Digitale Selbstverteidigung: Abhörsicher mit GPG/PGP

Nachrichten

Nicht lange ist es her das Edward Snowden die Dokumente veröffentlicht hat, die die rechtswidrigen Machenschaften des US-Geheimdienstes NSA in voller Bandbreite darlegen. Dabei hat er peinlichst darauf geachtet keine Menschen mit den Veröffentlichungen unmittelbar zu gefährden, dennoch ist nun ein klassischer politisch Verfolgter. Hat unsere Politik erkannt, dass es nun um weit mehr geht als um die Gesprächsdaten und -inhalte der Bundeskanzlerin Angela Merkel?

Scheinbar nicht, denn es ist weiterhin für die Bundesbürger unklar, wer wann wo wie welche Daten durch welche Gesetzesgrundlage legal oder illegal abgehört hat. Der Erfinder von GPG Phil Zimmermann betonte zu Beginn der Veröffentlichungen von Edward Snowden, dass er nie gedacht hätte, dass diese Verschlüsselungstechnologie nötig wird, um Inhalte vertraulich und vor fremden Blicken geschützt auszutauschen. In diesem Artikel möchten wir auf diese – noch – sichere Technologie eingehen und erklären. Grundlage für Verschlüsselungstechnologien haben schon sehr früh ihre Anwendung gefunden. Bei den Römern wurden um Holzstöcker mit bestimmter Breite Papierstreifen gewickelt und beschrieben. Wer diesen Streifen ergaunern konnte musste nun die richtige Breite des Stockes ermitteln, um die Nachricht lesen zu können. Dies ist nach heutigem Maßstab keine sichere Maßnahme, aber damals revolutionär und der erste Schritt Daten zu schützen. In der digitalen Welt unterscheidet man beim Thema Verschlüsselung in der Regel zwischen symmetrischen und asymmetrischen Verfahren. Was darf man sich nun unter einem symmetrischen Verschlüsselungsverfahren vorstellen? Stellen Sie sich dazu einen Tresorschrank mit Zahlenkombination vor.

Jeder der die Nummern in richtiger Reihenfolge kennt ist in der Lage den Tresor zu öffnen und kann Dinge hineinlegen oder herausnehmen. Bei Computersystemen ist dies mit einer verschlüsselten Datei zu vergleichen, zu der man ein Passwort benötigt. Je nach Passwortqualität und Vertrauenswürdigkeit der beteiligten Personen variiert hier die Sicherheit. Ein Nachteil bei diesem Verfahren ist, dass Empfänger und Sender das Passwort kennen und so in der Lage sind die Datei oder E-Mail zu entschlüsseln oder jemand Tresor (Datei) und das Passwort entwendet. Und was bedeutet asymmetrische Verschlüsselung?

Wie die Bezeichnung es andeutet, ist hier etwas nicht gleich (asymmetrisch). Beim symmetrischen Verfahren haben wir bereits festgestellt, dass wir nur ein Passwort benötigen und damit alles machen können. Bei der asymmetrischen Methode gibt es statt einem Passwort ein Schlüsselpaar. Dieses Schlüsselpaar besteht aus einem privaten und öffentlichen Schlüssel (Public / Private Key). In der realen Welt muss man sich es wie folgt vorstellen. Ein Benutzer kauft sich unendlich viele Schlösser und genau einen Schlüssel, mit dem er alle seine unendlichen Schlösser öffnen kann. Den einen Schlüssel (privaten Schlüssel) behält er bei sich und gibt ihn niemals an andere, wohingegen er die unendlich vielen Schlösser (öffentlicher Schlüssel) an die Menschen verteilt, die mit ihm etwas zukommen lassen wollen. Je nach Empfänger nimmt der Sender das passende Schloss, verschließt seine Kiste (E-Mail / Daten) damit und verschickt diese. Der Sender hat nach dem Verschließen (Verschlüsseln mit dem öffentlichen Schlüssel des Empfängers) keine Möglichkeit mehr die Kiste zu öffnen, genauso wie die Menschen die bis zur Ablieferung (Internet- & E-Mail-Anbieter) Kontakt mit der Kiste haben.

Der Empfänger ist nach der Ankunft der Kiste in der Lage mit seinem einem Schlüssel die ankommende(n) Kiste(n) zu öffnen. Das Beispiel ist nicht ganz realitätsnah, wer hat schon unendlich viele persönliche Schlösser und nur einen Schlüssel? Das Prinzip wird aber klar und verständlicher. Gerade bei E-Mails ist es im Internet wie mit einer Postkarte. Jeder der diese Karte in die Hand bekommt kann einen Blick darauf werden und alles lesen. Daher wurde, wie bereits angesprochen, von Phil Zimmermann die Open-Source-Software GnuPG entwickelt, die als Vorbild die kommerzielle Software PGP hatte. Diese verwendet asymmetrische Verschlüsselung nach dem Public- und Private-Key-Verfahren. Hier wird das Schloss, damit es nicht zu Verwechselungen kommt an mindestens eine E-Mail-Adresse gebunden und kann auf einen sogenannten Key-Server hochgeladen werden. Dabei wird der öffentliche Teil des Schlüsselpaars in Kopie auf einem solchen Server gespeichert und anderen Nutzern zugänglich gemacht. Dieser Schritt ist eine Option und keinesfalls notwendig, aber ein bequeme Funktionalität. Unter Linux können wie üblich die Quellcodes heruntergeladen und kompiliert oder die fertigen Pakete mittels der Paketverwaltung installiert werden. Für Windows gibt es ein Softwarepaket mit dem Namen Gpg4win. Um die verschlüsselten Texte nicht immer kopieren zu müssen bietet Gpg4win ein Outlook-Plugin.

Für den beliebten E-Mail-Client Thunderbird wird das Addon Enigmail angeboten. So kann der Umgang mit der Verschlüsselungssoftware GPG, die allen erwähnten Software-Produkten und Erweiterungen zu Grunde liegt, erheblich vereinfacht und äußerst effizient eingesetzt werden.

Vorheriger Artikel Nächster Artikel

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Time limit is exhausted. Please reload CAPTCHA.