ubuntuusers.de

Hinweis: Dies ist ein statischer Snapshot unseres Wikis vom 25. März 2013 und kann daher nicht bearbeitet werden. Der aktuelle Artikel ist unter wiki.ubuntuusers.de zu finden.

Seahorse

Dieser Artikel wurde für die folgenden Ubuntu-Versionen getestet:

Zum Verständnis dieses Artikels sind folgende Seiten hilfreich:

./seahorse.png

Seahorse {en} ist ein grafisches Frontend für das Verschlüsselungsprogramm GnuPG, mit dem sich der GnuPG-Schlüsselbund verwalten sowie eigene GnuPG-Schlüssel erstellen lassen. Seahorse ist das Standardprogramm zur Schlüsselverwaltung unter Ubuntu (GNOME) und löst den GNOME Schlüsselbund ab.

Für KDE-Benutzer gibt es mit KGpg ein vergleichbares Programm. Nähere Informationen zu GnuPG bzw. den Verschlüsselungstechniken, die dahinter stecken, erhält man in den Artikeln zu GnuPG und dessen technischen Hintergrund [1].

Installation

Seahorse kann über das folgende Paket installiert werden [2]:

  • seahorse

Wiki/Vorlagen/Installbutton/button.png mit apturl

Paketliste zum Kopieren:

sudo apt-get install seahorse 

sudo aptitude install seahorse 

Für die Nautilus-Integration, siehe unten wird noch benötigt

  • seahorse-plugins (universe, für Lucid 10.04)

Wiki/Vorlagen/Installbutton/button.png mit apturl

Paketliste zum Kopieren:

sudo apt-get install seahorse-plugins 

sudo aptitude install seahorse-plugins 

  • seahorse-nautilus (universe, ab Precise 12.04)

Wiki/Vorlagen/Installbutton/button.png mit apturl

Paketliste zum Kopieren:

sudo apt-get install seahorse-nautilus 

sudo aptitude install seahorse-nautilus 

Seahorse kann über den Menüeintrag

  • "Anwendungen -> Zubehör -> Passwörter und Verschlüsselung"

  • "System -> Einstellungen -> Passwörter und Verschlüsselung" ab Ubuntu 10.10

oder durch Aufruf des Befehls

seahorse 

gestartet werden [3].

Benutzung

Hauptfenster

Mit fortschreiten der Entwicklung des GNOME 3 Desktops, änderte sich auch die grafische Oberfläche von Seahorse. Nachfolgend ist die Vorgänger- sowie die aktuelle Version von Seahorse zu sehen.

seahorse-hauptfenster.png
Seahorse 2.30 Hauptfenster

seahorse-hauptfenster-neu.png
Seahorse 3.6 Hauptfenster

seahorse-hauptfenster-ansicht.png
Seahorse 3.6 Eigene Schlüssel

seahorse-hauptfenster-Schlüsselbund.png
Seahorse 3.6 Schlüsselbund

An der Grundfunktionen die beschrieben werden, sind die Unterschiede unverändert. Ist das Hauptfenster von Seahorse geöffnet, können bei der alten Version über die vorhandenen Reiter der Werkzeugleiste die entsprechenden Werkzeuge gewählt werden. Bei der aktuellen Version von Seahorse, können die entsprechenden Werkzeuge über "Ansicht" durch aktivieren eingeblendet werden.

  • "Eigene Schlüssel": beinhaltet die eigenen Schlüssel, sowohl SSH als auch GnuPG.

  • "Vertrauenswürdige Schlüssel": beinhaltet jene Schlüssel von deren Authentizität der Anwender überzeugt ist. Entweder weil das selbst überprüft oder über das "Web of Trust" kontrolliert wurde. Weitere Informationen zum Web of Trust bietet der Artikel GnuPG Web of Trust, insbesondere im Abschnitt Vertrauensstufen.

  • "Gesammelte Schlüssel": beinhaltet alle anderen GnuPG-Schlüssel die bspw. über das Internet gesammelt wurden und deren Authentizität gesichert ist.

  • "Passwörter": beinhaltet die Passwörter des GNOME-Schlüsselbundes. Die Möglichkeiten sind fast identisch mit denen des Programms gnome-keyring-manager, weswegen an dieser Stelle nur auf die Wiki-Seite GNOME Schlüsselbund verwiesen wird.

  • "Schlüsselbund": beinhaltet eine Übersicht über alle arten von angelegten Schlüsseln, Passwörter, Zertifikate und Secure Shell für OpenSSH-Schlüssel.

Werkzeuge

./seahorse-sign-key.png

In der Werkzeugauswahl finden sich folgende Funktionen und Filter mit deren Hilfe sich in Schlüssellisten der Überblick behalten lässt.

  • "Eigenschaften": dieser Reiter erlaubt das öffnen des ausgewählten Schlüssels (s.u.) um Informationen einsehen zu können.

  • "Exportieren": dieser Reiter erlaubt den Export eines Schlüssel in eine Datei um diesen bspw. verteilen zu können. Es öffnet sich ein Standard-Dateidialog, wo die gewünschte Datei auswählt und exportiert wird. Es wird in jedem Fall nur der öffentliche Teil exportiert, selbst wenn der geheime Teil vorhanden ist.

./seahorse-suche.png

  • "Signieren": dieser Reiter erlaubt das Signieren eines Schlüssels mit einer eigenen Signatur um diesen Glaubwürdigkeit zu verleihen. (Siehe Web_of_Trust.) Es lässt sich wählen wie genau die Identität des Besitzers geprüft wurde. Im Allgemeinen sollten aber nur solche Schlüssel signiert werden, bei denen "sehr sorgfältig" geprüft wurde. Die beiden weiteren Optionen am unteren Rand, können bei den Voreinstellungen belassen werden.

  • "Suche": dieser Reiter erlaubt das Suchen über Name und Mailadresse nach Schlüsseln in öffentlichen Key-Servern. Ist der gewünschte Schlüssel gefunden, kann dieser durch Betätigen des +-Buttons in den Schlüsselbund importiert werden.

Alle Funktionen der Werkzeuge lassen sich auch über das Menü erreichen. Hier die wichtigsten: ./seahorse-key-auswahlmenüs.png

Schlüsselpaar erzeugen

./seahorse-new-pgp-key.png Um ein neues Schlüsselpaar zu erzeugen, wählt man die Menüoption "Schlüssel -> Neuen Schlüssel erzeugen..." oder betätigt die Tasten Strg + N . Anschließend wählt man aus, dass man einen "PGP-Schlüssel" erzeugen will.

Es öffnet sich ein Dialog, in dem folgende Daten abgefragt werden:

  • Vollständiger Name

  • E-Mail-Adresse

  • Kommentar (optional, z.B. Verwendungszweck)

Hinweis:

Seahorse nimmt die Bezeichnung "Vollständiger Name" sehr ernst, und verlangt deswegen mindestens ein Leerzeichen im Namen (zwischen Vor- und Nachname). Erst wenn der Name mindestens aus zwei Teilen besteht, wird der "Erstellen"-Knopf freigegeben.

Unter "Erweitere Schlüssel-Optionen" können noch Angaben zu der Gültigkeitsdauer, Stärke des Schlüssels und dem Schlüsseltyp gemacht werden, wenn die Voreinstellungen nicht genehm sind.

Als nächstes folgt die Eingabe des Passwortes. Es ist sinnvoll, ein sehr starkes Passwort zu wählen (mindestens 8 Zeichen. Keine "echten" Wörter, sondern Buchstaben, Ziffern und Sonderzeichen gemischt.) Die Erzeugung des Schlüssels dauert einen kleinen Moment.

Schlüssel exportieren

Damit Kommunikationspartner ihre E-Mails verschlüsseln und mit dem geheimen Schlüssel erstellte Signaturen überprüfen können, brauchen sie jeweils den öffentlichen Schlüssel des Partners. In Seahorse kann man den öffentlichen Schlüssel ganz leicht exportieren. Man linke Maustaste-klickt den gewünschten Schlüssel mit der linken Maustaste an und wählt "Öffentlichen Schlüssel exportieren ...". Die erzeugte Datei kann man per E-Mail oder mit einem USB-Stick dem Kommunikationspartner übergeben.

Schlüssel importieren

Bekommt man nun einen öffentlichen Schlüssel von einem Bekannten als Datei (meist als asc-Datei), so kann man diesen ebenfalls via Seahorse importieren. Über die Menüoption "Schlüssel -> Importieren ..." oder Strg + I kann man die Schlüsseldatei auswählen.

Schlüssel-Eigenschaften

Das Eigenschaften-Fenster eines Schlüssels sieht etwas anders aus, je nachdem, um welche Art Schlüssel es sich handelt. Für GPG-Schlüssel gibt es drei Reiter: ./seahorse-schluesseleigenschaften.png

Eigentümer

Der erste Reiter - "Eigentümer" - ist aber in beiden Fällen fast identisch. Es werden Name und Email-Adresse des Eigentümers, Schlüsselkennung, ein paar andere Daten, sowie u.U. ein in den Schlüssel integriertes Foto angezeigt.

Namen und Signaturen

Dieser Reiter existiert nur in den Eigenschaften von eigenen Schlüsseln, bei denen man auch im Besitz des geheimen Schlüsselteils ist. Man kann hier u.a. neue Identitäten zum Schlüssel hinzufügen und festlegen, welche Identität die "primäre" ist. (Das hat nur Auswirkungen auf die Anzeige des Schlüssels in Listen, nicht auf die Funktion.)

Man kann den Schlüssel auch signieren, wenn man z.B. mehrere Schlüssel besitzt und diese untereinander signieren möchte.

Vertrauen

Dieser Reiter wird nur bei fremden Schlüsseln angezeigt. Hier kann man bestätigen, dass man sich von der Identität des Schlüsselbesitzers überzeugt hat. Wenn man dies bejaht hat, kann man den Schlüssel mit seinem eigenen signieren und so auch gegenüber anderen Leuten die Identität des Besitzers bestätigen. (Siehe GnuPG/Web of Trust.)

Man kann hier auch festlegen, dass man dem Besitzer auch bei der Signierung anderer Schlüssel vertraut, so dass das Vertrauen weitervererbt werden kann. (Das entspricht der Vertrauensstufe "vollständig" aus dem folgenden Reiter, und sollte deswegen nur in Ausnahmefällen verwendet werden.)

Außerdem werden in diesem Reiter auch die Signaturen angezeigt, die sich auf dem Schlüssel befinden.

Hinweis:

Etwas gewöhnungsbedürftig ist es, dass Seahorse, während man es benutzt, die Schlüssel von Leuten importiert, die die vorhandenen Schlüssel signiert haben. Die Liste der Schlüssel kann also ziemlich schnell recht lang werden, wenn man z.B. ein paar Schlüssel bekannter Open-Source-Gurus mit vielen Signaturen im Schlüsselbund hat.

Diese Aktivitäten führen dann anscheinend öfter dazu, dass der "Eigenschaften -> Vertrauen"-Dialog einfriert und sich kurz darauf selbständig schließt. Das ist sehr ärgerlich, aber auf die Funktion des Rests von Seahorse hat das keine Auswirkung.

Ein Sicherheitsrisiko stellt das unkontrollierte Importieren fremder Schlüssel auch nicht dar, da diesen Schlüsseln kein automatisches Vertrauen entgegengebracht wird.

Details

./seahorse-schlüsseleigenschaften-details.png Hier gibt es wieder ein paar Informationen zum Schlüssel zu betrachten, die sich teilweise mit denen aus dem ersten Reiter "Eigentümer" überschneiden. Ändern kann man hier bei Schlüsseln anderer Leute nur die Vertrauensstufe (siehe Vertrauensstufen im Web of Trust).

In Bezug auf eigene Schlüssel gibt es da ein paar mehr Einstellungsmöglichkeiten. So kann man hier die Lebensdauer des Schlüssels ändern oder den gesamten Schlüssel inkl. geheimem Teil exportieren. (Nur für Backup-Zwecke! Zur Weitergabe an Kommunikationspartner sollte man die Export-Funktion aus der Werkzeugleiste des Seahorse-Fensters benutzen, die nur den öffentlichen Teil exportiert.)

Im unteren Bereich des Fensters kann man die Unterschlüssel managen und z.B. unterschiedliche Verfallsdaten für den Signier- (DSA-) und den Verschlüsselungs- (ElGamal-)Schlüssel einstellen. Auch das Widerrufen von kompromittierten Schlüsseln soll hier möglich sein, funktioniert aber zumindest unter Feisty nicht erwartungsgemäß.

Hinweis:

Es ist ratsam, gleich bei der Schlüsselerzeugung ein entsprechendes Widerrufszertifikat zu erstellen und sicher zu verwahren. Nach einem Verlust des geheimen Schlüssels ist ein nachträgliches Erstellen des Widerrufs nämlich nicht mehr möglich. Das Erstellen dieses Zertifikats ist innerhalb von Seahorse aber anscheinend leider nicht möglich, so dass man auf das GnuPG-Kommandozeilenprogramm zurückgreifen muss.

Desktop-Integration

Hinweis:

Bei einigen Funktionen der Anwendungen kann es zu Abweichungen kommen, sowohl technisch als auch optisch, was der der Entwicklung der Desktops sowie der Anwendungen selbst geschuldet ist. Dies bedeutet das folgenden Beschreibungen einige Zusatzinformationen beigefügt wurden die auf diesen Zustand aufmerksam machen.

Seahorse ist nicht nur ein alleinstehendes Programm zur Schlüsselverwaltung, sondern bietet auch anderen GNOME-Anwendungen Verschlüsselungsdienste an. Unter anderem werden diese bereits vom Dateimanager Nautilus und vom Texteditor gedit genutzt. Außerdem gibt es auch ein Applet für das GNOME Panel, was aber nur auf alte Ausgabe des GNOME Desktops beschränkt ist. Aktuelle grafische Oberflächen wie GNOME 3 und Unity unterstützen dies nicht.

Die Passphrase des Schlüssels wird dabei bei Bedarf mit Hilfe eines Dialogfensters abgefragt.

Nautilus

./seahorse-nautilus-verschluesseln.png Um die Seahorse-Funktionen in Nautilus zu nutzen, braucht man nichts extra zu konfigurieren. Es genügt, Nautilus nach der Installation von Seahorse neu zu starten, danach stehen die entsprechenden Möglichkeiten zur Verfügung.

Man findet im Kontextmenü, das man per Rechtsklick auf eine beliebige Datei erreicht, die zusätzlichen Einträge "Verschlüsseln..." und "Signieren".

Verschlüsseln

Möchte man eine Datei verschlüsseln, so öffnet sich ein Dialog mit allen öffentlichen Schlüsseln, die man im Schlüsselbund hat. Hier kann man beliebig viele auswählen, mit denen die Datei verschlüsselt werden soll. Alle Besitzer dieser Schlüssel können die Datei später mit ihrem privaten Schlüssel lesen. Technisch wird dies erreicht, indem die Datei mit jedem Schlüssel einzeln bearbeitet werden und dann die Ergebnisse aneinander gehängt werden. Die entstehende Datei mit der Endung .pgp ist also umso größer, je mehr Empfänger man gewählt hat.

Nebenbei kann man die Datei auch noch digital signieren, damit der Empfänger die Herkunft verifizieren kann.

Möchte man die Datei nur zur eigenen Verwendung verschlüsseln, muss man natürlich seinen eigenen Public-Key auswählen. Außerdem empfiehlt sich in diesem Fall, das Original zu löschen oder besser ganz zu vernichten.

Hinweis:

Leider benutzt Nautilus nicht das sogenannte "ASCII-Armor-Format" mit der Endung .asc zur Verschlüsselung, sondern das binäre PGP-Format. Ein späteres Copy-and-Paste der verschlüsselten Datei in eine andere Applikation ist also nicht möglich.

Signieren

Noch einfacher ist das Signieren einer Datei. Nach der Auswahl von "Signieren" aus dem Kontextmenü einer Datei muss man nur einen der eigenen geheimen Schlüssel auswählen, und es wird eine Signaturdatei mit der Endung .sig erzeugt. Diese kann man dann mit der Originaldatei verbreiten, so dass jeder die Echtheit der Datei überprüfen kann.

Entschlüsseln

Eine verschlüsselte Datei mit der Endung .pgp (oder auch .asc) kann man einfach entschlüsseln, indem man im Kontextmenü "Mit »Datei entschlüsseln« öffnen" anklickt. Es erscheint ein Dateidialog, wo man den Namen der entschlüsselten Datei wählen kann. Wenn die verschlüsselte Datei gleichzeitig auch signiert ist, wird die Signatur gleich automatisch mit geprüft (s.u.).

Signatur prüfen

Über "Mit »Signatur-Datei überprüfen« öffnen" aus dem Kontextmenü einer .sig-Datei kann man prüfen, ob die zugehörige Datei (ohne die .sig-Endung) tatsächlich vom angeblichen Absender stammt und nicht zwischendurch verändert wurde. Das Ergebnis der Prüfung erscheint in einem kleinen Meldefenster am rechten unteren Bildschirmrand.

gedit

./seahorse-gedit.png Um die Verschlüsselungsfunktionen von Seahorse in gedit nutzen zu können, muss erst einmal das entsprechende Plugin aktiviert werden. Dies funktioniert über "Bearbeiten -> Einstellungen -> Plugins -> Text-Verschlüsselung". Dieses Plugin samt Funktion, ist nur bis einschließlich Ubuntu 11.04 verfügbar.

Verschlüsseln/Signieren

Wie der Name des Plugins schon andeutet, kann man damit Text verschlüsseln (bzw. signieren), und zwar direkt im Textfenster des Editors, wobei praktischerweise das ASCII-Armor-Format Verwendung findet. Hat man vorher mit der Maus einen Textabschnitt markiert, so wird durch Auswahl des entsprechenden Menüpunkts aus dem "Bearbeiten"-Menü nur dieser Abschnitt verschlüsselt/signiert, ansonsten der gesamte Text. Die Auswahl des Schlüssels ist identisch mit der in Nautilus.

Entschlüsseln/Signatur prüfen

Durch Auswahl von "Bearbeiten -> Entschlüsseln/Überprüfen" werden alle PGP-Blöcke im Text entschlüsselt und alle Signaturen überprüft. Das Ergebnis der Signaturprüfung wird wie bei Nautilus in einem Nachrichtenfenster angezeigt.

Passwörter speichern

Um der besseren Übersicht willen empfiehlt es sich, für die eigenen Passwörter ein separaten Schlüsselbund anzulegen. Hierzu geht man auch "Datei -> Neu" und wählt "Password Schlüsselbund " aus und vergibt einen Namen, der keine Umlaute enthalten darf (!). Anschließend kann man über denselben Menüpunkt "gespeichertes Passwort" anklicken, den gewünschten Schlüsselbund auswählen und ggf Benutzername und Passwort speichern, damit man es sich nicht merken muss, sondern bei Bedarf hier wiederfindet.

Applet

Seahorse bietet ebenfalls ein Applet an, dass sich im GNOME-Panel einnistet. Hierfür mit einem Rechtsklick auf das Panel und "Zum Panel hinzufügen" das Applet "Sonstiges -> Verschlüsselung des Textes in der Zwischenablage" auswählen. Die Zwischenablage ist das, wo mit der linken Maustaste markierte Texte landen, die man dann mit der mittleren Taste woanders einfügen kann. Mit Hilfe des Seahorse-Applets kann man diese Zwischenablage zwischen dem Ausschneiden und Einfügen ändern, also z.B. eine Klartext-Zwischenablage verschlüsseln. Das zufügen des Applets, sowie die Zusammenarbeit (Verschlüsseln des Textes) mit der Zwischenablage ist jedoch nur auf GNOME 2 Version beschränkt und funktioniert in Unity und GNOME 3 nicht.

Einstellungen

./seahorse-gnome-applet-settings.png Die Voreinstellungen sind etwas ungünstig gewählt, also sollte man sie durch Rechtsklick auf das Seahorse-Applet und Auswahl von "Voreinstellungen" ändern. "Zeige Status der Zwischenablage im Panel" ist z.B. ziemlich sinnvoll. Dadurch erkennt man am Applet, ob sich in der Zwischenablage Klartext (Text-Icon), Chiffre (Vorhängeschloss) oder eine Signatur (rotes Siegel) befindet. (Wobei das Applet diese Unterscheidung danach trifft, ob der Text mit einer bekannten Zeichenkette á la "-----BEGIN PGP MESSAGE-----" beginnt.)

"Inhalte der Zwischenablage anzeigen nach: Entschlüsseln oder Überprüfen" ist auch sinnvoll. Schließlich ist das der Sinn der Sache, wenn man etwas entschlüsseln will, und so braucht man nicht jedesmal erst ein offenes Editor-Fenster zu suchen, in welches man den Text mal eben reinkopieren kann. Es öffnet sich dann automatisch ein eigenes Fenster, das den entschlüsselten Text anzeigt.

Das voreingestellte "Inhalte der Zwischenablage anzeigen nach: Verschlüsseln oder Signieren" kann man dagegen getrost deaktivieren. Es handelt sich sowieso nur um Buchstabensalat, und für Copy-and-Paste braucht man das auch nicht, da sich ja der verschlüsselte Text dann bereits in der Zwischenablage befindet.

Benutzung

Benutzt wird das Applet mit der linken Maustaste. Je nachdem, welche Art von Inhalt sich in der Zwischenablage befindet, kann man sie entweder verschlüsseln, signieren, oder entschlüsseln/überprüfen, was genauso funktioniert wie oben im Abschnitt Nautilus beschrieben. Der umgewandelte Text ersetzt die Zwischenablage und kann sofort in jede beliebige Applikation eingefügt werden.

Der Seahorse-Agent

Wenn man sich nach der Installation von Seahorse das nächste Mal am Gnome-Desktop anmeldet, wird automatisch der Seahorse-Agent aktiv und macht sich als gelbes Vorhängeschloss im Benachrichtigungsfeld des Panels bemerkbar, sobald er mindestens einen Schlüssel aufgenommen hat. Der Seahorse-Agent speichert Passphrasen von Schlüsseln nach der Verwendung für eine bestimmte Zeit in einem Cache, so dass man die Passphrase nicht ständig einzugeben braucht.

Mit einem Linksklick auf das Icon öffnet man ein Fenster, in dem alle z.Zt. aktiven Schlüssel aufgelistet werden. Was die SSH-Schlüssel angeht, kommuniziert der Seahorse-Agent zu diesem Zweck mit dem SSH-Agenten. Leider kann man keinen Schlüssel einzeln aus dem Cache entfernen, sondern nur alle zusammen.

Mit einem Rechtsklick gelangt man in ein kleines Menü, aus dem heraus man ebenfalls das Fenster öffnen oder den Cache löschen kann. Über den Eintrag "Cache Preferences" gelangt man direkt in den Reiter "Passwort-Zwischenspeicher" der Seahorse-Einstellungen.

ubuntuusers.local › WikiSeahorse