Pegasus Mail: Integration von PGPPegasus Mail: Integration von PGP basiert auf dem EDV-Info-Artikel "Pegasus Mail: Integration von PGP" aus dem Jahr 1997.Installationsanleitung fuer ein vollstaendiges
Verschluesselungssystem auf der Basis von Pretty Good Privacy (PGP) und Pegasus Mail. - ---------------------------------------------------------------------- Version: 1.0 (01.09.97) Copyright 1997, Yorck Schneider-Kuehnle. Diese Anleitung soll jedem, der sich um die Sicherheit im Internet (und anderen Netzen) Gedanken gemacht hat, ermutigen, auf seinem PC "Pretty Good Privacy" einzurichten. Ich selbst hatte schon lange mit dem Gedanken gespielt, war aber bis jetzt von der Tatsache abgeschreckt worden, jede Email immer in eine Datei abspeichern zu muessen, dann mit kryptischen (soll kein Wortspiel sein ;-)) Kommandozeilenparametern zu jonglieren, nur um die Echtheit sicherzustellen. Nach einigen Emails mit Nils Lohse hat dieser mich dazu gebracht, erstens endlich PGP zu installieren, dann nach einem brauchbaren Frontend fuer Win 95 Ausschau zu halten und zu guter letzt auch noch meine Erfahrungen hier niederzuschreiben. Getestet wurde das ganze bei mir auf einem Pentium unter Windows 95 in Verbindung mit Pegasus Mail. Die meisten Teile dieser Anleitung koennen sicherlich auch fuer andere Konfigurationen verwendet werden. Fangen wir also an: Zunaechst braucht man immer das Programmpaket PGP 2.6.3i. Es ist die aktuelle internationale Freeware Version von Stale Schumacher und meines Erachtens weitgehend kompatibel zu den meisten anderen Versionen von PGP (Details dazu siehe [1]). Zum jetzigen Zeitpunkt gibt es noch keine internationale PGP 5.0 Version fuer Windows. Sobald sie fuer DOS/Win95 freigegeben sein sollte, werde ich sie mir auch mal anschauen. Nach allem aber, was mir bis jetzt ueber die US-Version bekannt ist, braucht man sowieso beide Versionen parallel, da es Probleme mit den alten/neuen Schluesseln geben soll. Dazu aber mehr, wenn ich selbst testen konnte. Man besorge sich die Datei pgp263i.zip und packe sie in einem Verzeichnis aus. (pkunzip -d pgp263i) Man erhaelt ein weiteres Archiv "pgp263ii.zip", ein signature-file (pgp263ii.asc), "readme.1st", "readme.usa" und "setup.doc". Relevant ist jetzt erst mal das "setup.doc", weil darin das genaue Vorgehen zur Installation beschrieben ist - allerdings auf Englisch. Ich beschreibe jetzt im wesentlichen den Inhalt dieser Datei auf Deutsch. Installation von PGP 2.6.3 i Zunaechst werden die Verzeichnisse eingerichtet. Unter Windows 95 kann das ja vermutlich fast jeder, daher hier nur die Beschreibung direkt auf der MS-DOS Ebene (DOS-Fenster oder direkt). Wechsel auf die gewuenschte Partition "c:" (kann natuerlich auch jedes andere Laufwerk sein) "md pgp" (um das Verzeichnis "pgp" zu erzeugen). "cd pgp" (um in dieses Verzeichnis zu wechseln) Der Verzeichnisname kann natuerlich nach belieben angepasst werden und muss nicht "pgp" heissen. Fuer die spaetere Nutzung der Aegis Shell (und auch fuer tippfaule DOS-Enthusiasten) sollte der Pfad aber moeglichst kurz sein, da die Laenge der Kommandozeile begrenzt ist. Mit "pkunzip -d pgp263ii" wird das innere Archiv ausgepackt. Der Parameter "-d" veranlasst dabei, dass die ganze Dokumentation in einem Unterverzeichnis ausgepackt wird. Das Archiv "pgp263ii.zip" sollte noch aufbewahrt werden. Es kann spaeter mit Hilfe der mitgegebenen Schluessel und dem Signature-file eindeutig validiert werden. Damit ist sichergestellt, dass keiner dieses Programm, welches von Stale Schumacher kompiliert und gepackt wurde, veraendert hat. Jetzt muessen noch einige Umgebungsvariablen in der autoexec.bat/config.sys gesetzt werden: In der config.sys sollte sichergestellt sein, dass die Codepage 850 verwendet wird. Bei mir sieht die Zeile wie folgt aus: "Country=049,850,C:\WINDOWS\COMMAND\country.sys" Damit wird automatisch das Land auf Deutschland (049) festgelegt und die Codepage auf 850. In der Autoexec.bat muessen dann noch folgende Variablen gesetzt werden: SET PGPPATH=C:\PGP SET TZ=MET-1DST Die erste zeigt auf das Verzeichnis, in dem PGP zu finden ist. Die zweite setzt die Zeitzone auf Mitteleuropa und beruecksichtigt die Sommerzeit (das ganze ist nicht an die Winter-/Sommerzeitumstellung von Windows95 gekoppelt !). Damit ist PGP in der Lage, Schluessel und Signaturen mit einem exakten Zeitstempel zu versehen (natuerlich nur, wenn die Systemuhr auch richtig geht ;-))) Ausserdem sollte das PGP Verzeichnis noch in die Variable PATH aufgenommen werden. Die entsprechende Zeile dazu lautet: "SET PATH=C:\PGP;%PATH%" Das ganze jetzt noch abspeichern und dann erst mal neu booten. Das grundlegende PGP ist nun eingerichtet. Kommandozeilenfreaks koennen jetzt schon loslegen. Fuer alle anderen kommen jetzt die Front-Ends an die Reihe. Ich habe mich auf dem "Markt" mal umgeschaut und nach einigen Tests fuer "Aegis-Shell 3.0" entschieden. Als Frontend scheint mir das ganze am ausgereiftesten zu sein. Insbesondere die Installation und erste Erzeugung eigener Schluessel ist absolut problemlos. Allerdings will ich auch gleich auf den Umfang der Shell hinweisen (2,5 MB download). Sie ist wohl in erster Linie fuer Leute geeignet, die Wert auf eine einfache Installation legen und nicht Pegasus Mail nutzen bzw. auf die Einbindung von PGP in Pegasus verzichten koennen. Ausserdem gibt es diese Shell auch als 16-bit Version fuer Windows 3.x. Diese habe ich aber nicht getestet. Wer mag, kann diese Version und weitere Infos zu der Shell unter [2] finden. Um die Verschluesselung in Pegasus einzubinden bin ich auf Jens von Pilgrim's PGP Plug-In gestossen. Es ist meines Wissens das einzige, das gut eingebunden in Pegasus ist (nur durch einen weiteren Button in der Toolbar sichtbar) und einem das staendige Copy/Paste erspart. Die Installation und das Umschiffen einiger Probleme werde ich weiter unten beschreiben. JvPPGP bietet auch ein Front-End fuer Windows 95 an, kann also auch unabhaengig von Pegasus Mail genutzt werden. Je nach Geschmack mag hier jeder entscheiden, ob er die Aegis Shell oder JvPPGP bevorzugt. JvPPGP hat zwar kein Installationsprogramm und man muss sich erst ein wenig eindenken, andererseits ist die Einbindung in Pegasus hervorragend gelungen und man hat keine DOS-Boxen, die staendig auf- und zugehen. Ausserdem ist es mit ca 450 kB sehr viel kleiner als die Aegis-Shell mit 2.5 MB. Jetzt aber mal zur Einrichtung der Aegis Shell: Die Aegis-Shell ist ein vollwertiges 32-bit Programm und dementsprechend einfach zu installieren. Ein Doppelklick auf die Datei "Shell32.exe" und die Installation laeuft in gewohnter Windows95 Manier ab. Die Erstkonfiguration uebernimmt die Shell beim ersten Aufruf. Alles sollte automatisch erkannt werden, da die Shell die Umgebungsvariablen aus der autoexec.bat auswertet, die oben gesetzt worden waren. Deshalb wird das Programm gleich nach der Schluesselerzeugung fragen. Um diese zu erzeugen ruft die Shell (wie immer, wenn Sie etwas tun soll) das PGP Programm in einem DOS-Fenster auf. Dort fragt PGP zunaechst nach der Schluessellaenge es gibt drei Laengen, wobei von der Schluessellaenge die Sicherheit der spaeteren Verschluesselung abhaengt (je laenger, desto sicherer). Ich habe fuer erste Tests einen 512bit Schluessel generiert und damit erst mal mit Kollegen einige Tests zur Gewoehnung gemacht. Diesen kurzen Schluessel habe ich auch nicht via Key-Server verbreitet, er ist mittlerweile wieder vernichtet. Allgemein sollte man erst mal etwas mit PGP rumspielen, um es etwas zu verstehen, bevor man es im Regelbetrieb beim Mailen einsetzt. Allgemein gebraeuchlich scheint mir heutzutage eine Schluessellaenge von 1024bit zu sein. Aber auch laengere Schluessel sind kein Problem, nur wird die Rechenzeit natuerlich laenger, wenn mit einem langen Schluessel gearbeitet wird. Im Rahmen der Krypto-Kampagne der Zeitschrift c't [3] ist eine Mindestschluessellaenge von 1024 vorgeschrieben. Also die Schluessellaenge wurde nunmehr gewaehlt. Als naechstes will das Programm eine sogenannte ID. Dies sollte der eigene Name (Vorname Nachname) sowie der eigenen Email Adresse sein. Letztere sollte in eckige Klammern gesetzt werden ("") Nun will PGP noch eine "Pass Phrase" oder auch Mantra. Das ist eine Art Passwort nur darf dieses aus mehreren Woertern bestehen. Diese Pass Phrase sollte man sich gut merken (wie ueblich nicht aufschreiben). Nur damit ist der Zugang zu dem eigenen Secret Key moeglich. Um es auf den Punkt zu bringen: Pass Phrase weg -- Schluessel wertlos -- d.h. ankommende Mail kann nicht mehr entschluesselt werden, evtl. verschluesselt gespeicherte alte Mails koennen nicht mehr gelesen werden und unterschreiben kann man auch nix mehr. Also hilft nur: Pass Phrase gut merken !!!!! Um an Zufallszahlen zu kommen bittet PGP danach, verschiedene Tasten auf der Tastatur zu druecken (beliebige Tasten, bis PGP sagt "es reicht ......") Nun ist der Schluessel fertig und wird von der Aegis Shell automatisch eingebunden. Die Shell will noch die verwendete UserID wissen, aber die kann man ja schnell noch zeigen. Soweit sollte alles problemlos gelaufen sein. Was noch ganz praktisch ist, ist die Einstellung fuer das DOS-Fenster. Ich habe - als das DOS-Fenster offen war - im Menue Eigenschaften (ganz links oben in der Fensterecke) das Kaestchen "Beim Beenden schliessen" aktiviert", damit ich nicht immer das DOS-Fenster manuell schliessen muss. Bei manchen Operationen ist das aber auch wiederum gewuenscht. Man kann es ja ganz nach belieben einstellen. Damit ist Aegis soweit einsatzbereit. Zum Generieren von Schluesseln wird es in einigen Tagen eine weitere Mail ueber die EDV-INFO geben. Dort wird die Thematik ausfuehrlicher behandelt. Ein Tip noch, der mir einiges Kopfzerbrechen bei der ersten Nutzung gemacht hat. Wenn man eine Mail bekommt, die Klartext enthaelt, aber mit PGP signiert ist, so muss man dennoch die ganze Mail (incl. der Zeile - ----BEGIN PGP SIGNED MESSAGE-----) ins Decodierfenster kopieren und ganz normal dekodieren. Einfach so, als ob die ganze Mail komplett codiert ist. Ist eigentlich ganz logisch, aber ich habe da zu Anfang recht lange gesucht. Dies gilt uebrigens fuer alle PGP Varianten (PGP selbst unter DOS, JvPPGP und Aegis Shell) So und jetzt viel Spass beim Ausprobieren....... Einrichten von JvPPGP: Benoetigt wird das Archiv "jvppgp1.zip". Es enthaelt alle notwendigen Files und auch die PGP-DLL. Das Archiv in einem eigenen Verzeichnis auspacken. Die Datei "pgp263i.dll" kopiert man nun in das PGP-Verzeichnis. Es kann auch jedes andere Verzeichnis sein, das in der PATH-Variablen angegeben ist. Die Dateien: - - jvppgp.exe - - jvppgp.dll - - jvppgp.hlp - - jvppgp.cnt - - jvppgp.bmp - - jvppgpm.fff werden ins Pegasus-Mail Verzeichnis kopiert. Bei Verwendung des deutschen Sprachmoduls muss die Datei "jvppgpm.fff" in "jvppgpm.fde" umgenannt werden. Nun sind alle Dateien verteilt und die Installation eigentlich fertig. Beim naechsten Aufruf von Pegasus sollte ein weiterer Button in der Tool-Leiste zu finden sein. Damit kann das Plug-In aufgerufen werden. Einige Einstellungen in den Optionsmenues sollten noch gemacht werden (zu finden unter TOOLS/OPTIONS) (alle Angaben laut Installationsanleitung von Jens von Pilgrim) - ADVANCED SETTINGS: # of lines to probe for enclosures: 200 Allow 8-bit MIME message encoding (sonst gibt's beim Transport Armor von PGP Probleme!) ACHTUNG: zur Problematik mit den 8-bit Mime message encoding bitte weiter unten meinen Kommentar lesen. - MESSAGE EDITOR SETTINGS: default encryption method: jvppgp for Pegasus Pegasus sollte jetzt einmal beendet und erneut aufgerufen werden, damit die neuen Einstellungen wirksam werden. Das Plug-In kann nun jederzeit durch den Button aufgerufen werden. Dabei kann es aber u.U. eine kleine Einschraenkung geben: Unter aelteren Windows 95 Versionen stuerzt evtl. ab, sobald der Config-Button im Plug-In gedrueckt wird. Laut Auskunft von Jens ist das Problem in den Standart-Property-Dialogen von Windows 95 zu suchen. Wenn's Probleme geben sollte, kann man das Konfigurationsmenue eben nur ueber das Front-End nutzen. Aber so haeufig braucht man es ja auch nicht. (Details dazu siehe Hilfedatei von JVPPGP) Das Frontend befindet sich in der Datei "jvppgp.exe", womit es sich auch fuer Nicht-Pegasus User nutzen laesst. Die Datei sollte im Pegasus-Mail Verzeichnis zu finden sein, wenn alle Schritte bis jetzt nachvollzogen worden sind. Pegasus-Mail User brauchen das Frontend eigentlich nur, wenn sie - wie ich das Pech haben, eine aeltere Windows 95 Version zu haben. Der taegliche Gebrauch von PGP gestaltet sich mit JvPPGP recht einfach. Fall 1: Es kommt eine signierte oder verschluesselte Mail an. Sobald diese Mail aufgerufen wird, meldet sich das Plug-In. Das Passwort kann man frei lassen, wenn die Mail nur signiert ist, da PGP zum Verifizieren der Signatur kein Passwort benoetigt. Ist die Nachricht auch verschluesselt, so muss man seine Passphrase eingeben. Man gelangt nun zum Hauptschirm von JvPPGP. Sollte die Signatur OK sein, so wird das oben rechts erscheinen. Zusaetzlich kann man die Rueckmeldungen von PGP unten in einem Fenster sehen. Dort findet man insbesondere Warnungen, wenn der Schluessel nicht zertifiziert ist. Nach dem Druecken von OK wird die Mail ganz normal in Pegasus dargestellt. Bei nur signierten Mails wird in einem kleinen Fenster gezeigt, ob alles OK ist oder nicht. Fall 2: Man will selbst eine Mail signieren/verschluesseln. Dazu tippt man wie gewohnt seine Mail in Pegasus ein. Bevor man nun auf den "Send" Button drueckt, macht man ein Haekchen in der Kopfzeile bei "Encrypt". Pegasus fragt nach der "encryption method", die sollte nach den durchgefuehrten Aenderungen im Optionsmenue "jvppgp for Pegasus" lauten. Das Passwort muss noch eingegeben werden und man kann auswaehlen, ob die Mail verschluesselt und/oder signiert werden soll. Wird jetzt der "Send" Button gedrueckt, so erscheint das Hauptmenue von JvPPGP. JvPPGP waehlt standartmaessig den Schluessel, soweit es einen ordentlich benannten Schluessel (d.h. mit e-mail Adresse in der User-ID) im Keyring finden kann. Ansonsten waehlt man den Schluessel aus, der verwendet werden soll und drueckt "Call PGP". Nach dem Druecken von "OK" wird die Mail von Pegasus abgesendet (oder in die Sendeschleife uebernommen). Das war's. KOMMENTAR zur 8-bit MIME Einstellung im Pegasus-Options-Menue: Die Online Hilfe von Pegasus Mail warnt ausdruecklich und sehr deutlich vor dem Benutzen dieser Option. Nach meinen Erfahrungen auch durchaus zu Recht. Ich hatte mit diversen "normalen" Email Kontakten Probleme, als ich es einschaltete. Bei mir ist es ausgeschaltet und ich nehme die dadurch entstandenen Einschraenkungen hin. Wer es einschaltet, sollte wissen, was er tut. Pegasus schreibt in jede Mail in den Header folgenden Kommentar, wenn die 8bit Option eingeschaltet ist. "Content-Transfer-Encoding: 8BIT Comments: Sender has elected to use 8-bit data in this message. If problems arise, refer to postmaster at sender's site." Ich nutzt JvPPGP bei mir mit ausgeschalteter 8bit Option zum DEKODIEREN und VALIDIEREN von Emails. Zum ENCODIEREN meiner Mails gehe ich den etwas umstaendlicheren Weg ueber die Zwischenablage und das Front-End (oder wahlweise PGP unter DOS) (Schreiben der Mail in Pegasus, alles markieren, kopieren in die Zwischenablage, Verschluesseln im Front-End, wieder in die Zwischenablage kopieren und in Pegasus Mail einfuegen (den Originaltext der Mail muss man dann natuerlich loeschen, sonst bringt die Verschluesselung nix.)) Jens von Pilgrim ist diese Problematik bekannt. Er kann also sicherlich sehr gut auf Mails verzichten, die ihn bitten, dieses doch zu aendern. Soweit mein ganz persoenlicher Kommentar. Zum "Beschaffen" der in dieser Anleitung erwaehnten Files: Alle Dateien koennen von meiner PGP-Homepage heruntergeladen werden. (www.rzuser.uni-heidelberg.de/~k28/pgp.html). Das geht erstens recht fix, da ich das Glueck habe, sehr schnell ans Internet angebunden zu sein, und ausserdem freut es die Autoren der Programme, da deren Accounts dann etwas entlastet werden. Die Originalquellen sind wie folgt: Die Datei "pgp263i.zip" findet sich unter anderem bei http://www.ifi.uio.no/pgp/ Die Aegis-Shell kann unter [2] downgeloaded werden. Das Plug-In/Frontend von Jens findet man unter [4]. Anhang: [1] The comp.security.pgp FAQ" zu finden monatlich in allen Newgroups der Gruppe: comp.security.pgp, oder als Textversion im Stueck unter http://www.pgp.net/pgpnet/pgp-faq/pgpfaq.txt (117 kB) oder als Hypertext Version (fuer Off-Line Reading) unter http://www.pgp.net/pgpnet/pgp-faq/faq.html (auch 117 kB) oder in der deutschen uebersetzung unter : http://ourworld.compuserve.com/homepages/zerberus/pgp/index.htm (weitere Quellen finden sich in der FAQ). [2] Die Homepage der Aegis Shell, http://www.aegisrc.com/Products/Shell/index.html [3] c't Krpyto-Kampagne, http://www.heise.de/ct/pgpCA [4] Die Homepage von Jens von Pilgrim, http://www.gwdg.de/~jpilgri Weitere Links zu PGP-relevanten Seiten: (meistens in Englisch) - - http://www.pgp.net (Zugang zu den weltweit synchronisierten Keyservern und viele interessante Links) - - http://www.pgp.com (die Homepage von Phil Zimmermann und seiner neu gegruendeten Firma) - - http://www.pgpi.com (die Homepage von PGP in der internationalen Version) Ausserdem sind mir folgende interessante Artikel zum Thema PGP bekannt: - - Norbert Luckhardt, Geheimrezept, Schluesselfragen und -antworten zu PGP, c't 6/97, S 360 - - Norbert Luckhardt, Garantiert unleserlich, Pretty Good Privacy im Klartext, c't 7/97, S 288 - -------------------------------------------------------------------- Der Autor dieser Anleitung ist zu erreichen unter: Yorck Schneider-Kuehnle e-mail: Yorck.Schneider-Kuehnle@[...] Kritik und Aenderungsvorschlaege bitte per e-mail an mich. Dabei bitte "FB PGP-AL" als erste Buchstaben im Betreff (Subject) angeben und erst danach Euer Subject anhaengen. Ich kann dann danach automatisch sortieren lassen und den Ueberblick leichter behalten. Ich bitte aber auch um Verstaendniss, wenn ich nicht sofort auf alle Fragen und Anregungen reagieren kann, da ich nicht hauptberuflich "Anleitungsschreiber" bin. Ich werde jedoch alle mails beantworten. Yorck Schneider-Kuehnle P.S.: Wenn ein Leser sich auf Grund dieser Mail ein funktionierendes Verschluesselungssytem aufgebaut hat, so wuerde sich der Autor ueber eine kurze Mail freuen. Schluessel des Autors sind per E-Mail oder via finger zu erhalten. Yorck Schneider-Kuehnle, 1997, Mi. 03.09.1997 18:38, aktualisiert Di. 08.08.2017 11:11
|