Kryptografie
Hier geht es um ein Thema, um das sich der durchschnittliche EDV-Anwender viel zu wenig Gedanken macht: Die Geheimhaltung sensibler Daten und nicht für die Öffentlichkeit bestimmter elektronischer Post durch Verschlüsselung.
Verschlüsselung mit GnuPG
Niemand würde auf die Idee kommen, seine Bankdaten per Postkarte zu verschicken. Aber bei E-Mails sind viele Anwender immer noch der Meinung, dass hier niemand mitlesen könnte. Diese Annahme ist aber falsch. Haben Sie sich mal Gedanken darüber gemacht, über wieviele Server Ihre E-Mail geroutet wird, bevor sie ihr Ziel erreicht? Kennen Sie die Leute, die diese Server betreiben und vertrauen Sie ihnen? Das ist kaum möglich und deshalb ist es sinnvoll, Ihre Post in einen sicheren Umschlag zu stecken, der nur vom Empfänger zu öffnen ist. Das können Sie z.B. mit GnuPG erreichen, und zwar kostenlos. Und es ist auch gar nicht so kompliziert, wie es vielleicht im ersten Moment anhört.
GnuPG nutzt für die Verschlüsselung von E-Mails ein asymetrisches Schlüsselpaar, bestehend aus einem öffentlichen und einem privaten Schlüssel. Wenn Sie jemandem eine verschlüsselte E-Mail senden wollen, müssen Sie dessen öffentlichen Schlüssel kennen. Nach öffentlichen Schlüsseln kann man z.B. auf extra dafür vorgesehenen Keyservern suchen. Mit diesem nicht geheimen, aber einmaligen Schlüssel codieren Sie nun die E-Mail, bevor sie versendet wird. Die so verschlüsselte Nachricht kann nur jemand öffnen, der im Besitz des dazugehörigen privaten (geheimen) Schlüssels ist. Und das ist nur der rechtmäßige Empfänger der E-Mail.
Weiterhin können Texte und Daten mit GnuPG digital signiert werden. Hierdurch kann sichergestellt werden, dass die Daten wirklich von der Person stammen, von der Sie glauben sie erhalten zu haben. Im Prinzip ist dies mit einer Unterschrift unter einem Papier-Dokument vergleichbar. Die Signatur ist aber viel sicherer als eine normale Unterschrift, weil eine Prüfsumme über den kompletten Text oder die Datei gebildet wird. Dadurch ist unbemerkte Manipulation durch Dritte, die in den Besitz der Daten kommen, nahezu ausgeschlossen.
Ich selbst benutze GnuPG zur Verschlüsselung von Daten und wichtigen E-Mails. GnuPG ist ein freies Verschlüsselungsprogramm unter der GPL. Meinen PGP-Schlüssel finden Sie auf der Kontaktseite.
Software für GnuPG
Es gibt einige kostenlose Programme für verschiedene Plattformen wie z.B. Linux und Windows. GnuPG selbst steht unter der General Public License (GPL) und kann somit frei verwendet werden. Da der Quellcode offen ist, kann ausgeschlossen werden, dass z.B. Geheimdienste Hintertüren eingebaut haben, um heimlich mitlesen zu können.
Linux
In der Regel sollte GnuPG bei den meisten Linux-Distributionen mit dabei sein. Einfach mal
gpg --help
in einer Shell aufrufen, um das zu prüfen. Hier erfährt man auch gleich einiges über die Befehle und Optionen.
Auch für gpg gibt es natürlich, wie heutzutage üblich, grafische Varianten, z.B. kann bei KDE das Programm KGpg verwendet werden, dass nahezu alle gpg-Funktionen unterstützt.
Windows
Tipp: WinPT
Windows Privacy Tools (WinPT) ist eine Sammlung mehrsprachiger Programme für einfache Verschüsselung und digitale Signierung von Daten. Es basiert auf GnuPG, ist kompatibel mit OpenPGP-konformen Programmen (wie PGP) und gemäß der GPL frei verfügbar für den kommerziellen und privaten Gebrauch.
Links zum Thema GnuPG:
Hier gibt's interessante Infos zum Thema Kryptografie im Allgemeinen und GnuPG im Besonderen:
Das GNU-Handbuch auf gnupg.org (deutsch)
Umfangreiche deutschsprachige GnuPG-Anleitung von Kai Raven
Zur CeBIT 97 hat c't erstmals einen kostenlosen Zertifizierungs-Service für PGP-Schlüssel angeboten. Diese Seiten informieren über den Ablauf und den Hintergrund der Kampagne und enthalten eine Anleitung, um den eigenen Schlüssel zertifizieren zu lassen: www.heise.de/security/dienste/pgp
Kleines Signatur-Quiz
Welcher der beiden Texte ist echt, also wirklich von mir signiert, und welcher ist gefälscht? Verwenden Sie meinen oben angegebenen öffentlichen Schlüssel zur Prüfung!
Text 1:
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Test-Text 1...
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.0 (GNU/Linux)
iD8DBQFDSsRkEr7xl57EqeERAv9dAJ9qb6jal3vvYLumgGDLXj3W1zuwKwCfRCQ2
Ybi0K1qXJ+QX5hME7/6rJ8k=
=7VNC
-----END PGP SIGNATURE-----
Text 2:
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Test-Text 2...
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.0 (GNU/Linux)
iD8DBQFDSsRkEr7xl57EqeERAv9dAJ9qb6jal3vvYLumgGDLXj3W1zuwKwCfRCQ2
Ybi0K1qXJ+QX5hME7/6rJ8k=
=7VNC
-----END PGP SIGNATURE-----
Wenn Sie nicht ganz sicher sind, ob Ihre Lösung richtig ist, oder Sie Fragen oder Anregungen zum Thema haben, können Sie mir gern eine Nachricht senden.
