ubuntuusers.de

Wiki

Seahorse

ubuntuusers.de » Wiki » Seahorse

Seahorse

Dieser Artikel wurde für die folgenden Ubuntu-Versionen getestet:

Zum Verständnis dieses Artikels sind folgende Seiten hilfreich:

  1. Grundlegende Konzepte der Verschlüsselung mit GnuPG

  2. Installation von Paketen

  3. Ein Programm starten

Inhaltsverzeichnis
  1. Installation
  2. Benutzung
    1. Hauptfenster
    2. Werkzeugleiste
    3. Menü
      1. Schlüsselpaar erzeugen
      2. Schlüssel exportieren
      3. Schlüssel importieren
    4. Schlüssel-Eigenschaften
      1. Eigentümer
      2. Namen und Signaturen
      3. Vertrauen
      4. Details
  3. Desktop-Integration
    1. Nautilus
      1. Verschlüsseln
      2. Signieren
      3. Entschlüsseln
      4. Signatur prüfen
    2. gedit
      1. Verschlüsseln/Signieren
      2. Entschlüsseln/Signatur prüfen
    3. Applet
      1. Einstellungen
      2. Benutzung
  4. Der Seahorse-Agent
  5. Links

seahorse.png

Seahorse {en} ist ein grafisches Frontend für das Verschlüsselungsprogramm GnuPG, mit dem sich der GnuPG-Schlüsselbund verwalten sowie eigene GnuPG-Schlüssel erstellen lassen. Ab Hardy Heron ist Seahorse das Standardprogramm zur Schlüsselverwaltung unter Ubuntu (Gnome) und löst den GNOME Schlüsselbund ab.

Für KDE-Benutzer gibt es mit Kgpg ein vergleichbares Programm. Nähere Informationen zu GnuPG bzw. den Verschlüsselungstechniken, die dahinter stecken, erhält man in den Artikeln zu GnuPG und dessem technischen Hintergrund [1].

Nebenbei können mit Seahorse auch SSH-Schlüssel und die Passwörter des GNOME Schlüsselbundes verwaltet werden, was aber in diesem Artikel keine Berücksichtigung findet (gilt nur für Gutsy und Feisty).

Installation

Seahorse kann über das folgende Paket installiert werden [2]:

  • seahorse

  • seahorse-plugins (optional, ab Karmic aber notwendig für die Nautilus Integration, siehe unten)

Wiki/Vorlagen/Installbutton/button.png

Seahorse kann über den Menüeintrag "Anwendungen -> Zubehör -> Passwörter und Verschlüsselung" oder durch Aufruf des Befehls seahorse gestartet werden [3].

Benutzung

seahorse-hauptfenster.png

Hauptfenster

Es öffnet sich das Hauptfenster von Seahorse, dass aus einem Menü, einer Werkzeugleiste, und dem Anzeigebereich besteht. In letzterem befinden sich vier Reiter:

  • Eigene Schlüssel: Hier befinden sich wie erwartet die eigenen Schlüssel, sowohl SSH als auch GnuPG.

  • Vertrauenswürdige Schlüssel: Hier befinden sich die Schlüssel, von deren Authentizität man überzeugt ist. Entweder, weil man das selber erklärt, oder über das Web of Trust. Weitere Informationen zum Web of Trust bietet der Artikel GnuPG Web of Trust, insbesondere im Abschnitt Vertrauensstufen.

  • Gesammelte Schlüssel: Hier befinden sich alle anderen GnuPG-Schlüssel, die man bspw. über das Internet zusammengesammelt hat, und über deren Authentizität man sich nicht sicher sein kann.

  • Passwörter: In diesem Reiter befinden sich die Passwörter des GNOME-Schlüsselbundes. Die Möglichkeiten sind fast identisch mit denen des Programms gnome-keyring-manager, weswegen an dieser Stelle nur auf die Wiki-Seite GNOME Schlüsselbund verwiesen wird.

Werkzeugleiste

seahorse-sign-key.png

In der Werkzeugleiste finden sich folgende vier Knöpfe und eine Filter-Eingabe, mit deren Hilfe man in langen Schlüssellisten den Überblick behalten kann.

  • Eigenschaften: Mit diesem Knopf öffnet man das Eigenschaften-Fenster eines ausgewählten Schlüssels (s.u.).

  • Exportieren: Hiermit kann man einen Schlüssel in eine Datei exportieren, um ihn bspw. weiter zu verteilen. Es öffnet sich ein Standard-Dateidialog, wo man die gewünschte Datei auswählen kann, in die der Schlüssel exportiert wird. Es wird in jedem Fall nur der öffentliche Teil exportiert, selbst wenn der geheime Teil vorhanden ist.

seahorse-suche.png

  • Signieren: Hiermit kann man Schlüssel von Bekannten mit seinem eigenen signieren, um ihnen Glaubwürdigkeit zu verleihen. (Siehe Web_of_Trust.) Man kann wählen, wie genau man die Identität des Besitzers geprüft hat. Im Allgemeinen sollte man aber sowieso nur solche Schlüssel signieren, bei denen man das "sehr sorgfältig" getan hat. Die beiden Optionen am unteren Rand sollte man in ihrer Voreinstellung belassen.

  • Suche: Hier kann man öffentliche Keyserver nach dem Schlüssel von Personen durchsuchen. Hat man den gewünschten Schlüssel so gefunden, kann man ihn durch Betätigen des +-Knopfes gleich ins Schlüsselbund importieren. Eine Suche nach Schlüssel-IDs funktioniert leider nicht, nur nach Namen oder Email-Adressen.

Alle Funktionen der Werkzeugleiste, und noch mehr, lassen sich auch über das Menü erreichen. Hier die wichtigsten:

Schlüsselpaar erzeugen

seahorse-new-pgp-key.png Um ein neues Schlüsselpaar zu erzeugen, wählt man die Menüoption "Schlüssel -> Neuen Schlüssel erzeugen..." oder betätigt die Tasten Strg + N. Anschließend wählt man aus, dass man einen "PGP-Schlüssel" erzeugen will.

Es öffnet sich ein Dialog, in dem folgende Daten abgefragt werden:

  • Vollständiger Name

  • E-Mail-Adresse

  • Kommentar (optional, z.B. Verwendungszweck)

Hinweis:

Seahorse nimmt die Bezeichnung "Vollständiger Name" sehr ernst, und verlangt deswegen mindestens ein Leerzeichen im Namen (zwischen Vor- und Nachname). Erst wenn der Name mindestens aus zwei Teilen besteht, wird der "Erstellen"-Knopf freigegeben.

Unter "Erweitere Schlüssel-Optionen" kann man noch Angaben zu der Gültigkeitsdauer, Stärke des Schlüssels und dem Schlüsseltyp machen, wenn einem die Voreinstellungen nicht gefallen.

Als nächstes folgt die Eingabe des Passwortes. Es ist sinnvoll, ein sehr starkes Passwort zu wählen (mindestens 8 Zeichen. Keine "echten" Wörter, sondern Buchstaben, Ziffern und Sonderzeichen gemischt.) Die Erzeugung des Schlüssels dauert einen kleinen Moment.

Schlüssel exportieren

Damit Kommunikationspartner ihre E-Mails verschlüsseln und mit dem geheimen Schlüssel erstellte Signaturen überprüfen können, brauchen sie jeweils den öffentlichen Schlüssel des Partners. In Seahorse kann man den öffentlichen Schlüssel ganz leicht exportieren. Man klickt den gewünschten Schlüssel mit der linken Maustaste an und wählt "Öffentlichen Schlüssel exportieren ...". Die erzeugte Datei kann man per E-Mail oder mit einem USB-Stick dem Kommunikationspartner übergeben.

Schlüssel importieren

Bekommt man nun einen öffentlichen Schlüssel von einem Bekannten als Datei (meist als asc-Datei), so kann man diesen ebenfalls via Seahorse importieren. Über die Menüoption "Schlüssel -> Importieren ..." oder Strg + I kann man die Schlüsseldatei auswählen.

Schlüssel-Eigenschaften

Das Eigenschaften-Fenster eines Schlüssels sieht etwas anders aus, je nachdem, um welche Art Schlüssel es sich handelt. Für GPG-Schlüssel gibt es drei Reiter:

Eigentümer

Der erste Reiter - "Eigentümer" - ist aber in beiden Fällen fast identisch. Es werden Name und Email-Adresse des Eigentümers, Schlüsselkennung, ein paar andere Daten, sowie u.U. ein in den Schlüssel integriertes Foto angezeigt.

Namen und Signaturen

Dieser Reiter existiert nur in den Eigenschaften von eigenen Schlüsseln, bei denen man auch im Besitz des geheimen Schlüsselteils ist. Man kann hier u.a. neue Identitäten zum Schlüssel hinzufügen und festlegen, welche Identität die "primäre" ist. (Das hat nur Auswirkungen auf die Anzeige des Schlüssels in Listen, nicht auf die Funktion.)

Man kann den Schlüssel auch signieren, wenn man z.B. mehrere Schlüssel besitzt und diese untereinander signieren möchte.

Vertrauen

Dieser Reiter wird nur bei fremden Schlüsseln angezeigt. Hier kann man bestätigen, dass man sich von der Identität des Schlüsselbesitzers überzeugt hat. Wenn man dies bejaht hat, kann man den Schlüssel mit seinem eigenen signieren und so auch gegenüber anderen Leuten die Identität des Besitzers bestätigen. (Siehe GnuPG/Web of Trust.)

Man kann hier auch festlegen, dass man dem Besitzer auch bei der Signierung anderer Schlüssel vertraut, so dass das Vertrauen weitervererbt werden kann. (Das entspricht der Vertrauensstufe "vollständig" aus dem folgenden Reiter, und sollte deswegen nur in Ausnahmefällen verwendet werden.)

Außerdem werden in diesem Reiter auch die Signaturen angezeigt, die sich auf dem Schlüssel befinden.

Hinweis:

Etwas gewöhnungsbedürftig ist es, dass Seahorse, während man es benutzt, die Schlüssel von Leuten importiert, die die vorhandenen Schlüssel signiert haben. Die Liste der Schlüssel kann also ziemlich schnell recht lang werden, wenn man z.B. ein paar Schlüssel bekannter Open-Source-Gurus mit vielen Signaturen im Schlüsselbund hat.

Diese Aktivitäten führen dann (zumindest unter Ubuntu 7.04 Feisty Fawn) anscheinend öfter einmal dazu, dass der "Eigenschaften -> Vertrauen"-Dialog einfriert und sich kurz darauf selbständig schließt. Das ist sehr ärgerlich, aber auf die Funktion des Rests von Seahorse hat das keine Auswirkung.

Ein Sicherheitsrisiko stellt das unkontrollierte Importieren fremder Schlüssel auch nicht dar, da diesen Schlüsseln kein automatisches Vertrauen entgegengebracht wird.

Details

Hier gibt es wieder ein paar Informationen zum Schlüssel zu betrachten, die sich teilweise mit denen aus dem ersten Reiter "Eigentümer" überschneiden. Ändern kann man hier bei Schlüsseln anderer Leute nur die Vertrauensstufe (siehe Vertrauensstufen im Web of Trust).

In Bezug auf eigene Schlüssel gibt es da ein paar mehr Einstellungsmöglichkeiten. So kann man hier die Lebensdauer des Schlüssels ändern oder den gesamten Schlüssel inkl. geheimem Teil exportieren. (Nur für Backup-Zwecke! Zur Weitergabe an Kommunikationspartner sollte man die Export-Funktion aus der Werkzeugleiste des Seahorse-Fensters benutzen, die nur den öffentlichen Teil exportiert.)

Im unteren Bereich des Fensters kann man die Unterschlüssel managen und z.B. unterschiedliche Verfallsdaten für den Signier- (DSA-) und den Verschlüsselungs- (ElGamal-)Schlüssel einstellen. Auch das Widerrufen von kompromittierten Schlüsseln soll hier möglich sein, funktioniert aber zumindest unter Feisty nicht erwartungsgemäß.

Hinweis:

Es ist ratsam, gleich bei der Schlüsselerzeugung ein entsprechendes Widerrufszertifikat zu erstellen und sicher zu verwahren. Nach einem Verlust des geheimen Schlüssels ist ein nachträgliches Erstellen des Widerrufs nämlich nicht mehr möglich. Das Erstellen dieses Zertifikats ist innerhalb von Seahorse aber anscheinend leider nicht möglich, so dass man auf das GnuPG-Kommandozeilenprogramm zurückgreifen muss.

Desktop-Integration

Seahorse ist nicht nur ein alleinstehendes Programm zur Schlüsselverwaltung, sondern bietet auch anderen GNOME-Anwendungen Verschlüsselungsdienste an. Unter anderem werden diese bereits vom Dateimanager Nautilus und vom Texteditor gedit genutzt. Außerdem gibt es auch ein Applet für das GNOME Panel.

Die Passphrase des Schlüssels wird dabei bei Bedarf mit Hilfe eines Dialogfensters abgefragt.

Nautilus

seahorse-nautilus-verschluesseln.png Um die Seahorse-Funktionen in Nautilus zu nutzen, braucht man nichts extra zu konfigurieren. Beim nächsten Start von Nautilus, nach der Installation von Seahorse, stehen die entsprechenden Möglichkeiten zur Verfügung. Wer sich dazu nicht extra ab- und wieder anmelden will, kann mit dem Befehl killall nautilus GNOME dazu zwingen, Nautilus neuzustarten. Selbstverständlich führt das dazu, dass alle Dateimanager-Fenster geschlossen werden. Man sollte also nicht gerade nebenbei z.B. irgendwelche Kopieroperationen am Laufen haben.

Man findet im Kontextmenü, dass man per Rechtsklick auf eine beliebige Datei erreicht, die zusätzlichen Einträge "Verschlüsseln..." und "Signieren".

Verschlüsseln

Möchte man eine Datei verschlüsseln, so öffnet sich ein Dialog mit allen öffentlichen Schlüsseln, die man im Schlüsselbund hat. Hier kann man beliebig viele auswählen, mit denen die Datei verschlüsselt werden soll. Alle Besitzer dieser Schlüssel können die Datei später mit ihrem privaten Schlüssel lesen. Technisch wird dies erreicht, indem die Datei mit jedem Schlüssel einzeln bearbeitet werden und dann die Ergebnisse aneinandergehängt werden. Die entstehende Datei mit der Endung .pgp ist also umso größer, je mehr Empfänger man gewählt hat.

Nebenbei kann man die Datei auch noch digital signieren, damit der Empfänger die Herkunft verifizieren kann.

Möchte man die Datei nur zur eigenen Verwendung verschlüsseln, muss man natürlich seinen eigenen Public-Key auswählen. Außerdem empfiehlt sich in diesem Fall, das Original zu löschen oder besser ganz zu vernichten.

Hinweis:

Leider benutzt Nautilus nicht das sogenannte "ASCII-Armor-Format" mit der Endung .asc zur Verschlüsselung, sondern das binäre PGP-Format. Ein späteres Copy-and-Paste der verschlüsselten Datei in eine andere Applikation ist also nicht möglich.

Signieren

Noch einfacher ist das Signieren einer Datei. Nach der Auswahl von "Signieren" aus dem Kontextmenü einer Datei muss man nur einen der eigenen geheimen Schlüssel auswählen, und es wird eine Signaturdatei mit der Endung .sig erzeugt. Diese kann man dann mit der Originaldatei verbreiten, so dass jeder die Echtheit der Datei überprüfen kann.

Entschlüsseln

Eine verschlüsselte Datei mit der Endung .pgp (oder auch .asc) kann man einfach entschlüsseln, indem man im Kontextmenü "Mit »Datei entschlüsseln« öffnen" anklickt. Es erscheint ein Dateidialog, wo man den Namen der entschlüsselten Datei wählen kann. Wenn die verschlüsselte Datei gleichzeitig auch signiert ist, wird die Signatur gleich automatisch mit geprüft (s.u.).

Signatur prüfen

Über "Mit »Signatur-Datei überprüfen« öffnen" aus dem Kontextmenü einer .sig-Datei kann man prüfen, ob die zugehörige Datei (ohne die .sig-Endung) tatsächlich vom angeblichen Absender stammt und nicht zwischendurch verändert wurde. Das Ergebnis der Prüfung erscheint in einem kleinen Meldefenster am rechten unteren Bildschirmrand. (Diese Funktion steht unter Hardy Heron 8.04 leider nicht zur Verfügung, lässt sich jedoch leicht mit GnuPG bewerkstelligen.)

gedit

seahorse-gedit.png Um die Verschlüsselungsfunktionen von Seahorse in gedit nutzen zu können, muss man erstmal ein Plugin aktivieren. Dies funktioniert über "Bearbeiten -> Einstellungen -> Plugins -> Text-Verschlüsselung".

Verschlüsseln/Signieren

Wie der Name des Plugins schon andeutet, kann man damit Text verschlüsseln (bzw. signieren), und zwar direkt im Textfenster des Editors, wobei praktischerweise das ASCII-Armor-Format Verwendung findet. Hat man vorher mit der Maus einen Textabschnitt markiert, so wird durch Auswahl des entsprechenden Menüpunkts aus dem "Bearbeiten"-Menü nur dieser Abschnitt verschlüsselt/signiert, ansonsten der gesamte Text. Die Auswahl des Schlüssels ist identisch mit der in Nautilus.

Entschlüsseln/Signatur prüfen

Durch Auswahl von "Bearbeiten -> Entschlüsseln/Überprüfen" werden alle PGP-Blöcke im Text entschlüsselt und alle Signaturen überprüft. Das Ergebnis der Signaturprüfung wird wie bei Nautilus in einem Nachrichtenfenster angezeigt.

Applet

Seahorse bietet ebenfalls ein Applet an, dass sich im GNOME-Panel einnistet. Hierfür mit einem Rechtsklick auf das Panel und "Zum Panel hinzufügen" das Applet "Sonstiges -> Verschlüsselung des Textes in der Zwischenablage" auswählen. Die Zwischenablage ist das, wo mit der linken Maustaste markierte Texte landen, die man dann mit der mittleren Taste woanders einfügen kann. Mit Hilfe des Seahorse-Applets kann man diese Zwischenablage zwischen dem Ausschneiden und Einfügen ändern, also z.B. eine Klartext-Zwischenablage verschlüsseln.

Einstellungen

seahorse-gnome-applet-settings.png Die Voreinstellungen sind etwas ungünstig gewählt, also sollte man sie durch Rechtsklick auf das Seahorse-Applet und Auswahl von "Voreinstellungen" ändern. "Zeige Status der Zwischenablage im Panel" ist z.B. ziemlich sinnvoll. Dadurch erkennt man am Applet, ob sich in der Zwischenablage Klartext (Text-Icon), Chiffre (Vorhängeschloss) oder eine Signatur (rotes Siegel) befindet. (Wobei das Applet diese Unterscheidung danach trifft, ob der Text mit einer bekannten Zeichenkette á la "-----BEGIN PGP MESSAGE-----" beginnt.)

"Inhalte der Zwischenablage anzeigen nach: Entschlüsseln oder Überprüfen" ist auch sinnvoll. Schließlich ist das der Sinn der Sache, wenn man etwas entschlüsseln will, und so braucht man nicht jedesmal erst ein offenes Editor-Fenster zu suchen, in welches man den Text mal eben reinkopieren kann. Es öffnet sich dann automatisch ein eigenes Fenster, das den entschlüsselten Text anzeigt.

Das voreingestellte "Inhalte der Zwischenablage anzeigen nach: Verschlüsseln oder Signieren" kann man dagegen getrost deaktivieren. Es handelt sich sowieso nur um Buchstabensalat, und für Copy-and-Paste braucht man das auch nicht, da sich ja der verschlüsselte Text dann bereits in der Zwischenablage befindet.

Benutzung

Benutzt wird das Applet mit der linken Maustaste. Je nachdem, welche Art von Inhalt sich in der Zwischenablage befindet, kann man sie entweder verschlüsseln, signieren, oder entschlüsseln/überprüfen, was genauso funktioniert wie oben im Abschnitt Nautilus beschrieben. Der umgewandelte Text ersetzt die Zwischenablage und kann sofort in jede beliebige Applikation eingefügt werden.

Der Seahorse-Agent

Wenn man sich nach der Installation von Seahorse das nächste Mal am Gnome-Desktop anmeldet, wird automatisch der Seahorse-Agent aktiv und macht sich als gelbes Vorhängeschloss im Benachrichtigungsfeld des Panels bemerkbar, sobald er mindestens einen Schlüssel aufgenommen hat. Der Seahorse-Agent speichert Passphrasen von Schlüsseln nach der Verwendung für eine bestimmte Zeit in einem Cache, so dass man die Passphrase nicht ständig einzugeben braucht.

Mit einem Linksklick auf das Icon öffnet man ein Fenster, in dem alle z.Zt. aktiven Schlüssel aufgelistet werden. Was die SSH-Schlüssel angeht, kommuniziert der Seahorse-Agent zu diesem Zweck mit dem SSH-Agenten. Leider kann man keinen Schlüssel einzeln aus dem Cache entfernen, sondern nur alle zusammen.

Mit einem Rechtsklick gelangt man in ein kleines Menü, aus dem heraus man ebenfalls das Fenster öffnen oder den Cache löschen kann. Über den Eintrag "Cache Preferences" gelangt man direkt in den Reiter "Passwort-Zwischenspeicher" der Seahorse-Einstellungen.

Diese Revision wurde am 22. März 2010 um 18:42 Uhr von oliverhorn erstellt.
Dieser Seite wurden folgende Begriffe zugeordnet: Sicherheit, Kommunikation

Passwort vergessen?