Konfiguration von 'pine' unter Unix (AFS) am LRZ zur Benutzung von PGP
Allgemeine Vorgehensweise
Um Pretty Good Privacy (PGP) mit dem Email-Programm 'pine' unter Unix (AFS) am LRZ benutzen zu können, muß man zwei Schritte durchführen:
- ein eigenes PGP-Schlüsselpaar generieren
- 'pine' konfigurieren
Hier wird nur 2. beschrieben. Im Anhang finden Sie aber eine Anleitung für 1., damit man die neue pine-Konfiguration testen kann.
Wichtige Hinweise:
- MIME-Attachements werden mit dieser Konfiguration nicht signiert und nicht verschlüsselt, sondern nur der tatsächliche Mailtext! Sie sollten daher, wenn Sie Attachements verwenden wollen oder müssen, diese Dateien vorher separat verschlüsseln.
- Am LRZ wird PGP 2.6.3i unterstützt. Mit PGP 5.x verschlüsselte oder signierte Mails führen daher zu einer Fehlermeldung.
Konfiguration von 'pine'
- 'pine' starten
- 'Setup' (S) auswählen
- 'Config' (C) auswählen
- Feld 'display-filters' markieren, 'Add' (A) auswählen und folgende
Zeile eintragen:
_BEGINNING("-----BEGIN PGP SIGNED")_ /client/bin/dis_sign.sh
- Noch einmal beim Feld 'display-filters' 'Add' (A) auswählen und
folgende Zeile eintragen:
_LEADING("-----BEGIN PGP MESSAGE-")_ /client/bin/dis_encr.sh
- Feld 'sending-filters' markieren, 'Add' (A) auswählen und folgende
Zeile eintragen:
/client/bin/pgpsign -fast
- Noch einmal beim Feld 'sending-filters' 'Add' (A) auswählen und
folgende Zeile eintragen:
/client/bin/encrypt -feast _RECIPIENTS_
- Der Eintrag sollte jetzt so aussehen:
display-filters = _LEADING("-----BEGIN PGP MESSAGE-")_ /client/bin/dis_encr.sh _BEGINNING("-----BEGIN PGP SIGNED")_ /client/bin/dis_sign.sh sending-filters = /client/bin/encrypt -feast _RECIPIENTS_ /client/bin/pgpsign -fast
- 'Exit Config' (E) auswählen und mit 'Yes' (Y) die Änderungen abspeichern.
'pine' ist jetzt zur Benutzung von PGP konfiguriert.
Beim Empfangen von signierten Emails, wird automatisch die Signatur geprüft. Den entsprechnden Public-Key muß man aber bereits in seine PGP-Konfiguration importiert haben.
Beim Empfangen von verschlüsselten Emails, wird man automatisch zur Entschlüsselung aufgefordert.
Beim Senden von Emails kann man wählen zwischen 'unfiltered',
'encrypt' und 'pgpsign' (Pfeiltasten nach oben und unten
benutzen).
- 'unfiltered' bedeutet unverschlüsselt und unsigniert.
- 'pgpsign' bedeutet signiert mit dem eigenen SecretKey.
- 'encrypt' bedeutet verschlüsselt mit dem Public-Key des Empfängers (wird benötigt) UND signiert mit dem eigenen Secret-Key.
Anhang
PGP-Schlüsselpaar generieren
Mit folgender Befehlsfolge wird ein Test-PGP-Schlüsselpaar generiert.
cd
mkdir .pgp
cd .pgp
fs la
Dieser Befehl sollte maximal folgende AFS-Berechtigungen für das Verzeichnis $HOME/.pgp ausgeben:
admin:backup rlidwka
<eigene AFS-Kennung> rlidwkaAnsonsten müssen die AFS-Rechte entsprechend angepasst werden
pgp -kg
dabei als Identität folgendes eingeben:
Vorname Nachname <offizielle@Email-Adresse.de>
'pubring.pgp' enthält den eigenen PublicKey (und später auch alle importierten)
'secring.pgp' enthält den eigenen SecretKey (sicher aufbewahren!)
pgp -kxa nachname nachname.asc
Die dabei erzeugte Datei 'nachname.asc' kann dann als eigener PublicKey weitergegeben werden.
pgp -kvc nachname
gibt den 'Fingerprint' des eigenen Schlüssels aus
pgp -kx nachname revocation.pgp
pgp -kd nachname revocation.pgp
damit wird ein Schlüssel-Revocation-Zertifikat 'revocation.pgp' erzeugt, das man benötigt, um den eigenen Schlüssel bei Bedarf für ungültig zu erklären (z.B. wenn der eigene Schlüssel mißbraucht wird).
Importieren von Public-Keys anderer Benutzer:
pgp -ka anderer_name.asc