Der �ffentliche und der geheime Schl�ssel haben jeweils eine spezifische Aufgabe beim Ver- und Entschl�sseln von Dokumenten. Das Public-Key-Verfahren kann man sich wie einen offenen Safe vorstellen. Wenn jemand ein Dokument unter Benutzung eines �ffentlichen Schl�ssels verschl�sselt, wird dieses Dokument in den Safe gelegt, der Safe geschlossen und das Kombinationsschlo� mehrmals verdreht. Der entsprechende geheime Schl�ssel ist die Kombination, mit der man den Safe wieder �ffnen und das Dokument wieder herausholen kann. Mit anderen Worten, es kann nur die Person, die den geheimen Schl�ssel hat, auf ein Dokument zugreifen, das unter Benutzung des dazugeh�rigen �ffentlichen Schl�ssels verschl�sselt worden ist.
Das Verfahren f�r das Ver- und Entschl�sseln von Dokumenten ist bei diesem Modell einfach: eine Nachricht an Alice verschl�sseln Sie unter Verwendung von Alices �ffentlichem Schl�ssel, und diese entschl�sselt sie mit ihrem geheimen Schl�ssel. Umgekehrt geht es genauso: Alice verschl�sselt eine Nachricht an Sie mit Ihrem �ffentlichen Schl�ssel, welche Sie dann mit Ihrem geheimen Schl�ssel entschl�sseln k�nnen.
Um ein Dokument zu verschl�sseln, benutzt man die Option --encrypt. Dazu m�ssen Sie die �ffentlichen Schl�ssel der vorgesehenen Empf�nger haben. Sollten Sie auf der Kommandozeile den Namen der zu verschl�sselnden Datei nicht angeben, werden die zu verschl�sselnden Daten von der Standard-Eingabe gelesen. Das verschl�sselte Resultat wird auf die Standard-Ausgabe oder in die Datei, die durch die Option --output spezifiziert ist, geschrieben. Das Dokument wird dar�berhinaus auch noch komprimiert.
alice$ gpg --output doc.gpg --encrypt --recipient [email protected] docMit der Option --recipient wird der �ffentliche Schl�ssel spezifiziert, mit dem das Dokument verschl�sselt werden soll. Entschl�sseln l��t sich das so verschl�sselte Dokument jedoch nur von jemandem mit dem dazugeh�rigen geheimen Schl�ssel. Das bedeutet konsequenterweise aber auch, da� Sie selbst ein so verschl�sseltes Dokument nur wieder entschl�sseln k�nnen, wenn Sie Ihren eigenen �ffentlichen Schl�ssel in die Empf�ngerliste aufgenommen haben.
Zum Entschl�sseln einer Nachricht wird die Option --decrypt benutzt. Sie ben�tigen dazu den geheimen Schl�ssel, f�r den die Nachricht verschl�sselt wurde und das Mantra, mit dem der geheime Schl�ssel gesch�tzt ist.
blake$ gpg --output doc --decrypt doc.gpg Sie ben�tigen ein Mantra, um den geheimen Schl�ssel zu entsperren. Benutzer: ``Blake (Staatsanwalt) <[email protected]>'' 1024-Bit ELG-E Schl�ssel, ID F251B862, erzeugt 2000-06-06 (Hauptschl�ssel-ID B2690E6F) Geben Sie das Mantra ein:
Mit GnuPG k�nnen Sie aber auch ohne Anwendung eines Public-Key-Verfahrens Dokumente verschl�sseln und stattdessen ein symmetrisches Verfahren benutzen. Der Schl�ssel f�r die symmetrische Verschl�sselung wird aus einem Pa�wort - besser noch, einem Pa�wort-Satz - generiert, das auf gar keinen Fall dem Mantra zum Schutz Ihres privaten Schl�ssels entsprechen sollte. Je l�nger das gew�hlte Pa�wort ist, desto sicherer ist der Schl�ssel. Wenn Sie diesen symmetrischen Schl�ssel an jemanden weitergeben, sollten Sie dazu einen sicheren Weg w�hlen. Ein Dokument l��t sich so durch Benutzung der Option--symmetricverschl�sseln.
alice$ gpg --output doc.gpg --symmetric doc Geben Sie das Mantra ein:
Symmetrische Verfahren empfehlen sich beispielsweise, wenn Sie die verschl�sselten Daten nicht weiter geben m�chten, das Problem der Pa�wort�bergabe also entf�llt. Ein m�gliches Anwendungsbeispiel w�re, da� Sie alte E-Mails oder alte Datens�tze aus Ihrer Umsatzstatisk auf ihrer Festplatte oder einer CDROM archivieren und vor fremden Zugriffen sch�tzen m�chten. Oder Sie k�nnen auch ganze Verzeichnisse oder Festplatten verschl�sseln.