[Gpg4win-users-de] Frage zum Regelwerk - Verwendung von Algorithmen

[Klara Hofmann]

Hallo alle,

Ich sshe mir gerade GPG an (Installation von gpg4win), und möchte meine
erste Frage an euch richten.


Zum Wording (um Missverständnisse zu vermeiden):
Zertifikat = Signatur an der Benutzer-ID eines Schlüssels
Eigenzertifikat = Zertifikat, das man selbst (implizit bei der
Schlüsselerzeugung) für seinen Schlüssel erstellt hat.
Signatur: Sagnatur von Daten/Dateien
Schlüssel: Objekt entweder im öffentlichen oder im privaten Schlüsselbund.


Ich möchte das Regelwerk der Ermittlung des symmetrischen Algorithmus,
Hashalgorithmus und Kompressionsalgorithmus besser verstehen, den GnuPG
tatsächlich verwendet, wenn ich verschlüssle.

1. Also mit --default-preference-list (ich vermute am besten in der
Konfigurationsdatei?) teile ich GnuPG meine Wunsch-Prioritätenliste
betreffend aller Algorithmenarten (symmetrisch Verschlüsseln, Hashen,
Komprimieren) mit. GnuPG respektiert diesen Wunsch nach Möglichkeit,
wenn *ich* verschlüssle, signiere etc.
Diese Wunschliste hat also den Sinn: Wenn ich selbst symmetrisch
verschlüssle, hätte ich gern, dass sich GnuPG möglichst an diese Listre
hält.

2. Mit --edit-key --> setpref schreibe ich für andere Benutzer ebenfalls
meine Wunsch-Prioritätenliste für die drei Algorithmenarten in das
Eigenzertifikat (self signature) meines Schlüssels rein. Diese
Wunschliste hat den Sinn: Wenn andere Benutzer mir verschlüsselte Daten
schicken, dann hätte ich gerne, dass sie (d.h. deren GnuPG-Installation)
diese Wunschliste respektieren.
Wenn ich nun symmetrisch verschlüssle (und das tue ich ja immer, sobald
ich verschlüssle, denn "asymmetrische" Verschlüsselung = bei GnuPG
*hybride* Verschlüsselung), dann sieht sich GnuPG meine Präferenzenliste
an (--default-preference-list), des Weiteren die Präferenzenliste im
Eigenzertifikat des Fremdschlüssels, mit dem ich verschlüssle. Dann
sieht GPG nach, ob es eine nicht-leere Schnittmenge an jeweils
bevorzugten Algorithmen gibt. Wenn nicht leer: Welcher symmetrische
Algorithmus gewinnt dann? Immer der Algorithmus des Absenders? Oder der
des Empfängers?
Wenn leer: Es wird der jeweilige kleinste gemeinsame Nenner verwendet,
den der OpenPGP-Standard empfiehlt: z.B. 3DES im Falle von symmetrischer
Verschlüsselung.

Sehe ich das alles richtig?

3. Mit den drei Optionen --cert-digest-algo, --cipher-algo,
--compress-algo kann ich in der Kommandozeile erzwingen, welcher
Algoithmus für diese konkrete Aktion verwendet wird, da wird das
Regelwerkk (1, 2) praktisch umgangen.

Die Vorrangregeln, nach denen sich GnuPG bei der Ermittlung des zu
verwendenden Algorithmus beachtet, scheinen demnach wie folgt zu sein:

[i] Der mit --cert-digest-algo, --cipher-algo, --compress-algo
angegebene Algorithmus
[ii] Der Algorithmus, der in dem Regelwerk oben (1, 2) ermittelt wurde.

Habe ich das Ganze verstanden, oder liege ich völlig daneben?

Liebe Grüße Klara