1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
|
<?xml version='1.0' encoding='UTF-8'?>
<!DOCTYPE chapter PUBLIC "-//OASIS//DTD DocBook XML V4.4//EN"
"http://www.oasis-open.org/docbook/xml/4.4/docbookx.dtd">
<!-- $Id: pgp.xml,v 1.29 2012/02/23 13:44:35 mg Exp $ -->
<chapter id='configure-pgp'>
<title>PGP</title>
<para>
In OTRS können ausgehende E-Mails mit Hilfe von PGP signiert oder
verschlüsselt werden. Ebenfalls ist es möglich verschlüsselte Nachrichten zu
entschlüsseln. Die Ver- und Entschlüsselung mit PGP wird mit Hilfe des
GPL-Werkzeugs <application>GnuPG</application> vorgenommen. Zur Einrichtung
sind die folgenden Schritte notwendig:
</para>
<para>
<orderedlist numeration="arabic">
<listitem>
<para>
Erste Aufgabe ist es, das entsprechende GnuPG-Software-Paket zu
installieren, welches bei den meisten Linux-Distributionen mitgeliefert
wird. Dies sollte mit Hilfe des jeweiligen Paketmanagers leicht durchgeführt
werden können.
</para>
</listitem>
<listitem>
<para>
Im zweiten Schritt muss das soeben installierte GnuPG zur Benutzung für OTRS
konfiguriert werden. Dies geschieht auf der Kommandozeilenebene durch einen
Aufruf von GnuPG, der die notwendigen Verzeichnisse anlegt und den privaten
Schlüssel erzeugt. Der Aufruf muss als Benutzer 'otrs' durchgeführt werden.
</para>
<para>
<screen>
linux:~# su otrs
linux:/root$ cd
linux:~$ pwd
/opt/otrs
linux:~$ gpg --gen-key
gpg (GnuPG) 1.4.2; Copyright (C) 2005 Free Software Foundation, Inc.
This program comes with ABSOLUTELY NO WARRANTY.
This is free software, and you are welcome to redistribute it
under certain conditions. See the file COPYING for details.
gpg: directory `/opt/otrs/.gnupg' created
gpg: new configuration file `/opt/otrs/.gnupg/gpg.conf' created
gpg: WARNING: options in `/opt/otrs/.gnupg/gpg.conf' are not yet active during t
his run
gpg: keyring `/opt/otrs/.gnupg/secring.gpg' created
gpg: keyring `/opt/otrs/.gnupg/pubring.gpg' created
Please select what kind of key you want:
(1) DSA and Elgamal (default)
(2) DSA (sign only)
(5) RSA (sign only)
Your selection? 1
DSA keypair will have 1024 bits.
ELG-E keys may be between 1024 and 4096 bits long.
What keysize do you want? (2048)
Requested keysize is 2048 bits
Please specify how long the key should be valid.
0 = key does not expire
<n> = key expires in n days
<n>w = key expires in n weeks
<n>m = key expires in n months
<n>y = key expires in n years
Key is valid for? (0)
Key does not expire at all
Is this correct? (y/N) y
You need a user ID to identify your key; the software constructs the user ID
from the Real Name, Comment and Email Address in this form:
"Heinrich Heine (Der Dichter) <heinrichh@duesseldorf.de>"
Real name: Ticket System
Email address: support@example.com
Comment: Private PGP Key for the ticket system with address support@example.com
You selected this USER-ID:
"Ticket System (Private PGP Key for the ticket system with address support@examp
le.com) <support@example.com>"
Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? O
You need a Passphrase to protect your secret key.
Passphrase: secret
Repeat passphrase: secret
We need to generate a lot of random bytes. It is a good idea to perform
some other action (type on the keyboard, move the mouse, utilize the
disks) during the prime generation; this gives the random number
generator a better chance to gain enough entropy.
++++++++++.+++++++++++++++++++++++++....+++++.+++++...+++++++++++++++++++++++++.
+++++++++++++++++++++++++.+++++.+++++.+++++++++++++++++++++++++>++++++++++>+++++
.......>+++++<+++++................................+++++
Not enough random bytes available. Please do some other work to give
the OS a chance to collect more entropy! (Need 280 more bytes)
++++++++++.+++++..++++++++++..+++++....++++++++++++++++++++.+++++++++++++++.++++
++++++++++++++++++++++++++.++++++++++.+++++++++++++++.++++++++++.+++++++++++++++
..+++++>.+++++....>+++++........................................................
...........................................................>+++++<+++++.........
.............+++++^^^
gpg: /opt/otrs/.gnupg/trustdb.gpg: trustdb created
gpg: key 7245A970 marked as ultimately trusted
public and secret key created and signed.
gpg: checking the trustdb
gpg: 3 marginal(s) needed, 1 complete(s) needed, PGP trust model
gpg: depth: 0 valid: 1 signed: 0 trust: 0-, 0q, 0n, 0m, 0f, 1u
pub 1024D/7245A970 2006-02-03
Key fingerprint = 2ED5 BC36 D2B6 B055 7EE1 5833 1D7B F967 7245 A970
uid Ticket System (Private pgp key for ticket system with addre
ss support@example.com) <support@example.com>
sub 2048g/52B97069 2006-02-03
linux:~$
</screen>
</para>
<para>
<emphasis>Skript: Konfiguration von GnuPG.</emphasis>
</para>
<para>
Wie man sehen kann, genügt es bei den meisten Fragen die Vorgabe mit
<EINGABE> zu bestätigen. Lediglich die Angabe zur Person des
Schlüsselbesitzers ist zu vervollständigen bzw. zum Ende hin ist an der mit
(passphrase) gekennzeichneten Stelle die Passphrase für den zu generierenden
Schlüssel einzugeben.
</para>
</listitem>
<listitem>
<para>
Im nächsten Schritt muss OTRS auf die Verwendung von PGP vorbereitet
werden. Suchen Sie in SysConfig nach "PGP" und wähen Sie danach dan die
Untergruppe Crypt::PGP aus.
</para>
<para>
In der nun angezeigten Maske sollte zum einen <link
linkend="Framework:Crypt::PGP:PGP">" PGP aktiviert </link> werden (die erste
Option). Danach sollte überprüft werden, ob der voreingestellte <link
linkend="Framework:Crypt::PGP:PGP::Bin"> Pfad zum Programm gpg </link> der
tatsächlichen Installation entspricht.
</para>
<para>
Die nächste Einstellung (<link
linkend="Framework:Crypt::PGP:PGP::Options">PGP::Options</link>) muss
ggf. modifiziert werden. Es handelt sich um die Parameter, mit denen OTRS
das Programm gpg aufruft. Hier ist insbesondere die Option für die Lage des
GnuPG-Konfigurationsverzeichnisses des OTRS-Benutzers otrs wichtig. Im
Beispiel ist dies: /opt/otrs/.gnupg). Dieses Verzeichnis wurde im Schritt 1
automatisch von GnuPG angelegt.
</para>
<para>
Über die letzte Option können die <link
linkend="Framework:Crypt::PGP:PGP::Key::Password">Schlüssel-Werte-Paare für
die ID(s) und Passphrase(n)</link> der eigenen PGP-Schlüssel dem Ticket
System bekannt gemacht werden. Noch einmal genauer: da andere
Kommunikationspartner an das Ticket-System (oder besser: an den Mail-Eingang
des Systems) E-Mails mit dessen öffentlichen Schlüssel verschlüsselt
schicken, kann OTRSmit dem/n in dieser Option angegebenen privaten
Schlüssel(n) solchermaßen verschlüsselte Mails entschlüsseln.
</para>
<para>
Woher bekommt man die ID des eigenen Schlüssels? Die ID steckt schon in der
Ausgabe der Schlüsselgenerierung (siehe Schritt 1). Man kann die ID aber
auch als Benutzer 'otrs' jederzeit über die Kommandozeile ermitteln:
</para>
<para>
<screen>
linux:~# su otrs
linux:/root$ cd
linux:~$ pwd
/opt/otrs
linux:~$ gpg --list-keys
/opt/otrs/.gnupg/pubring.gpg
----------------------------
pub 1024D/7245A970 2006-02-03
uid Ticket System (Private pgp key for ticket system with
address support@example.com) <support@example.com>
sub 2048g/52B97069 2006-02-03
linux:~$
</screen>
</para>
<para>
<emphasis>Skript: Die ID des eigenen privaten Schlüssels
ermitteln.</emphasis>
</para>
<para>
Die ID des Schlüssels befindet sich in der Zeile, die mit sub beginnt und
ist eine 8-stellige hexadezimale Kennung (im Beispiel lautet sie
"52B97069". Die für die Option geforderte Passphrase ist dieselbe, die beim
Schlüsselgenerieren in Schritt 1 verwendet wurde.
</para>
<para>
Nach Eingabe all dieser Angaben können sie mit dem Aktualisieren-Button
gespeichert werden. OTRS ist jetzt für das Empfangen mit PGP verschlüsselter
E-Mails konfiguriert.
</para>
</listitem>
<listitem>
<para>
Der letzte Schritt ist der Import des öffentlichen PGP-Schlüssels eines
Kunden. Dadurch wird sicher gestellt, dass aus OTRS heraus verschlüsselte
Mails an den jeweiligen Kunden gesendet werden können. Es bestehen zwei
Möglichkeiten für den Import.
</para>
<para>
Zum einem können über das Modul zur Verwaltung der Kunden die öffentlichen
PGP-Schlüssel beim Anlegen/Bearbeiten des jeweiligen Kunden im System
hinterlegt werden.
</para>
<para>
Die zweite Möglichkeit bietet das System in den <link
linkend="adminarea-pgp">PGP-Einstellungen</link> innerhalb des
Admin-Bereiches. In dieser Konfigurationsmaske ist im rechten Teil eine
Liste der bereits dem System zur Verfügung stehenden öffentlichen Schlüssel
zu sehen. Im Regelfall sollte nach der obigen Einrichtung hier schon der
öffentliche Schlüssel des Ticket-Systems selbst zu sehen sein. Im linken
Teil besteht neben der Suche die Möglichkeit, neue Schlüssel als
Schlüsseldatei ins System zu laden.
</para>
<para>
Sowohl für das Hinzufügen eines Schlüssels über die Kunden- als auch über
die PGP-Verwaltung gilt, dass die Dateien mit den Schlüsseln
PGP/GnuPG-konforme Schlüssel sein müssen. Normalerweise wird der Schlüssel
als "ASCII armored key"-Datei vorliegen, welches problemlos von OTRS
verarbeitet werden kann.
</para>
</listitem>
</orderedlist>
</para>
</chapter>
|
