[erledigt] GPG-Passwort über Zwischenablage für Kmail

wilux · 31 Mai 2010

Moin ihrs!

Zum Unterschreiben und mehr meiner Mails mit Kmail möchte ich ein möglichst langes Passwort für meinen Schlüssel benutzen. Das Passwort soll in keepassx gespeichert sein und bei Gebrauch über die Zwischenablage eingefügt werden. Geht aber nich ... Die Eingabeaufforderung in KMail erlaubt nur Tasteneingabe, also auch kein Strg+V.

Wo muss ich denn suchen, damit das klappt? Zickt KWallet oder KGpg oder ein dritter? Ich? Ich habe alles aus den SUSE-Repros installiert.

Danke euch!!

wilux

Jägerschlürfer · 31 Mai 2010

mal ehrlich, was bringt es dir, wenn das Passwort über die Zwischenablage reinkopiert wird? Wenn du das Passwort in die Zwischenablage kopierst, ist das Passwort dort sichtbar und eigentlich ja eine Sicherheitslücke, sofern jemand die Zwischenablage durchschaut.
Von daher finde ich das Verhalten von Kmail eigentlich korrekt, dass kein STRG+V funktioniert.

wilux · 1 Juni 2010

Stimmt auch, hast Recht. Im Zweifelsfall muss ich mir einen zweiten Schlüssel zulegen, der ein starkes Passwort hat und ich nur bei "sensiblen" Mails brauche. Dann muss ich nur auf Key-Logger achten ;P ... Ne mal ernst, noch: Taucht nicht jetzt die Frage nach Pest oder Cholera auf?

wilux

Geier0815 · 1 Juni 2010

@Jägerschlürfer,

keepassx löscht per default nach 20 Sekunden das Passwort auch wieder aus dem Speicher und der Zwischenablage, von daher wäre das nicht wirklich ein Problem.

@wilux,

ich arbeite nicht mit kmail von daher die evtl. dusselige Frage: Schon mal per Maus versucht? Also mit Rechtsklick Passwort in Zwischenablage und bei kgpg mit Rechtsklick und Einfügen?

wilux · 1 Juni 2010

Hallo Geier0815,

also ganz speziell Deinen Weg mit über rechter Maustaste muss ich mal testen.

Meldung kommt

.

wilux

Jägerschlürfer · 1 Juni 2010

Geier0815 schrieb:
keepassx löscht per default nach 20 Sekunden das Passwort auch wieder aus dem Speicher und der Zwischenablage, von daher wäre das nicht wirklich ein Problem.

danke für die Info. Das wusste ich auch noch nicht.

wilux · 1 Juni 2010

Ach, stimmt ja, von mir völlig übersehen. Nicht aber, dass ich keepassx auf 10 Sekunden eingestellt habe ...

wilux

@Jägerschlürfer!

Was reizt Dich so an Vista???

Jägerschlürfer · 1 Juni 2010

@ wilux
nicht wirklich was, aber ich benötige es für ein paar geschäftliche Dinge und daher ist das auch noch auf der Platte.

wilux · 2 Juni 2010

Ne, will nicht so gehen *brr*.

Soll's das gewesen sein??

wilux

/dev/null · 3 Juni 2010

Hi wilux,

ich habe mich bislang nicht gemeldet, da ich weder kmail, noch GPG (sondern S/MIME) nutze.
Nichts gegen ein richtig gutes komplexes Passwort - aber bei der Handhabbarkeit stößt das eben an Grenzen.
Wovor schützt dieses Passwort? Es verhindert, dass jemand der sich deines secret-key bemächtigt hat(!), diesen auch benutzen kann. Es erhöht aber keinesfalls die Sicherheit (d)einer el. Signatur in einer durch dich gesendeten Mail oder der Verschlüsselung einer an dich selbst gerichteten verschlüsselten Mail.

Wozu schreibe ich das?
Ich benutze für die el. Signatur von Dokumenten und Mails, für die Verschlüsselung von Mails, für mein UMTS-VPN, für das Einloggen an meinen Rechnern und viele andere Zwecke im Bereich der IT-Sicherheit X.509-Zertifikate - und diese sind lediglich mit einer einfachen PIN aus acht Zahlen gesichert!
Allerdings mit dem kleinen, aber feinen Unterschied: Meine Schlüssel befinden sich auf einer Chipkarte, diese kann ich nie vergessen, weil ich sonst nicht aus dem Haus komme, und nach 3 falschen PIN-Eingaben ist die Karte gesperrt.

Jetzt die möglichen Lösungen für dich:
- verwende ein "handhabungssicheres" Passwort!
- schütze deine Schlüssel auf anderem Weg.

Hier bieten sich IMHO zwei Möglichkeiten an:
1.) Es gibt auch Chipkarten, welche GPG/PGP-Schlüssel speichern können (teuer, Treiber für Linux???)
2.) Sperre deine Schlüssel in einen Truecrypt-Container, welchen du mit einem entsprechenden Script mountest

MfG Peter

wilux · 3 Juni 2010

Hallo /dev/null!

Danke für Deine Nachhilfe! Kleine Verständnisfrage:

Denke ich falsch, dass ich auf ein starkes Passwort vertraue, um an mich verschlüsselte Mails "gut" zu verschlüsseln? Hier geht es mehr um das Prinzip, weniger um eine Notwendigkeit.

Du benutzt S/MIME? Welchen Anbieter und why? Diese Seite lässt beide Verfahren im guten Licht stehen ... Ach und darum fände ich es gut, wenn Du mir in ein oder zwei(?) Sätzen erklären könntest, wie Du mit S/MIME bestimmen kannst, wer Deine Mails lesen kann.

wilux

/dev/null · 3 Juni 2010

wilux schrieb:
Denke ich falsch, dass ich auf ein starkes Passwort vertraue, um an mich verschlüsselte Mails "gut" zu verschlüsseln?

Habs mir fast gedacht

Ja, es ist so.
Mit deinem Passwort (GPG nennt es "Passphrase", weil auch ein Satz möglich ist), entschlüsselst du lediglich den hoffentlich nur auf deinem eigenen Rechner vorhandenen private-key. Wenn du wirklich sicherstellen könntest, dass dieser Schlüssel niemals deinen Rechner verlassen kann, dann könntest du diesen auch völlig ohne Passphrase erzeugen und nutzen. Für die Stärke der Verschlüsselung hat das überhaupt keine Auswirkungen.

Tipp: befasse dich mit Grundlagen der asymmetrischen Verschlüsselung => Wikipedia, oder die Suchmaschine mit den 2 "g" liefern viele Ergebnisse.
Oder, was Mailverschlüsselung betrifft, kannst du dir auch gern meinen Beitrag im Thunderbird-Wiki ansehen:
http://www.thunderbird-mail.de/wiki/FAQ#Verschl.C3.BCsselung_.26_digitale_Unterschrift

Nur so viel hier:
Du erzeugst einen "geheimen" Schlüssel (private-key), daraus wird der öffentliche Schlüssel generiert (public-key). Diesen und nur diesen (!!) kannst du gefahrlos weltweit verteilen. Deine Mailpartner verschlüsseln Mails an dich mit deinem öffentlichen Schlüssel (nix mit Passphrase) und nur du als Besitzer des geheimen Schlüssels kannst diese Mail wieder entschlüsseln. Und genau dazu benötigst du deine Passphrase.
Zum Signieren verwendest du deinen geheimen Schlüssel (=> Passphrase) und der Empfänger prüft die Signatur mit deinem öffentlichen Schlüssel. (Um dich nicht vollständig zu verwirren habe ich bewusst verschwiegen, dass intern noch eine symmetrische Verschlüsselung des Session-key stattfindet.)

wilux schrieb:
Du benutzt S/MIME? Welchen Anbieter und why?

Nun, ich befasse mich beruflich schon seeeehr lange mit allem, was sich "Verschlüsselung" nennt ... .
Und privat habe ich PGP seit der Version 2.0.? genutzt. Aber im behördlichen und auch zunehmend im kommerziellen Bereich wird nun mal S/MIME genutzt, und so bin ich schon vor etlichen Jahren auf S/MIME umgestiegen. Kompatibilität zw. beruflichen und privaten Mails und Verfahren ... .
Anbieter? Beruflich ein bestimmtes Trustcenter (mein Arbeitgeber) ... . Und privat erzeuge ich jedes Jahr einige Hundert Zertifkate für Familie, Freunde, Forenmitglieder usw zu Hause auf einer Linux-Maschine. Das funktioniert schon. Das dazu nötige Vertrauen ("Trust-" ...) kann man sich erarbeiten ... .
Hole dir zum Testen einfach ein Kostnix-Zertifikat von http://www.trustcenter.de
(Nebenbei: auch dort erzeugst du und niemand anderes deinen secret-key! Dieser verlässt deinen eigenen Rechner wä. der Prozedur nicht!)

wilux schrieb:
Ach und darum fände ich es gut, wenn Du mir in ein oder zwei(?) Sätzen erklären könntest, wie Du mit S/MIME bestimmen kannst, wer Deine Mails lesen kann.

Den Grundsatz habe ich ja oben schon beschrieben.
Ich schicke dem Mailpartner eine signierte Mail. Und dieser mir auch. Und ein einigermaßen intelligenter Mailclient wie der Thunderbird hat die öffentlichen Schlüssel der Mailpartner dann schon automatisch gespeichert. Und nach 3x Klicken sind die nächsten Mails dann verschlüsselt und signiert. Und mit einigen Add-ons wird das ganze dann so komfortabel, dass du es gar nicht mehr bemerkst - und auch nie wieder vergisst, vorher auf "Verschlüsseln" zu klicken.

OK?

MfG Peter

panamajo · 3 Juni 2010

wilux schrieb:
Zum Unterschreiben und mehr meiner Mails mit Kmail möchte ich ein möglichst langes Passwort für meinen Schlüssel benutzen. Das Passwort soll in keepassx gespeichert sein und bei Gebrauch über die Zwischenablage eingefügt werden.

Wieso verwendest du nicht gpg-agent?

wilux · 3 Juni 2010

Hallo panamajo!

Wieso verwendest du nicht gpg-agent?

Mir nicht bunt genug. Nein, Scherz zur Seite. Zuerst muss ich wirklich so dumm fragen, worauf Du abziehlst und zweitens erwarte ich schon den Komfort eines Mails- oder anderen Anwenderprogramm (also Maus), um meine strengstsupermegageheimen Sachen zu bearbeiten. Ich benutze die Konsole nur wenn nötig.

@/dev/null!

(Nebenbei: auch dort erzeugst du und niemand anderes deinen secret-key! Dieser verlässt deinen eigenen Rechner wä. der Prozedur nicht!)

Das verstehe ich so: Sollte ich so ein Zertifikat haben und De Maizere interessiert sich für meine geheime Post, muss er dann vielleicht zwei schwarz gekleidete und sehr gut durchtrainierte Herren mit Folterköfferchen vorbeischicken, weil BKA & Co. diese Mail nicht entschlüsseln können? So ein Zertifikat kommt doch von einer "zugelassenen" Firma? Ich frage nur aus blanker neugierde.

Und nach 3x Klicken sind die nächsten Mails dann verschlüsselt und signiert.

3 mal klicken? Bist Du ein Tastaturhengst? Nein, ich weiß jetzt nicht, wie schnell oder langsam es mit GPG unter. z. B. KMail geht.

Danke aber soweit für Deine kurzen Erläuterungen.

@all

wilux

panamajo · 3 Juni 2010

wilux schrieb:
Zuerst muss ich wirklich so dumm fragen, worauf Du abziehlst und zweitens erwarte ich schon den Komfort eines Mails- oder anderen Anwenderprogramm (also Maus), um meine strengstsupermegageheimen Sachen zu bearbeiten. Ich benutze die Konsole nur wenn nötig.

Ich verwende KMail und wenn ich eine mit GPG signierte oder verschlüsselte Mail versende öffnet KMail automatisch ein Prompt für das PW (pinentry-qt4).
Da könnte man auch das PW per C&P reinschubbern, aber der Clou ist dass sich gpg-agent für eine definierbare Zeit (Default: 2h) das PW merkt und mich dann nicht mehr fragt.

wilux · 3 Juni 2010

Hallo panamajo!

pinentry-qt4 ...
Da könnte man auch das PW per C&P reinschubbern

Genau darum ging es weiter oben die ganze Zeit. Es geht nicht bei mir.

/dev/null!

Wenn ich mir bei trustcenter so'n Kostnixfikat holen möchte, bekomme ich nur die Meldung, dass deren Service zurzeit nicht zur Verfügung steht. Oder hab ich was falsch geklickt??

wilux

/dev/null · 4 Juni 2010

Ich habe dort auch mal nachgesehen => du hast dich nicht verklickt.
Einfach ab und an mal versuchen. Ich weiß auch nicht, warum die das ggw. nicht anbieten.

MfG Peter

wilux · 4 Juni 2010

Ah, Danke Dir. Schön, nicht Schuld haben sein, - öhm ...

wilux

wilux · 7 Juni 2010

Für alle, die es interessiert. Ich habe TC angeschrieben und die mir geantwortet. Wenn es solche Probleme gibt, z. B. Überarbeitung des Angebotes, dann hier:

https://www.trustcenter.de/order/internetid/de/

wilux

-x- · 23 Sep. 2010

Ich stehe gerade vor dem gleichen Problem (heftig lange Passphrase per KeePassX/über die Zwischenablage), möchte aber nicht zwingend auf meine alten GPG-Schlüssel verzichten. Also falls noch jemand eine Idee haben sollte, wäre ich dankbar.

Btw: Einen Bug-Report gibt es mittlerweile auch schon dafür: https://bugs.launchpad.net/ubuntu/+source/pinentry/+bug/326132

[erledigt] GPG-Passwort über Zwischenablage für Kmail

Advanced Hacker

Moderator

Advanced Hacker

Guru

Advanced Hacker

Moderator

Advanced Hacker

Moderator

Advanced Hacker

Moderator

Advanced Hacker

Moderator

Guru

Advanced Hacker

Guru

Advanced Hacker

Moderator

Advanced Hacker

Advanced Hacker

Newbie