dat alleen zijzelf en de ontvanger de mail kan lezen.

Dat is dus nog steeds het grote probleem. Voor encryptie heb je een bepaalde basiskennis nodig en deze krijg je het makkelijkst door te lezen en de nodige informatie op te nemen. Totnogtoe zijn de gebruikers van encryptie allemaal mensen die goed met pc's omkunnen. Ik ben nog niemand tegengekomen die bijna niets van computers kent en toch zijn mails ondertekend/versleuteld.

Het wordt wel steeds makkelijker. Nu heb je al genoeg aan TB+Enigmail+GnuPG. Volgens mij is het ook een deeltje interesse dat moet meespelen. Als je niet geïnteresseerd bent, dan zet je je er niet 100% voor in en dan lukt het niet. Als je echter wél geïnteresseerd bent, dan lees je alles wat je er over kan vinden en dan lukt het ook.

Voor mij lijkt het allemaal vanzelfsprekend dat ik mijn mails kan versleutelen of ondertekenen, maar dat is het eigenlijk niet... . Net daarom dat ik liever wat meer vragen zou zien over dit onderwerp. Dat is dan tenminste een teken dat er geïnteresseerden zijn...

[Ron ter Burg]

Voor mij lijkt het allemaal vanzelfsprekend dat ik mijn mails kan versleutelen of ondertekenen, maar dat is het eigenlijk niet... . Net daarom dat ik liever wat meer vragen zou zien over dit onderwerp. Dat is dan tenminste een teken dat er geïnteresseerden zijn...

Ik heb n.a.v. dit bericht Enigmail en GnuPG geinstalleerd. Het was een heel werk, maar het werkt nu wel.
Is het nu alleen zo dat mensen met TB en Enigmail een dergelijke sleutel kunnen checken? Wat kan ik er nog meer mee?

M.vr.gr. Ron

[Tjaard]

Mensen met PGP-software geintegreerd in hun mail-client kunnen je signature verifieren, GPG is een open implementatie van PGP. Ik weet niet of je een front-end voor GPG geinstalleerd hebt, maar een tweede vereiste is dat je publieke sleutel bij de ontvanger bekend is. Een methode om daarvoor te zorgen is het ding opsturen (GPG kan exporteren naar een ASCII-file) maar wat handiger is is je sleutel opsturen naar een keyserver. PGP-software, waaronder enigmail, biedt doorgaans de mogelijkheid op keyservers sleutels te zoeken die nog niet bekend zijn, het is een eenmalig gebeuren dat je die sleutel submit. Het opsturen van een sleutel is iets wat in veel PGP-software ook direct kan, ikzelf heb m'n sleutel echter geexporteerd naar een text file en die gecopypaste in formulieren op sites als www.keyserver.net .

Ik hoop trouwens niet dat je je sleutels enzo vanaf de command line gemaakt hebt? Ik draai zelf linux, daar is GPG de standaard (met simpele front-ends enzo), ik kan me zo voorstellen dat er voor windows misschien een wat intuitiever te gebruiken programma te prefereren valt voor het grote publiek. Wat ik had begrepen was iig dat je GPG gewoon uit kon pakken en dat je de rest in principe vanuit enigmail kunt doen, een sleutelpaar maken is niet zo bijster veel werk namelijk. Als je kon vertellen wat voor 'dwalingen' je zo gemaakt hebt is dat misschien handig om te zien waar mensen vastlopen als ik een tutorial ga schrijven .

Maar om op je vraag terug te komen: commerciele implementaties van PGP nestelen zich voor zover ik weet in outlook express, voor pine (op unix) heb je een pgp-module, voor sylpheed... Mensen die webmail gebruiken hebben het iets lastiger (copypasten en door PGP halen), hoewel ik denk dat dat met een firefoxextension die tekstvelden kan tekenen/encrypten een heel bruikbaar iets zou hebben. En in principe kun je alles encrypten met PGP wat je maar wilt, en kun je ook alles ondertekenen met PGP wat je maar wilt. Je ziet nog wel eens dat mensen een PGP-signature naast downloads zetten zodat je zeker weet dat je het goede downloadt en er niet iemand heeft zitten spoofen en je ranzige rotzooi installeert ipv hetgene dat je wilde.

In elk geval, het sleutelpaar dat je nu hebt kun je ook exporteren en importeren in een andere PGP-implementatie als je dat fijner vindt. Zoals ik al zei, je kunt er alles mee versleutelen dat je zou willen, dus als er PGP instant messaging komt voor MSN ofzo hoef je er geen nieuw sleutelpaar voor te maken.

[Ron ter Burg]

Ik hoop trouwens niet dat je je sleutels enzo vanaf de command line gemaakt hebt? Ik draai zelf linux, daar is GPG de standaard (met simpele front-ends enzo), ik kan me zo voorstellen dat er voor windows misschien een wat intuitiever te gebruiken programma te prefereren valt voor het grote publiek. Wat ik had begrepen was iig dat je GPG gewoon uit kon pakken en dat je de rest in principe vanuit enigmail kunt doen, een sleutelpaar maken is niet zo bijster veel werk namelijk. Als je kon vertellen wat voor 'dwalingen' je zo gemaakt hebt is dat misschien handig om te zien waar mensen vastlopen als ik een tutorial ga schrijven .

Ik heb dus wel de sleutels etc via de command line in Windows XP gemaakt. Dit via de onderstaande beschrijving:
----
Installation on Windows NT/2000/XP

1. Create the Installation Folder
Browse to C:\Program Files and create a new directory named GnuPG
2. Create your Home Directory
Browse to C:\Documents and Settings\Username\Application Data and create a subdirectory called GnuPG, where Username is the login name of the user who will be using GnuPG.
This will be the home directory where your keyrings and configuration file will be kept.
If there are multiple users on your system, you will need to do this for each user.
3. Extract GnuPG
Use your compressed file program (WinZip, WinRAR, Stuffit, etc.) to extract the contents of the zip file you downloaded into C:\Program Files\GnuPG
If you used the Nullify zip, it will already have created subdirectories called Doc, Lib, and Locale and placed all the correct files there.
The Lib directory only contains idea.dll.
If you used the GnuPG zip, you will have a directory full of files which need sorting out!
* Create two subdirectories called Doc and Locale.
* Move/Drag all the .mo files into the Locale directory.
* Move/Drag everything other than the .exe files into the Doc directory
4. Modify the Path
In order for GnuPG to work correctly, the GnuPG installation directory must be in your PATH.
* To modify the path, Click on Start --> Control Panel --> System --> Advanced --> Environment Variables
* Highlight the Path variable under System variables, and click Edit.
* Add ;C:\Program Files\GnuPG to the end of the Path.
5. Create Registry Entries
You now need to create a set of Registry entries for the GnuPG home directories.
Create a text file called gnupg_XP.reg and paste the following text into it.
Ensure that there are no spaces at the start of each line.
Be sure to modify the user entry in the HomeDir and OptFile lines.
Double click on it and answer "yes" to add the entires to the registry.

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\GNU]

[HKEY_LOCAL_MACHINE\Software\GNU\GNUPG]

[HKEY_LOCAL_MACHINE\Software\GNU\GNUPG]
"gpgProgram"="C:\\Program Files\\GnuPG\\gpg.exe"

[HKEY_CURRENT_USER\Control Panel\Mingw32]

[HKEY_CURRENT_USER\Control Panel\Mingw32\NLS]

[HKEY_CURRENT_USER\Control Panel\Mingw32\NLS]
"MODir"="C:\\Program Files\\GnuPG\\Locale"

[HKEY_CURRENT_USER\Software\GNU]

[HKEY_CURRENT_USER\Software\GNU\GNUPG]

[HKEY_CURRENT_USER\Software\GNU\GNUPG]
"HomeDir"="C:\\Documents and Settings\\user\\Application Data\\GnuPG"
"gpgProgram"="C:\\Program Files\\GnuPG\\gpg.exe"
"OptFile"="C:\\Documents and Settings\\user\\Application Data\\GnuPG\\gpg.conf"

Each user on a multi user system will need their own individual gnupg_XP.reg file and will need to carry out this step when they are logged in.

You can download a copy of gnupg_XP.reg from here and edit it as needed. (Right click and select "Save As")


Finishing the installation

1. GnuPG Configuration
* You need to create the GnuPG configuration file to control how you wish GnuPG to work.
Go to your "HomeDir" and create a new text file called gpg.conf
* Edit the file and add the following, saving and exiting when done:
default-recipient-self
keyserver random.sks.keyserver.penguin.de
default-cert-check-level 3
keyserver-options auto-key-retrieve include-revoked include-subkeys
no-mangle-dos-filenames
no-secmem-warning

These are suggested entries only based on our experience and you may choose to add or remove entries based on your reading.

If you intend to use idea.dll, you will need to add the following line to gpg.conf:
load-extension Lib\idea

You can download a copy of gpg.conf from here and edit it as needed. (Right click and select "Save As")
2. Testing
The next thing that you need to do is to test that GnuPG is installed correctly and that you can run it.
Open a Command Prompt/Dos Prompt.
* At the prompt, type gpg --version
You should see a screen of information which should look similar to this:

gpg (GnuPG) 1.2.4
Copyright (C) 2003 Free Software Foundation, Inc.
This program comes with ABSOLUTELY NO WARRANTY.
This is free software, and you are welcome to redistribute it
under certain conditions. See the file COPYING for details.

Home: C:/Documents and Settings/bporter/Application Data/GnuPG
Supported algorithms:
Pubkey: RSA, RSA-E, RSA-S, ELG-E, DSA, ELG
Cipher: 3DES, CAST5, BLOWFISH, AES, AES192, AES256, TWOFISH
Hash: MD5, SHA1, RIPEMD160, SHA256
Compression: Uncompressed, ZIP, ZLIB
* At the prompt, type gpg --list-keys
On Windows 9x you will get a message similar to the following displayed:

gpg: keyring: 'C:/My Documents/GnuPG\pubring.gpg' created

On Windows NT/2k/XP you will get a message similar to the following displayed:

gpg: keyring: 'C:/Documents and Settings/user/Application Data/GnuPG\pubring.gpg' created

(The user entry above should correspond to the username of the logged in user on the NT/2k/XP system)


From here onwards, all users on a Single or Multi User system will need to carry out these steps.
Passphrases

Before you think about creating a key, you need to decide what your passphrase is going to be.

This document is not here to discuss the merits of different types of passphrases, their strengths, etc. however we do recommend taking the time to create a passphrase that you can a: easily remember, and b: is unique and not easily guessed.

If you are having trouble thinking of a passphrase, we would recommend taking a look at Diceware, which is very easy to use and gives good strength passphrases.

Creating a Key Pair

Now that you have a passphrase, you can create a Key Pair
Open a Command Prompt/Dos Prompt.

At the prompt, type gpg --gen-key and follow the prompts.
UNLESS you specifically know what you are doing, and know the reasons for diverging, you should keep to default types and settings.
(As you work through the prompts, bear in mind the following)

* DSA/ElGamal is the default key type and is what most people use.
* When selecting a key size, the larger the size, the longer it will take to encrypt and decrypt messages, especially for people with older, slower systems. 2048 is probably a good size to go for as it offers good strength whilst not being so large as to cause a major problem to users of old systems.
* You do not have to enter a comment when asked. Your name and email address are all that is requred.

So now you have a Key Pair, but before you go on you need to know what the KeyID is so that you can identify it in the commands we are going to use later. Get yourself a pen and paper ready to make a note.

At the prompt, type gpg --list-keys

This will give you a listing similar to this:

C:/Documents and Settings/bporter/Application Data/GnuPG\pubring.gpg
--------------------------------------------------------------------
pub 1024D/BB36BA75 2003-11-11 Barry Porter <barry@bpuk.net>
sub 4096g/1F5A0D8B 2003-11-11

Note down the number in the position which is shown in red above.
This is your KeyID.

Make your Key available

Now that you have created your Key Pair, you should make your public key available to other users so that they may verify emails you send against the key.

There are a number of ways of doing this; some prefer to give their public key out to people who request it via an email address in the OpenPGP comment in their signatures; others publish their key on a website and place a link to it in the OpenPGP comment in their signatures; most people prefer to simply upload their keyring to a keyserver where everybody can access it as required.

To upload your public key to a keyserver, open a Command Prompt/Dos Prompt and navigate to your "HomeDir".

At the prompt, type gpg --keyserver random.sks.keyserver.penguin.de --send-keys 0xKeyID
(Where KeyID is the one you noted down earlier.)

Important: The 0x prior to the KeyID is a "Zero" and an "x", not a "Capital O" and an "x".
You can substitute random.sks.keyserver.penguin.de for your chosen keyserver

Finally

Before you do anything else, you should do the following:

* Create a Revocation Certificate for your secret key.
Open a Command Prompt/Dos Prompt and navigate to your "HomeDir".

At the prompt, type gpg --output revcert.asc --gen-revoke 0xKeyID
(Where KeyID is the one you noted down earlier.)

Important: The 0x prior to the KeyID is a "Zero" and an "x", not a "Capital O" and an "x".

revcert.asc is an ASCII Armored text file containing your Revocation Certificate. You should rename it to something like "GnuPG Revocation Certficate for 0xKeyID.asc" so that if/when you find it after a few months, it will mean something to you and you won't delete it!
* Backup your Keyring and Revocation Certificate to a VERY safe place.
You should make a copy of your keyrings and the revocation certificate and save them to a floppy disk (or if you can, on a CD), lock it against being overwritten, label it and put it somewhere very safe that you wont forget! You should also consider making another backup on some other media (CD, LS120, ZIP, PCMCIA Memory Card, USB Stick) and put that in another safe place.
Some people go so far as to place a backup in a safety deposit box at their bank. Others give a copy of their backup to a friend that they trust to look after it for them.
----

Het kost even wat tijd, maar dan heb je ook wat. Gelukkig heb ik het nu werkend. Voordat ik bovenstaande acties uitgevoerd had werkte het niet, maar dat lijkt me logisch. Is er een makkelijkere weg om je sleutels aan te maken dan?

[Tjaard]

Ah kijk, ze doen het grondig zodat je elkaars sleutels niet kunt zien .

Dit is wel een typisch voorbeeld van een unixprogramma dat geport is naar windows, het zou schelen als ze er een goeie installer voor zouden maken. Het is verder geen slechte software ofzo, maar ik ga, hoe pro-GNU ik ook ben, toch eens rondsnuffelen naar alternatieven voor GPG op windows, het moet wel leuk blijven als je wilt dat mensen het gebruiken .

Die revoker is een goed punt van ze, omdat ik dat niet gedaan heb en m'n keys weggegooid heb een keer zwerven er ouwe sleutels van me rond ...

/edit: ik zie dus dat GPG de enige is waar enigmail mee werkt, lekker

/edit2: fscking ZIEK, ipv dat ze er een .conf bij doen, dat je 'm moet OVERTYPEN :X

[ByteWarrior]

/edit: ik zie dus dat GPG de enige is waar enigmail mee werkt, lekker

Kan niet anders. PGP heeft namelijk geen commandline in de gratis editie. Er zit wel een commandline optie in de Enterprise edition, maar ik denk niet dat iedereen daar het geld voor heeft...

Is het nu alleen zo dat mensen met TB en Enigmail een dergelijke sleutel kunnen checken? Wat kan ik er nog meer mee?

Nee, ieder gewoon mailprogramma kan de mail lezen (enkel als je PGP/MIME gebruikt hebben sommige programma's wat last).

Om de mail te controleren, moet de ontvanger ook over een gelijkwaardig programma beschikken. Dit hoeft niet TB te zijn, ook niet GPG. De ontvanger kan bijvoorbeeld The Bat (of Pegasus) samen met PGP gebruiken om zijn mails te controleren.

[Ron ter Burg]

In de voorkeuren bij Enigmail kan je diverse keyservers invoeren voor het checken van de ondertekening. Er staan standaard een aantal keyservers ingevoerd. Moet/kan je hier nog meer keyservers invoeren of is de standaard lijst voldoende?

Is er trouwens een lijst beschikbaar waarop alle keyservers staan?

[ByteWarrior]

In de voorkeuren bij Enigmail kan je diverse keyservers invoeren voor het checken van de ondertekening. Er staan standaard een aantal keyservers ingevoerd. Moet/kan je hier nog meer keyservers invoeren of is de standaard lijst voldoende?

De standaarden zijn voor de meeste mensen goed genoeg. Als je echt een server wilt toevoegen, kan dat natuurlijk altijd.

Het principe van de keyservers is dat sleutels altijd van de ene naar de andere keyserver gekopieerd worden. Als je je sleutel op pgp.mit.edu plaatst, is hij enkele dagen later op alle keyservers beschikbaar. Er is dus eigenlijk geen nood aan meerdere servers...

Soms geeft Enigmail de melding dat een sleutel niet gevonden kan worden. Dat kan liggen aan de server (de sleutel staat niet op de opgegeven servers) of aan je contactpersoon. Sommigen vergeten hun publieke sleutel op een server te plaatsen of door te sturen, zodat je hun mails niet kan controleren.

Is er trouwens een lijst beschikbaar waarop alle keyservers staan?

Alle servers staan er niet op, enkel de meestgebruikte:
http://openpksd.org/kslist.html
http://www.keyserver.net/en/other.html

[Ron ter Burg]

Sommigen vergeten hun publieke sleutel op een server te plaatsen of door te sturen, zodat je hun mails niet kan controleren.

Hoe kan ik mijn publieke sleutel doorsturen? In welk bestand staat je publieke sleutel eigenlijk. Je kan een .txt bestand maken om je publieke sleutel aan een keyserver toe te voegen, is dit het bestand?

Bedankt voor de antwoorden.

Ron

[Tjaard]

ik ben op dit moment een hele tutorial aan het schrijven, even geduld

[ByteWarrior]

Hoe kan ik mijn publieke sleutel doorsturen?

In Thunderbird+Enigmail heb je de optie "Importeer publieke sleutel" (kan zijn dat het iets anders is, maar het moet er op lijken). Als je een mail schrijft naar iemand en je kiest dat, dan wordt je publieke sleutel ingevoegd. Op die manier kan je hem ook naar je contactpersoon versturen.

In welk bestand staat je publieke sleutel eigenlijk.

Hangt van je systeem af. Meestal zal het in de directory staan waar je GnuPG geïnstalleerd hebt.

Je kan een .txt bestand maken om je publieke sleutel aan een keyserver toe te voegen, is dit het bestand?

Dat is het ja. Daarmee kan je de sleutel exporteren naar een bestand en dan knippen/plakken op een keyserver.

Ik kan je deze Mini Howto aanraden. Die gaat wel enkel over GnuPG, maar behandelt enkele essentiële begrippen en bewerkingen. Deze howto is in het Nederlands.
Als je niet graag met commando's werkt en je gebruikt Windows, installeer je best ook een sleutelmanager. Dit is een klein programma dat enkele bewerkingen (zoals het importeren en exporteren van sleutels naar servers en bestanden). Ik kan je WinPT aanraden.

[Tjaard]

M'n tutorial is af !

http://www.seeraamuun.net/tutorials/eni ... orial.html

[Ron ter Burg]

Nou beide bedankt voor jullie tips and tricks. Hier kan ik zeker wel wat mee.

Nogmaals bedankt.