Kleopatra sei Dank!

Kleopatra

Hurra, nach stundenlangem Dröseln und Rätseln habe ich mein APG-Problem gelöst und kann jetzt auch E-Mails auf meinem Android-Smartphone verschlüsseln. Es gab zwei Probleme:

Erstens: Wie einige kundige Leser schon vermuteten, ist das Format, das Enigmail (das OpenPGP-Add-on für Thunderbird) zum Export der Schlüssel benutzt, offenbar nicht kompatibel mit der Dateiverwaltung von Android, obwohl der Schlüssel korrekt im ASCII-Format erscheint. Da muss man erst mal drauf kommen. Also genau das, was hier in Klingonisch erwähnt wird:
APG cannot import keys in .asc files terminated with CR/LF (PC-style): it requires LF only (UNIX style). If your PC editor offers you a choice (e.g., TextPad does) save the file as UNIX text.

Ich habe es also mit Kleopatra versucht und damit die öffentlichen und meine geheimen Schlüssel exportiert und auf das Smartphone gebeamt.

Nun zu uns, Programmierer! Wir sind ja alle dankbar, dass ihr uns das Schöne, Gute und Wahre Open Source und gratis usw. zusammendröselt und zum Downlad anbietet. Ihr habt aber trotzdem einen Knall: Welche Pappnase denkt sich für jeden Softwareschnipsel einen anderen Namen aus? Kleopatra, “ist der bevorzugte Zertifikatsmanager in Gpg4win”. Geht’s noch? Sind wir hier im Gallischen Krieg oder beim großen Latinum? Und das nur, weil ihr Leute abschrecken wollt, das auch zu nutzen?

Was kriegt der Laie in den ersten fünf Minuten alles zu sehen: PGP, OpenPGP, GnuPG, Gpg4Win, GPG, OpenPGP & S/MIME, Algorithmenstärken, öffentliche und private Schlüssel, und jetzt auch noch Kleopatra – glaubt ihr denn, auch nur ein wohlwollender Nutzer und eine geneigte Nutzerin hat da noch Lust, überhaupt anzufangen? Und welche Knalltüte nennt die Schlüssel bei Kleopatra “Zertifikate”? Sogar ich musste erst überlegen und probieren, und ich verschlüssele meine E-Mails seit 1995.

Ich glaube, ich sollte mich mal selbst hinsetzen, der breiten Masse aufs Maul schauen und die Angelegenheit volkstümlich formulieren. So wird das nix.

Wie sagte Paulus über das erfolgreiche Missionieren ganz richtig: “Den Juden bin ich geworden wie ein Jude, auf daß ich die Juden gewinne. Denen, die unter dem Gesetz sind, bin ich geworden wie unter dem Gesetz, auf daß ich die, so unter dem Gesetz sind, gewinne. Denen, die ohne Gesetz sind, bin ich wie ohne Gesetz geworden , auf daß ich die, so ohne Gesetz sind, gewinne. Den Schwachen bin ich geworden wie ein Schwacher, auf daß ich die Schwachen gewinne. Ich bin jedermann allerlei geworden, auf daß ich allenthalben ja etliche selig mache. Den DAUS bin ich geworden ein Dau, auf daß sie ihre E-Mails verschlüsseln lernen und ich sie selig mache.”

APG

Zweitens: Auch der Dateimanager (ich nutze den OI File Manager) zickt herum.

Auf der linken Seite des oberen Screenshots sind die verschiedenen Dateien im Download-Verzeichnis zur Auswahl zu sehen. Wenn man eine ausgesucht hat und auf “pick file” drückt, erscheint eben dieselbe, was auf der rechten Seite deutlich wird – hier will ich eine .asc-Datei (so hat Kleopatra meinen öffentlichen Schlüssel genannt) importieren. Niemand sagte mir aber, dass man per Hand (!) zunächst den vorderen Teil des Pfades (alles, was rot markiert ist), eliminieren muss, ansonsten kommt wieder die Meldung “file not found”.

Ich hatte nur so eine vage Ahnung, nachdem ich praktisch alle Forenbeiträge zum Thema der letzten drei Jahre gelesen habe. Das sind gar nicht so viele, und alle natürlich in Englisch. Ich habe einfach herumprobiert. Das kann man niemandem, der das lernen will, zumuten.

APG

Der Verschlüsseln ist auch nicht einfach, und APG stürzt manchmal ab, warum, werde ich herausfinden. Aber immerhin habe ich alle öffentlichen Schlüssel importiert und es geschafft, mir selbst eine verschlüsselte E-Mail zu schicken, die ich mit einem meiner Rechner dann lesen konnte (MessageID email.android.com, oben rechts rot markiert)

Die nächste Aufgabe ist herauszufinden, wo APG die Schlüssel speichert. Ich habe mir für den Fall der Fälle, dass ich sie verstecken will, EDS installiert.

image_pdfimage_print

Kommentare

17 Kommentare zu “Kleopatra sei Dank!”

  1. rené am Juni 21st, 2013 10:07 pm

    “Ich glaube, ich sollte mich mal selbst hinsetzen, der breiten Masse aufs Maul schauen und die Angelegenheit volkstümlich formulieren. So wird das nix.”

    oh ja. bitte!

  2. blowfish am Juni 21st, 2013 10:47 pm

    Also nochmal: nicht Enigmail exportiert im falschen Format, sondern AGP ist zu doof dazu. Jedes OpenPGP-kompatible Programm der Welt kann exportierte Schlüssel im ASCII-Format, ob nun mit Dos- oder Unix-Zeilendende, importieren, nur diesem (imho) nicht fertig programmierten AGP gelingt das nicht.
    Was den Wildwuchs bei OpenPGP-Oberflächen betrifft, hast du recht, das Zeug braucht kein Mensch – im Zweifelsfalle hat Enigmail alles, was man braucht, und für Experten gibt es die Kommandozeile. GPG4Win ist ein überladenes Sammelsurium von allem möglichen, wahrscheinlich deshalb “empfohlen vom BSI”.
    Dateimanager unter Android scheinen auch etwas sehr merkwürdiges zu sein, kein weiterer Kommentar ;-)

  3. Shogun am Juni 21st, 2013 11:33 pm

    Wer installiert schon staatlich finanziert Cryptosoftware, um seine Kommunikation zu sichern? Zum Glück gibt es ftp://ftp.gnupg.org/gcrypt/binary/

    Die kleine Schwäche von APG (CR/LF) kann man leicht mit einem Texteditor, der seinen Namen auch verdient, umgehen.

  4. admin am Juni 22nd, 2013 8:15 am

    shogun: Und das willst du Leuten zumuten, die zum ersten Mal verschlüsseln wollen? Das schreckt doch eher ab.

    GPG4Win ist deshalb gut, weil es die Hemmschwelle senkt, ds überhaupt zu versuchen. Ich kann mich noch an die Zeit erinnern, als man unter Windows 3.11 drei verschiedenen Programme bekam, den PGP-Tray, das Programm selbst und noch irgendwas… Es muss EINFACH sein.

    Ich hab damals noch die Kommandozeile unter DOS benutzt, also ich erschrecke jetzt vor nichts mehr :)

    Also Enigmail allein nützt gar nichts, man muss GnuPG auch installiert haben.

  5. blowfish am Juni 22nd, 2013 9:07 am

    Natürlich braucht man Gnupg – aber unter “ordentlichen” Betriebssystemen ist das vorinstalliert, und man kann nach Installation von Thunderbird/Enigmail sofort loslegen und hat alles, was man braucht. OpenSource unter Windows ist eh nicht halbes und nicht ganzes.
    GPG4win kann man benutzen, es hat auch eine ganz gute Dokumentation, aber man sollte nur das allernötigste installieren und alles andere weglassen.
    Der Hinweis auf ftp://ftp.gnupg.org/gcrypt/binary/ ist trotzdem richtig, dort gibt es die benötigte gpg.exe, mehr braucht man, wie gesagt, nicht. Früher gab es die Binaries für Windows direkt bei gnupg.org, jetzt wird dort auch gpg4win angepriesen.

  6. simple user am Juni 22nd, 2013 9:18 am

    Eine Anleitung für Doofe wie mich? Ja, unbedingt. Bitte, so schnell wie’s geht. Ich bin es langsam leid, dass echter Datenschutz nur für eine Wissenselite zu haben ist.

  7. admin am Juni 22nd, 2013 9:33 am

    Anleitung für was? E-Mail-veschlüsselung? Dafür gbt es schon einige, aber es wäre für mich gut zu wissen, was daran schlecht oder unverständlich ist, damit ich es besser machen kann.

  8. Dominic am Juni 22nd, 2013 10:21 am

    Die geheimen Schlüssel aufs Smartphone gebeamt… Das klingt ein bisschen wie das informationstechnische Pendant zum Zweitschlüssel unter dem Fussabtreter. ;-)

    Gibts da keine andere Lösung für?

  9. admin am Juni 22nd, 2013 10:27 am

    Willst du mein USB-Kabel hacken? Die werden übrigens wieder gelöscht nach dem Einbinden.

  10. Dominic am Juni 22nd, 2013 10:39 am

    Ok, wenn sie wieder gelöscht werden, klingt das schon anders. Nach alle den Meldungen über Smartphones und den Umgang mit persönlichen Daten dort drauf (sei es von seiten fragwürdiger Apps oder Strafverfolgern oder den grossen Datenkraken – egal) habe ich null Vertrauen in diese Technik mehr.

  11. admin am Juni 22nd, 2013 10:44 am

    Die Frage ist schon korrekt: Wo speichert ADS die Schlüssel nach dem einbinden? Um vertrauliche Daten zu verwalten gibt es die APP EDS, vergleichbar mit Truecrypt
    http://cloudlog.de/eds-und-disk-decipher-truecrypt-container-unter-android-und-ios-nutzen/

  12. Shogun am Juni 22nd, 2013 2:54 pm

    Soweit ich das aus https://github.com/thialfihar/apg/blob/master/src/org/thialfihar/android/apg/provider/Database.java lesen kann speichert APG die Schlüssel in einer SQLite-Datenbank mit dem Namen “apg”. Lt. Android-Doku ist diese im Anwendungskontext hinterlegt und für andere Anwendungen (hoffentlich) nicht zugänglich. Leider kenne ich mit dem Securitymodell von Android (noch) nicht besser aus.

    Es scheint auch so, dass APG seit 2010 nicht mehr weiterentwickelt wird. Der Entwickler reagiert offenbar auch nicht mehr auf Anfragen. Ein lt. Changelog vielversprechender, aber noch exprimenteller Fork von APG ist unter https://github.com/mdietz/openpgp-keychain am Start.

    Und kurz nochmal zum Einsatz von GPG unter Windows: mehr als die Installation von GnuPG 1.4 (keine zusätzlichen Angaben notwendig, von jedem durch Klick auf “Weiter” machbar; stört auch nicht durch irgendwelche Trayicons, da nicht erforderlich) und die Installation von Enigmail ist nicht notwendig. Enigmail startet nach einer frischen Installation sogar einen Assistenten, der die einmalige Einrichtung nochmals erleichtert. Diese drei Schritte bekommt IMHO auch der nicht IT-affine Benutzer hin.

  13. simple user am Juni 23rd, 2013 11:47 am

    @admin am Juni 22nd, 2013 9:33 am

    Also, es müsste sowohl um E-Mail, als auch um Festplatten-/Dateien-Verschlüsselung gehen. Ich kann da natürlich nur für mich sprechen, aber ich denke, dass das erste Problem, mit dem man konfrontiert ist, die Auswahl der Kryptosoftware betrifft, denn es gibt massenhaft Kryptofreeware und woher soll man wissen, welche vertrauenswürdig ist? Und ist GNUPGP eigentlich sicher, oder hat sich die NSA/”werauchimmer” da schon reingehackt? Wird das regelmässig überprüft?

    Das nächste Problem kann ich auch nur ganz allgemein schildern: Reicht es, eine solche Software zu installieren und alles wird gut? Worüber muss man sich danach Gedanken machen?

    Was ist z.B. eine gute Sicherungsstrategie für die Schlüssel-Files? Und wo finde ich diese Files, wenn ich sie z.B. auf einen Stick laden will oder weil ich sowohl einen Mac als auch einen Windows-Rechner habe und sie exportieren will?

    Gibt es Dinge in den Betriebssystemen / Mailprogrammen, die ich zusätzlich fixen muss, um zu verhindern, dass die Verschlüsselung unterlaufen werden kann? Und wenn ja, wie mache ich das in den einzelnen Systemen?

    Das sind die Sachen, die mi gerade so einfallen. Blöderweise gibt es wahrscheinlich wichtige Punkte, die mir gar nicht einfallen, weil ich gar nicht weiss, dass sie sichtig sind ;-)

  14. Was sagt die Bibel zur Email-Verschlüsselung, Prism und Tempora? | Θ TheoNet.de am Juni 30th, 2013 11:37 pm

    […] Paulus (1.Korinther 9,20ff) ist wieder aktuell, so zitiert  Burkhard Schröder in seinem Blog den Apostel wie […]

  15. Haxe am September 26th, 2013 1:23 am

    Zu deiner Kritik an der Bezeichnung “Zertifikat”:

    Der Begriff “Zertifikat” für einen Schlüssel ist typisch in der X.509-Welt und wäre daher bei einer Verschlüsselung per S/MIME eine angemessene Bezeichnung. In der PGP-Welt sollte man einen Schlüssel aber als Schlüssel bezeichnen, sonst stiftet man nur Verwirrung.

    “Schlüssel” ist auch im allgemeinen der richtigere Begriff. Ein “Zertifikat” ist bei X.509 der Name für ein Informationsbündel, das mehrere Dinge auf einmal enthält, nämlich neben dem eigentlichen Schlüssel auch noch (unter anderem) eine Signatur des Schlüssels durch eine Zertifizierungsstelle (daher kommt der Begriff). Die Vorstellung, dass das 1:1 zusammengehört, ist bei dem für hierarchische Vertrauensstrukturen angelegten X.509 fest verankert, und so ist der Begriff dort dann auch tatsächlich einigermaßen passend. Ich bin allerdings auch immer genervt, wenn jemand, der durch X.509 bzw. S/MIME voreingenommen ist, diese Vokabel für einen allgemeingültigen Crypto-Begriff hält.

  16. Debug Modus : Burks' Blog am Dezember 20th, 2014 1:50 pm

    […] erinnern sich die wohlwollenden Leserinnen und geneigten Leser daran, dass ich tagelang herumfummeln musste, um mit Android E-Mails verschlüsseln zu können. Das Problem ist nicht wirklich gelöst, was […]

  17. Spätere Fehler und frühere Fehler oder: E-Mails verschlüsseln unter Linux (Focal Fossa) : Burks' Blog – in dubio pro contra am Oktober 22nd, 2020 2:25 pm

    […] scdaemon musste ich von Hand nachinstallieren, nachdem ich mir die gewohnte Benutzeroberfläche Kleopatra geholt hatte. Auch das Programm ist nicht automatisch in Focal Fossa enthalten. (Dann gibt es noch […]

Schreibe einen Kommentar