Montag, 3. Februar 2014

E-Mails verschlüsseln - Ganz einfach mit GPG / PGP

Wenn man nach der Berichterstattung in den Medien geht, ist die globale Überwachungsaffäre durch die NSA schon längst Geschichte. Zumindest rauscht der Blätterwald nicht mehr und auch die Politik hat sich, abgesehen von ein paar halbherzigen Erklärungen, sehr zurückhaltend gezeigt, was irgendwelche Maßnahmen betrifft. Und wenn man es genau nimmt, hat Edward Snowden ohne erkennbare Resultate sein Wissen an die Öffentlichkeit gebracht und dabei sehr viele persönliche Nachteile in Kauf genommen. Die Geheimdienste machen weiter, als wenn nichts geschehen wäre.

Nun ist ja grundsätzlich nichts dagegen einzuwenden, wenn man durch gezielte Überwachungsmaßnahmen Terroristen oder ähnlich böse Gesellen zur Strecke bringt, doch kann man nach dem letzten Skandal davon ausgehen, dass von gezielten Maßnahmen keine Rede mehr sein kann. Vielmehr haben wir es mit einer großflächigen Spionageaktion zu tun, von der so gut wie Jeder betroffen ist und auch in Zukunft sein wird.

Jetzt kann man sich sagen, dass man ja nichts zu verbergen habe und bei den Allermeisten trifft dies auch zu, doch was, wenn in fünf oder zehn Jahren die EU von einer Demokratie in eine Diktatur abgleitet? Solche Systemwechsel hat es in der Geschichte sehr häufig gegeben. In Deutschland zuletzt 1989, als für 17 Millionen DDR-Bürger praktisch über Nacht der Sozialismus endete und die freie Marktwirtschaft an dessen Stelle trat. In einem solchen Fall kann das heute unter ungefährlichen Umständen geäußerte Wort, plötzlich eine große Brisanz bekommen.
Aber auch wenn das eben geschilderte Beispiel nie eintritt, hat jeder Mensch ein Recht auf den Schutz seiner Privatsphäre. Das Lauschen an der Wohnungstür des Nachbarn oder ein allzu neugieriger Blick über den Gartenzaun sind sozial auch nicht unbedingt akzeptabel.

Man kann nun paranoide Verhaltensweisen an den Tag legen, hinter jedem Baum einen NSA-Spitzel vermuten und sich einen Hut aus Aluminiumfolie auf den Kopf setzen, doch in der Praxis hilft dies nicht im Geringsten. Die Frage ist nun, was man ganz praktisch tun kann, dass zum Beispiel der Schriftverkehr über E-Mails nur denen bekannt wird, für die er auch bestimmt ist.
Hier kommen PGP (Pretty good Privacy) beziehungsweise GPG (Gnu-Privacy-Guard) zur Anwendung. Beide Verschlüsselungssysteme unterscheiden sich im Wesentlichen dadurch, dass PGP zum Teil kommerziell genutzt wird und GPG durch eine offene Community entwickelt wurde und wird.

Kurz ein paar Hintergründe zu PGP.
Die erste Version der Software stammt aus dem Jahr 1991 von dem Amerikaner Phil Zimmerman. Anfangs bekam Zimmerman große Schwierigkeiten mit den US-Zollbehörden, da eine Verbreitung von Kryptosystemen mit einer Schlüssellänge von mehr als 40 Bit ähnlich gehandhabt wurde, als wenn man Waffen aus den USA schmuggeln wollte. Entsprechende Ermittlungen wurden im Jahr 1996 ohne Klageerhebung eingestellt. Zu diesem Zeitpunkt hatte die Software jedoch schon eine große Verbreitung gefunden. Zimmermann veröffentlichte den Code in einem Buch, das ja juristisch und praktisch keine Software ist. Dieses Buch gelangte ins Ausland, fleißige Helfer tippten es ab und schon war PGP einer breiten Öffentlichkeit bekannt.

Wie funktioniert PGP?
Die exakte Funktionsweise von PGP oder GPG kann unter den oben angeführten Links genauer nachgelesen werden. Für Diejenigen, die sich mit der Technik nicht so gut auskennen, hier eine vereinfachte Beschreibung.

PGP ist ein so genanntes asymmetrisches Verschlüsselungsverfahren.
Wenn man früher eine Datei verschlüsseln wollte, sicherte man diese in der Regel mit einem guten Passwort ab. Der Empfänger der Datei kannte das Passwort und konnte auf diese Weise an den Inhalt gelangen. Das Dumme war nur, dass, wenn man mehr als einen Empfänger hat, diesen allen das Passwort übermittelt werden musste. Dies über das Internet zu machen wäre nicht klug, da die Schlüssel auf diesem Wege abgefangen werden könnten. Aus diesem Grund ist eine sichere Verbreitung der Schlüssel relativ schwierig zu bewerkstelligen.
Der Ansatz der PGP-Verschlüsselung ist ein anderer.

Bei PGP wird vom Benutzer ein Schlüsselpaar generiert. Einmal einen öffentlichen und einmal einen privaten Schlüssel. Der öffentliche Schlüssel kann Jedem zugänglich gemacht und zum Beispiel auf der eigenen Webseite veröffentlicht werden. Der private Schlüssel ist geheim und befindet sich passwortgeschützt auf dem Computer.
Wenn der Versender einer E-Mail nun über den öffentlichen Schlüssel verfügt, wird mit diesem der Inhalt der Mail verschlüsselt. Eine Entschlüsselung ist hingegen nur mit dem privaten Schlüssel möglich. Der Inhalt der Mail kann also auch vom Versender nicht mehr entschlüsselt werden. Auch von Niemandem sonst, der irgendwo am Datenhighway auf Beute lauert.

Wenn man den Text:
Dies ist eine private Nachricht, die nur für den Empfänger bestimmt ist.
via PGP verschlüsselt, sieht das so aus:
-----BEGIN PGP MESSAGE-----
Version: Mailvelope v0.7.0
Comment: Email security by Mailvelope - http://www.mailvelope.com wcBMAwRzoMCIRJD+AQgAlCkHzY/UNgn8VvfmI/o1AybShstLU+9ozslf3J1D QZ/LiAg1eRMOWqStmFS/ZofYeOJZ/Y+CZD6nlU3pKObXWr5LpLdaVCgYAz+B nnNUAqQ3Mg1ATXSv+iRDk/8vy1eWe0JW6NqMkOX/9Pn7pnYY8lQLE7sr0b0p y9yQmoDRXoLKg2Obt2DApTGfOsRebF/OwQWU8Osoq4ErzfUBGre2PtfgUnJk 3MBSlkM0EuPw8t4v5IyKl/HBrz1eNjqkQaCnuKt8P8gHb8K58sjIXs/BRAS6 XzHtf0ORGR5L4spLJL/hIe/4h64KL6FHmqHiGlkbpCJxFiAnwsiALuqkakN0 bNKFAf8SFeYyXWZ8L2ToVCdwPRk4ueCu28fZNJqluG5hfLVZ2Nr+mNL8xxp+ m4e5d7KlETDLPxzdacgtJ7E+/5HRsY5pZ1VUJog0Oe0JPpzgtOwytuKiQULl
x0B/DFaOIopjtLh0yf0Ho7CHmhQb8tF9vSOzQLGAviKfdcp3D4jJHgevNGQe
ig== =Flq+
-----END PGP MESSAGE-----
Sehen Sie, Sie sehen nichts.
Auf diese Weise codiert, geht die Nachricht auf die Reise und selbst, wenn Sie Jemand abfängt oder sie bei einem falschen Empfänger landet, kann Derjenige nichts damit anfangen.
Ein weiterer Vorteil von PGP ist, dass die Nachricht wirklich von dem Versender ist, von dem sie vorgibt zu kommen. Man kann auch keine Teile der Nachricht entfernen oder hinzufügen.
Wer es ganz besonders sicher mag, sichert den privaten Schlüssel noch mit einem komplexen Passwort ab. Dies sollte eine Länge von mindestens 16 Zeichen (A-Z, a-z, 1-0 und Sonderzeichen) haben.

Der einzige mir bekannte Nachteil ist der Identitätsdiebstahl.
In diesem Fall erzeugt Jemand mit Ihrem Namen und einer beliebigen E-Mailadresse ein Schlüsselpaar. Den öffentlichen Schlüssel lädt er auf einen Schlüsselserver hoch, von dem ein anderer den Schlüssel in gutem Glauben kopiert und seinem virtuellen Schlüsselbund hinzufügt. In diesem Fall ist es möglich, dass man mit der falschen Person kommuniziert.
Dem kann man jedoch auf ziemlich einfache Weise vorbeugen. Entweder, indem man den Schlüssel persönlich, zum Beispiel mit einem USB-Stick weitergibt oder wenn man nach dem Kopieren des Schlüssels von dem Schlüsselserver den Schlüsselinhaber anruft und mit diesem den Fingerprint und die Key-ID des Schlüssels abgleicht. Diese sind nicht zu fälschen. Wahlweise ist auch ein Versand per E-Mail möglich mit der sofortigen telefonischen Kontrolle ob alles so ist, wie es sein soll.
Eine weitere Möglichkeit ist das Web-of-Trust.

Wenn Sie Ihre E-Mails in Zukunft auch mit PGP verschlüsseln möchten, steht Ihnen eine Vielzahl von Programmen zur Verfügung. Fast alle kostenlos.
Auch für Webmailer, wie Google-Mail oder GMX gibt es Browser-Plugins, die eine solche Verschlüsselung ermöglichen. Dazu am Besten den Namen des eigenen E-Mailprogramms und die Worte PGP oder GPG in eine Suchmaschine der Wahl eingeben.
Andre Hoek

Bildquelle: Wikimedia Commons - Urheber: David Vignoni

Keine Kommentare:

Kommentar posten