Ablauf GPG-Verschlüsselung von Dateien
Hi list, ich möchte Dateien mittels gpg verschlüsselt austauschen. Dazu habe ich mir die Quickdoku von gnupg.org runtergeladen. Aber irgendwie lässt sich die Datei nicht mehr entschlüsseln. Mein Ablauf: 1. gpg --key-gen 2. gpg --list-keys -> zeigt meinen erzeugten Schlüssel mit entsprechender UID an 3. gpg -o gpg.pub -a --export "UID" 4. Übertragung der gpg.pub auf Zielsystem 5. gpg --import gpg.pub 6. gpg --list-keys -> zeigt den importierten key an 7. Verschlüsslen der Datei auf Quellsystem: gpg -e /tmp/file -> Manuelle Eingabe der UID (die ich zuvor auch exportiert habe) 8. Übertragung der verschlüsselten Datei 9. gpg -d file.gpg -> hier kommt dann folgende Fehlermeldung: gpg: encrypted with 2048-bit ELG-E key, ID 6A4BAEBB, created 2007-07-11 "XXXXXXXXXXXXXXXXXXX U I D XXXXXXXXXXXXXXXXXXXXXXXXX" gpg: decryption failed: secret key not available So nun habe ich genau 2 Fragen: - wie kann ich die Datei verschlüsseln ohne die UID manuell einzugeben - muss ich den secret key etwa auch auf das Zielsystem übertragen ? Doch wohl nicht, oder ? Dachte das ist wie bei ssh ? Vielen Dank schon mal ... -- Regards, Jens Strohschnitter ------------------------------------- *!!!LINUX LINUX LINUX LINUX LINUX!!!* * http://www.jens-strohschnitter.de * ------------------------------------- Set the controls for the heart of the sun ------------------------------------- __________________________________________________________ Raiffeisen Waren-Zentrale Rhein-Main eG 50668 Koeln, Altenberger Str. 1a Tel: 0221/1638-0 Fax: 0221/1638-254 Sitz: Koeln Amtsgericht Koeln, GnR 728 Vorstand: Hans-Josef Hilgers (Sprecher) Markus Stuettgen Dr. Karl-Heinrich Suemmermann Friedhelm Decker (Vorsitzender) Ingo Steitz Vorsitzender des Aufsichtsrates: Peter Bleser (MdB) St.Nr.: 215/5938/0152 Bankverbindung: WGZ Bank AG, Duesseldorf (BLZ 300 600 10) Konto-Nr.: 300 011 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo, Jens Strohschnitter wrote:
ich möchte Dateien mittels gpg verschlüsselt austauschen. Dazu habe ich mir die Quickdoku von gnupg.org runtergeladen. Aber irgendwie lässt sich die Datei nicht mehr entschlüsseln.
Mein Ablauf:
1. gpg --key-gen 2. gpg --list-keys -> zeigt meinen erzeugten Schlüssel mit entsprechender UID an 3. gpg -o gpg.pub -a --export "UID" 4. Übertragung der gpg.pub auf Zielsystem 5. gpg --import gpg.pub 6. gpg --list-keys -> zeigt den importierten key an 7. Verschlüsslen der Datei auf Quellsystem: gpg -e /tmp/file -> Manuelle Eingabe der UID (die ich zuvor auch exportiert habe) 8. Übertragung der verschlüsselten Datei 9. gpg -d file.gpg -> hier kommt dann folgende Fehlermeldung: gpg: encrypted with 2048-bit ELG-E key, ID 6A4BAEBB, created 2007-07-11 "XXXXXXXXXXXXXXXXXXX U I D XXXXXXXXXXXXXXXXXXXXXXXXX" gpg: decryption failed: secret key not available
So nun habe ich genau 2 Fragen: - wie kann ich die Datei verschlüsseln ohne die UID manuell einzugeben
default-key in ~/.gnupg/gpg.conf ?
- muss ich den secret key etwa auch auf das Zielsystem übertragen ? Doch wohl nicht, oder ? Dachte das ist wie bei ssh ?
Doch, gerade den private key, weil der im Normalfall zum Entschlüsseln verwendet wird. Verschlüsselt wird mit dem public key. Wolfgang -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
ich möchte Dateien mittels gpg verschlüsselt austauschen. Dazu habe ich mir die Quickdoku von gnupg.org runtergeladen. Aber irgendwie lässt sich die Datei nicht mehr entschlüsseln.
Mein Ablauf:
1. gpg --key-gen 2. gpg --list-keys -> zeigt meinen erzeugten Schlüssel mit entsprechender UID an 3. gpg -o gpg.pub -a --export "UID" 4. Übertragung der gpg.pub auf Zielsystem 5. gpg --import gpg.pub 6. gpg --list-keys -> zeigt den importierten key an 7. Verschlüsslen der Datei auf Quellsystem: gpg -e /tmp/file -> Manuelle Eingabe der UID (die ich zuvor auch exportiert habe) 8. Übertragung der verschlüsselten Datei 9. gpg -d file.gpg -> hier kommt dann folgende Fehlermeldung: gpg: encrypted with 2048-bit ELG-E key, ID 6A4BAEBB, created 2007-07-11 "XXXXXXXXXXXXXXXXXXX U I D XXXXXXXXXXXXXXXXXXXXXXXXX" gpg: decryption failed: secret key not available
So nun habe ich genau 2 Fragen: - wie kann ich die Datei verschlüsseln ohne die UID manuell einzugeben
default-key in ~/.gnupg/gpg.conf ?
- muss ich den secret key etwa auch auf das Zielsystem übertragen ? Doch wohl nicht, oder ? Dachte das ist wie bei ssh ?
Doch, gerade den private key, weil der im Normalfall zum Entschlüsseln verwendet wird. Verschlüsselt wird mit dem public key.
Hi danke für die schnelle Antwort. Also eine gpg.conf habe ich auf meinem System nicht. Wie muss die denn syntaktisch aussehen ? Nur damit ich das das Ganze verstehe: Ist es bei GPG genau umgekehrt wie bei SSH ? Dort tausche ich ja den PUB-Key aus, bei GPG tausche ich nicht den PUB sondern den SECRET-Key aus ? Wenn ich mittels gpg --export alle keys exportiere, müssten doch auch die Secret- keys enthalten sein oder ? Dann müsste ich nach dem import im Zielsystem doch auch die verschlüsselte Datei wieder entschlüsseln können ? -- Regards, Jens Strohschnitter ------------------------------------- *!!!LINUX LINUX LINUX LINUX LINUX!!!* * http://www.jens-strohschnitter.de * ------------------------------------- Set the controls for the heart of the sun ------------------------------------- __________________________________________________________ Raiffeisen Waren-Zentrale Rhein-Main eG 50668 Koeln, Altenberger Str. 1a Tel: 0221/1638-0 Fax: 0221/1638-254 Sitz: Koeln Amtsgericht Koeln, GnR 728 Vorstand: Hans-Josef Hilgers (Sprecher) Markus Stuettgen Dr. Karl-Heinrich Suemmermann Friedhelm Decker (Vorsitzender) Ingo Steitz Vorsitzender des Aufsichtsrates: Peter Bleser (MdB) St.Nr.: 215/5938/0152 Bankverbindung: WGZ Bank AG, Duesseldorf (BLZ 300 600 10) Konto-Nr.: 300 011 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Jens Strohschnitter, Mittwoch, 11. Juli 2007 16:09:
Nur damit ich das das Ganze verstehe: Ist es bei GPG genau umgekehrt wie bei SSH ?
Nein, es ist genau so.
Dort tausche ich ja den PUB-Key aus, bei GPG tausche ich nicht den PUB sondern den SECRET-Key aus ?
Der Secret Key wird nie ausgetauscht, was Du schon an den Rechten an der Datei ablesen kannst. Die eine hat 400, die andere 644. Ergo...
Wenn ich mittels gpg --export alle keys exportiere, müssten doch auch die Secret- keys enthalten sein oder ?
Nein.
Dann müsste ich nach dem import im Zielsystem doch auch die verschlüsselte Datei wieder entschlüsseln können ?
Sag doch erst mal, welches Szenario Du erschlagen willst, dann sehen wir weiter. -- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Nur damit ich das das Ganze verstehe: Ist es bei GPG genau umgekehrt wie bei SSH ?
Nein, es ist genau so.
Dort tausche ich ja den PUB-Key aus, bei GPG tausche ich nicht den PUB sondern den SECRET-Key aus ?
Der Secret Key wird nie ausgetauscht, was Du schon an den Rechten an der Datei ablesen kannst. Die eine hat 400, die andere 644. Ergo...
Wenn ich mittels gpg --export alle keys exportiere, müssten doch auch die Secret- keys enthalten sein oder ?
Nein.
Dann müsste ich nach dem import im Zielsystem doch auch die verschlüsselte Datei wieder entschlüsseln können ?
Sag doch erst mal, welches Szenario Du erschlagen willst, dann sehen wir weiter.
Hi, also das Szenario ist folgendes: Es sollen Dateien von einem SFTP-Server abgeholt werden, die ich zuvor dort abgelegt habe. Diese Dateien sollen per gpg verschlüsselt werden und von der Gegenseite nach der Übertragung wieder entschlüsselt werden. Habe dann wie beschrieben gpg eingerichtet und die Datei testweise ver- und wieder entschlüsselt. Klappt auf dem sFTP-Server ja auch prima, aber die Gegenseite bräuchte dann doch einen (?Public?) Key oder sowas von mir, damit diese die Datei wieder entschlüsseln kann. Hoffe die Info hilft weiter. -- Regards, Jens Strohschnitter ------------------------------------- *!!!LINUX LINUX LINUX LINUX LINUX!!!* * http://www.jens-strohschnitter.de * ------------------------------------- Set the controls for the heart of the sun ------------------------------------- __________________________________________________________ Raiffeisen Waren-Zentrale Rhein-Main eG 50668 Koeln, Altenberger Str. 1a Tel: 0221/1638-0 Fax: 0221/1638-254 Sitz: Koeln Amtsgericht Koeln, GnR 728 Vorstand: Hans-Josef Hilgers (Sprecher) Markus Stuettgen Dr. Karl-Heinrich Suemmermann Friedhelm Decker (Vorsitzender) Ingo Steitz Vorsitzender des Aufsichtsrates: Peter Bleser (MdB) St.Nr.: 215/5938/0152 Bankverbindung: WGZ Bank AG, Duesseldorf (BLZ 300 600 10) Konto-Nr.: 300 011 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Habe dann wie beschrieben gpg eingerichtet und die Datei testweise ver- und wieder entschlüsselt. Klappt auf dem sFTP-Server ja auch prima, aber die Gegenseite bräuchte dann doch einen (?Public?) Key oder sowas von mir, damit diese die Datei wieder entschlüsseln kann. Noch einmal langsam: Zum Entschlüsseln benötigst Du *immer* den
Jens Strohschnitter schrieb: passenden privaten Schlüssel desjenigen, für den das ganze verschlüsselt wurde und den öffentlichen Schlüssel desjenigen, der das ganze verschlüsselt hat. Sind beide Personen identisch, brauchst Du auf beiden Seiten sowohl ihren öffentlichen als auch ihren privaten Schlüssel. Gruß, Johannes -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Johannes Engel, Donnerstag, 12. Juli 2007 09:38:
Noch einmal langsam: Zum Entschlüsseln benötigst Du *immer* den passenden privaten Schlüssel desjenigen, für den das ganze verschlüsselt wurde
Ja.
und den öffentlichen Schlüssel desjenigen, der das ganze verschlüsselt hat.
Nein. Den brauchst Du nur, wenn Du die Signatur überprüfen willst. Wenn Du aber den passenden Public Key nicht hast, dann schlägt nur die Überprüfung der Signatur fehl, aber auspacken kannst Du die Datei trotzdem. Oder aber die Datei ist gar nicht signiert, dann erübrigt sich das sowieso. -- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Andre Tann schrieb:
Johannes Engel, Donnerstag, 12. Juli 2007 09:38:
und den öffentlichen Schlüssel desjenigen, der das ganze verschlüsselt hat.
Nein. Den brauchst Du nur, wenn Du die Signatur überprüfen willst. Wenn Du aber den passenden Public Key nicht hast, dann schlägt nur die Überprüfung der Signatur fehl, aber auspacken kannst Du die Datei trotzdem. Oder aber die Datei ist gar nicht signiert, dann erübrigt sich das sowieso. OK, da hast Du Recht, ich bin davon ausgegangen, dass man zur Gewährleistung der Sicherheit ohnehin mit der Entschlüsselung auch eine Überprüfung der Signatur vornimmt. :)
Gruß, Johannes -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Jens Strohschnitter, Donnerstag, 12. Juli 2007 09:24:
Es sollen Dateien von einem SFTP-Server abgeholt werden, die ich zuvor dort abgelegt habe. Diese Dateien sollen per gpg verschlüsselt werden und von der Gegenseite nach der Übertragung wieder entschlüsselt werden.
Habe dann wie beschrieben gpg eingerichtet und die Datei testweise ver- und wieder entschlüsselt. Klappt auf dem sFTP-Server ja auch prima, aber die Gegenseite bräuchte dann doch einen (?Public?) Key oder sowas von mir, damit diese die Datei wieder entschlüsseln kann.
Nein. Du brauchst den Public Key von der Gegenseite, und an diesen Schlüssel verschlüsselst Du die Datei. Wenn Du die Datei auch noch selbst lesen können willst, dann mußt Du auch noch gleichzeitig an Dich selbst verschlüsseln, sonst kannst Du selbst nicht mehr reingucken. Das heißt also, daß sowohl Du ein Schlüsselpaar brauchst, als auch die Gegenseite. Ihr tauscht eure Public Keys aus, und dann kann jeder an den anderen verschlüsseln. -- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Jens! Jens Strohschnitter wrote:
Also eine gpg.conf habe ich auf meinem System nicht. Wie muss die denn syntaktisch aussehen ?
~/.gnupg/gpg.conf Auszug aus der manpage: "gpg.conf This is the standard configuration file read by gpg2 on startup. It may contain any valid long option; the leading two dashes may not be entered and the option may not be abbreviated. This default name may be changed on the command line." Die Optionen entnimmst Du auch der manpage.
Nur damit ich das das Ganze verstehe: Ist es bei GPG genau umgekehrt wie bei SSH ? Dort tausche ich ja den PUB-Key aus, bei GPG tausche ich nicht den PUB sondern den SECRET-Key aus ?
Lies doch erstmal eine allgemeine Einführung/Tutorial in GPG, damit Du das Konzept verstehst, dann erübrigen sich viele Fragen von selbst. zB: http://www.gnupg.org/(en)/howtos/de/index.html http://www.gnupg.org/gph/de/manual/index.html http://www.gnupg.org/(en)/documentation/manuals/gnupg/ Joachim -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Wolfgang Rosenauer, Mittwoch, 11. Juli 2007 15:51:
Doch, gerade den private key, weil der im Normalfall zum Entschlüsseln verwendet wird. Verschlüsselt wird mit dem public key.
Nee, so kann man das nicht sagen. Das, was mit dem einen Key verschlüsselt wurde, wird mit dem anderen entschlüsselt, und umgekehrt. Das eine nennt man tatsächlich verschlüsseln (Fall: jemand will mir was schicken, und verschlüsselt mit meinem Public Key. Das Chriffrat kann dann nur ich mit meinem Private Key entschlüsseln), das andere signieren (Fall: ich will anderen kundtun, daß der Text von mir stammt. Also wird ein Hash über den Text gebildet, dieser mit meinem Private Key verschlüsselt. Wenn dann der mit meinem öffentlichen Key entschlüsselte Hash mit dem Hash des Textes übereinstimmt, dann ist "die Signatur gültig"). Den Private Key kopiert man nicht auf alle möglichen Rechner, sondern man trägt ihn allenfalls auf einem USB-Stick mit sich rum, und eigentlich nicht mal das. Allerdings ist das Public-Key-Verfahren (asymmetrisches Verfahren) möglicherweise nicht geeignet für das, was der OP will. Wenn ich nämlich meine eigene Datei an verschiedenen Orten selbst entschlüsseln will, dann nehme ich dafür das symmetrische Verschlüsselungsverfahren, sprich: keine Keys, sondern Paßwörter. -- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Andre Tann wrote:
Wolfgang Rosenauer, Mittwoch, 11. Juli 2007 15:51:
Doch, gerade den private key, weil der im Normalfall zum Entschlüsseln verwendet wird. Verschlüsselt wird mit dem public key.
Nee, so kann man das nicht sagen. Das, was mit dem einen Key verschlüsselt wurde, wird mit dem anderen entschlüsselt, und umgekehrt. Das eine nennt man tatsächlich verschlüsseln (Fall: jemand will mir was schicken, und verschlüsselt mit meinem Public Key. Das Chriffrat kann dann nur ich mit meinem Private Key entschlüsseln), das andere signieren (Fall: ich will anderen kundtun, daß der Text von mir stammt. Also wird ein Hash über den Text gebildet, dieser mit meinem Private Key verschlüsselt. Wenn dann der mit meinem öffentlichen Key entschlüsselte Hash mit dem Hash des Textes übereinstimmt, dann ist "die Signatur gültig").
Die Erklärung ist ausführlicher aber "Nee" kann ich nicht hinnehmen ;-) Denn ich habe mich nur dazu geäussert, was der OP in seinem Fall getan hat. Wolfgang -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (5)
-
Andre Tann -
Jens Strohschnitter -
Joachim Marx -
Johannes Engel -
Wolfgang Rosenauer