eMailverschlüsselung


Frank Stohl
Frank Stohl
@frankstohl

Hier geht es um Verschlüsselung, doch lassen wir zuerst Wikipedia zu Wort kommen – man muss ja nicht immer alles selber neu erfinden:

GnuPG oder GPG (GNU Privacy Guard, englisch für GNU-Wächter der Privatsphäre) ist ein freies Kryptographiesystem, d. h. es dient zum Ver- und Entschlüsseln von Daten sowie zum Erzeugen und Prüfen elektronischer Signaturen. Das Programm implementiert den OpenPGP-Standard nach RFC 2440 und wurde als Ersatz für PGP entwickelt. Versionen ab 2.0 implementieren auch den S/MIME-Standard. GnuPG benutzt nur patentfreie Algorithmen und wird unter der GNU-GPL vertrieben. Es kann unter Linux, Mac OS X und diversen anderen Unix-Varianten sowie unter Microsoft Windows betrieben werden.

Wer also nicht möchte, dass seine eMails unverschlüsselt wie eine Postkarte durch das Web wandern soll, der sollte sich mit diesem Thema beschäftigen. Die Software ist leicht installiert (Anleitung für MacOS X gibt es Zeitform) und fällt dann kaum noch auf.

Das Prinzip der Verschlüsselung

oder: wie geht das mit den Schlüssel

Hat man also die Software installiert, so besitzt man nun zwei Schlüssel. Zum einen den privaten Schlüssel und den öffentlichen Schlüssel. Das Problem bei Passwörter und Schlüssel ist ja die Übermittlung. Also wie bekommt der andere das Passwort zur Entschlüsselung mit, ohne das andere dies mithören können. Bei GPG ist dies einfach: man sendet den öffentlichen Schlüssel in die weite Welt hinaus. Denn mit diesem kann nur verschlüsselt werden. Man muss sich den öffentlichen Schlüssel als offenes Schloss vorstellen. Packt einer geheime Dinge in eine Kiste und drückt dieses Schloss zu, dann ist es rum. Nicht mal der Absender kann dann mehr reinschauen, er hat ja nur das Schloss gehabt – nicht den Schlüssel. Dieser ist nämlich der private Schlüssel – diesen sollte man also tunlichst nicht veröffentlichen. Denn nur mit diesem privaten Schlüssel kann das Schloss geöffnet werden und der Inhalt der Kiste erblickt das Tageslicht.

Signieren der eMail

oder: von wem ist die eMail

Wer denkt, das der Absender der eMail immer stimmt, der liegt falsch. Das eMail-Protokoll ist alt und damals dachte man noch nicht an das böse im Menschen. Waren doch nur Idealisten mit der Gründung des Netzes beschäftigt. Es ist ein leichtes als Absender Angela@Bundeskanzleramt.de zu realisieren. Also muss eine eMail nicht vom Empfänger sein – es könnten auch dunkle Mächte, oder SPAM (Werbemüll) dafür schuld sein.

Hier greift die zweite Idee von GPG: die Signierung. Jede eMail wird nach der Installation der Software auf Wunsch signiert. Also der Inhalt mittels Prüfsumme und Fingerprint abgesichert. Wird nun an der eMail rumgemacht, stimmt diese nicht mehr. Kommt eine eMail ohne diesen Umschlag an, stimmt auch was nicht. Durch die digitale Unterschrift (Fingerprint) und die Prüfsumme erhält die eMail also eine Art Echtheitszertifikat. Seinen öffentlichen Schlüssel kann man da dann auch gleich noch reinpacken.

Kann man da nichts fälschen

oder: das Böse ist überall

Natürlich gibt es auch in diesem System eine Schwachstelle. Denn jemand könnte ja in meinem Namen und mit meiner eMail-Adresse ein Schlüsselpaar erstellen und dies dem Opfer unterschieben. Aus diesem Grund gibt es Schlüsselserver. Dort kann man den Schlüssel bestätigen. Man veröffentlicht also seinen öffentlichen Schlüssel dort und sagt seinen Freunden bescheid, und die beglaubigen den Schlüssel. Je mehr, desto besser. Bei mir sieht es zum Beispiel so aus. Nicht gerade die Welt, aber immerhin. Mehr könnten es schon sein, aber hier greift die Bequemlichkeit der Menschen.

Mein Schlüssel

oder: greift endlich zu

An dieser Stelle gibt es nun meinen öffentlichen Schlüssel als ASCII-Datei: GPG-Public-Key. Einfach runterladen und in den Schlüsselbund von GPG stecken. Bei der nächsten eMail an mich, könnt ihr also nun über private Dinge schreiben, die weder MAD, BND, CIA, NSA, Mossad oder andere lesen können. Aber dabei nie vergessen: die Betreffzeile wird nicht verschlüsselt.

Show Comments (2)

Comments

  • Weißenborn , Bernd
    Weißenborn , Bernd

    Hallo ,
    ich habe gestern versucht ein Zertifikat nach der Anleitung zu beantragen.http://www.maces.de/magazin/sicher.html
    Was nicht geklappt hat weder mit Safari noch mit Firefox kam ich auf die Seite https://www.thawte.com/email/index.html
    Ich kam immer nur auf die Startseite der Firma.
    Ich habe unter Producs auch kein kostenloses Zertifikat gesehen.
    Bitte helfen Sie mir, was mache ich falsch?
    Vielen Dank
    Bernd Weissenborn

    • frank
      frank

      Der Artikel ist von 2006, da wird sich das ein oder Andere geändert haben.