Der öffentliche und der geheime Schlüssel haben jeweils eine
spezifische Aufgabe beim Ver- und Entschlüsseln von Dokumenten.
Das Public-Key-Verfahren kann man sich wie einen offenen Safe
vorstellen. Wenn jemand ein Dokument unter Benutzung eines
öffentlichen Schlüssels verschlüsselt, wird dieses Dokument in den
Safe gelegt, der Safe geschlossen und das Kombinationsschloß
mehrmals verdreht. Der entsprechende geheime Schlüssel ist die
Kombination, mit der man den Safe wieder öffnen und das Dokument
wieder herausholen kann. Mit anderen Worten, es kann nur die
Person, die den geheimen Schlüssel hat, auf ein Dokument
zugreifen, das unter Benutzung des dazugehörigen öffentlichen
Schlüssels verschlüsselt worden ist.
Das Verfahren für das Ver- und Entschlüsseln von Dokumenten ist
bei diesem Modell einfach: eine Nachricht an Alice verschlüsseln
Sie unter Verwendung von Alices öffentlichem Schlüssel, und diese
entschlüsselt sie mit ihrem geheimen Schlüssel. Umgekehrt geht es
genauso: Alice verschlüsselt eine Nachricht an Sie mit Ihrem
öffentlichen Schlüssel, welche Sie dann mit Ihrem geheimen
Schlüssel entschlüsseln können.
Um ein Dokument zu verschlüsseln, benutzt man die Option
--encrypt. Dazu müssen Sie die öffentlichen
Schlüssel der vorgesehenen Empfänger haben. Sollten Sie auf der
Kommandozeile den Namen der zu verschlüsselnden Datei nicht
angeben, werden die zu verschlüsselnden Daten von der
Standard-Eingabe gelesen. Das verschlüsselte Resultat wird auf die
Standard-Ausgabe oder in die Datei, die durch die Option
--output spezifiziert ist, geschrieben. Das
Dokument wird darüberhinaus auch noch komprimiert.
user@linux ~$
gpg --output doc.gpg --encrypt --recipient blake@cyb.org doc
|
Mit der Option --recipient wird der öffentliche
Schlüssel spezifiziert, mit dem das Dokument verschlüsselt werden
soll. Entschlüsseln läßt sich das so verschlüsselte Dokument
jedoch nur von jemandem mit dem dazugehörigen geheimen Schlüssel.
Das bedeutet konsequenterweise aber auch, dass Sie selbst ein so
verschlüsseltes Dokument nur wieder entschlüsseln können, wenn Sie
Ihren eigenen öffentlichen Schlüssel in die Empfängerliste
aufgenommen haben.
Zum Entschlüsseln einer Nachricht wird die Option
--decrypt benutzt. Sie benötigen dazu den
geheimen Schlüssel, für den die Nachricht verschlüsselt wurde und
das Mantra, mit dem der geheime Schlüssel geschützt ist.
user@linux ~$
gpg --output doc --decrypt doc.gpg
Sie benötigen ein Mantra, um den geheimen Schlüssel zu entsperren. Benutzer: "Blake (Staatsanwalt) <blake@cyb.org>" 1024-Bit ELG-E Schlüssel, ID F251B862, erzeugt 2000-06-06 (Hauptschlüssel-ID B2 690E6F)
Geben Sie das Mantra ein:
|
Mit GnuPG können Sie aber auch ohne Anwendung eines
Public-Key-Verfahrens Dokumente verschlüsseln und stattdessen ein
symmetrisches Verfahren benutzen. Der Schlüssel für die
symmetrische Verschlüsselung wird aus einem Paßwort - besser noch,
einem Paßwort-Satz - generiert, das auf gar keinen
Fall dem Mantra zum Schutz Ihres privaten Schlüssels
entsprechen sollte. Je länger das gewählte Paßwort ist, desto
sicherer ist der Schlüssel. Wenn Sie diesen symmetrischen
Schlüssel an jemanden weitergeben, sollten Sie dazu einen sicheren
Weg wählen. Ein Dokument läßt sich so durch Benutzung der
Option --symmetric verschlüsseln.
user@linux ~$
gpg --output doc.gpg --symmetric doc
Geben Sie das Mantra ein:
|
Symmetrische Verfahren empfehlen sich beispielsweise, wenn Sie die
verschlüsselten Daten nicht weiter geben möchten, das Problem der
Paßwortübergabe also entfällt. Ein mögliches Anwendungsbeispiel
wäre, dass Sie alte E-Mails oder alte Datensätze aus Ihrer
Umsatzstatisk auf ihrer Festplatte oder einer CDROM archivieren
und vor fremden Zugriffen schützen möchten. Oder Sie können auch
ganze Verzeichnisse oder Festplatten verschlüsseln.
|