PGP – zuverlässiger Schutz der Privatsphäre für jeden

In den Nachrichten wird derzeit viel über Privatsphäre, Datenlecks, Spionage und ähnliche Themen gesprochen. Wenn man bedenkt, dass heute meist online kommuniziert wird, oder zumindest mit elektronischen Geräten, sollten wir wissen, wie wir unsere wertvollen Informationen schützen können. Das gilt nicht nur für große Organisationen, sondern für jeden, der regelmäßig Computer nutzt. Wir alle haben Informationen, die wir nicht weitergeben und gut schützen möchten, aber wir alle müssen online kommunizieren. Mit PGP können wir eine sehr starke und dennoch einfach zu verwendende Schutzebene für unsere Online-Kommunikation einführen.

PGP (Pretty Good Privacy) wurde von Phil Zimmermann als Computerprogramm entwickelt, das die Privatsphäre schützen und Sicherheit für die Kommunikation bieten kann. Zudem stellt es die Echtheit elektronischer Nachrichten sicher. Sie können damit jede persönliche oder private Information verschlüsseln (egal ob eine E-Mail, eine Datei oder die komplette Festplatte), und es Angreifern damit sehr schwer machen, Sie abzuhören oder solche geschützten Informationen abzugreifen. Und es bietet auch eine so genannte „digitale Signatur“, durch die Sie Nachrichten versenden können, die der Empfänger als echt verifizieren kann, so dass es weiß, dass die Nachricht nicht von jemand anderem während der Übertragung verändert wurde und dass sie wirklich nur von Ihnen stammt. Stellen Sie sich eine Welt vor, in der jeder seine Nachrichten signiert (das ist nicht so schwer). Phishing-Angriffe würden viel schwerer durchzuführen sein und viele gefälschten Mails oder Hoaxes, wie wir Sie heute täglich erhalten, würden komplett verschwinden, da sie sich für Cyberkriminelle nicht mehr lohnen würden.

Seit der ersten Veröffentlichung von PGP sind über 20 Jahre vergangen und seitdem wurden viele Fortschritte gemacht. Damals führte die US-Regierung Untersuchungen gegen Zimmermann durch, mit dem Verdacht auf den „Export von Waffen ohne Lizenz“, da Verschlüsselungsprodukte mit mehr als 40-Bit-Verschlüsselung (PGP war ein 128-Bit-Produkt) als Waffen eingestuft waren. Und auch wenn der Fall ohne Strafantrag gegen Zimmermann geschlossen wurde, zeigt er doch, wie machtvoll eine Verschlüsselung sein kann und warum manche wichtige Interessensvertreter daran interessiert sind, sie unter strenger Aufsicht zu halten.

Doch schließlich konnten Menschen weltweit auf die Vollversion von PGP inklusive der starken Verschlüsselung zugreifen. Die Free Software Foundation entwickelte ihr eigenes, OpenPGP-konformes Programm namens GNU Privacy Guard (kurz GnuPG oder GPG), das kostenlos erhältlich ist und eine Library für Verschlüsselung, Entschlüsselung und das Signieren bietet. Die Software ist mit vielen Benutzeroberflächen (Graphical User Interfaces (GUI)) und für verschiedenste Betriebssysteme verfügbar, so dass PGP für jeden zur Verfügung steht und einfach zu bedienen ist.

Da der Quellcode für PGP heruntergeladen werden kann, können Sie ihn selbst einsehen, nach Fehlern suchen, auf Backdoors überprüfen oder davon lernen. Selbst wenn Sie das selbst nicht tun wollen, können Sie sicher sein, dass die Gemeinschaft sicherheitsbewusster Anwender und Entwickler, die nichts mit Regierungen oder bestimmten Firmen zu tun haben, dies macht, um sicherzustellen, dass kein Dritter PGP für seine Zwecke missbraucht. Und das ist heute wichtiger denn je, wenn man die Veröffentlichungen über Organisationen mit drei Buchstaben bedenkt, die Verschlüsselungen umgehen möchten.

Vielleicht wollen Sie PGP/GPG nun zumindest einmal ausprobieren. Bei der asymmetrischen Verschlüsselung benötigen wir zwei separate Schlüssel – einen privaten (der für die Entschlüsselung und Signierung genutzt wird) und einen öffentlichen (der für die Verschlüsselung oder das Verifizieren einer Signatur verwendet wird). Das alles klingt am Anfang etwas unverständlich, aber je mehr Erfahrung Sie bei der täglichen Arbeit damit sammeln, desto verständlicher wird es. Wir werden zunächst die Grundlagen der Verschlüsselung mit öffentlichen Schlüsseln betrachten, so dass Sie diese bereits kennen, wenn Sie damit auf Ihrem Betriebssystem arbeiten.

Wenn wir von einem Schlüssel sprechen, meinen wir einen Block oder String mit alphanumerischem Text. Dieser Schlüssel kann in eine Datei exportiert oder auf einen Key-Server hochgeladen werden, so dass Sie ihn an andere weitergeben können (natürlich nur den öffentlichen Schlüssel). Dieser Schlüssel wird von PGP mit zahlreichen Verschlüsselungsalgorithmen generiert. Sie müssen wissen, dass Ihre beiden Schlüssel (der private und der öffentliche) über diesen Algorithmus mathematisch verbunden sind, und dies ermöglicht, den öffentlichen Schlüssel weiterzugeben, ohne die Sicherheit Ihres Systems zu kompromittieren.

Es gibt keine Entschuldigung dafür, PGP nicht auszuprobieren, da die entsprechenden Programme für jedes große Betriebssystem erhältlich sind. Wie schon gesagt, verwenden wir GnuPGP, doch es gibt viele weitere Programme, die mit den verschiedenen Betriebssystemen am besten zusammenarbeiten. Für Mac OSX zum Beispiel GPG Suite, das auch ein Plugin für Apple Mail und eine Keychain bietet, mit der Sie alle Schlüssel verwalten können, sowie GPG-Dienste für Verschlüsselung, Entschlüsselung, Signatur und Verifizierung für Texte, Dateien und mehr. Zudem ist auch GPG enthalten, eine Command-Line-Version von GnuPG. Für Windows-Anwender gibt es ein ähnliches Programm namens GPG4Win, das GnuPG, eine Keychain für das Schlüsselmanagement, Plugins für die wichtigsten E-Mail-Programme und alle benötigen Tools enthält.

Wichtig ist, zu wissen, dass die Sicherheit Ihres Schlüssels nicht nur von dem Passwort abhängt, das Sie bei seiner Erstellung verwenden, sondern auch von der Geheimhaltung des privaten Schlüssels. Sollte jemand Zugriff auf Ihre Schlüsseldatei und Ihr Passwort haben (zum Beispiel, wenn Ihr Computer von einem Keylogger infiziert worden ist), wird die komplette Sicherheit beeinträchtigt. Geben Sie Ihren privaten Schlüssel niemals weiter, und wählen Sie ein Passwort, das nur Sie sich merken können und das nicht leicht zu erraten ist.

Wenn Sie mit PGP ein neues Schüsselpaar erzeugen, können Sie die Schlüssellänge und das Passwort für Ihren privaten Schlüssel festlegen. Je länger der Schlüssel, desto länger dauert es auch, den Schlüssel zu erstellen. Doch das muss ja nur einmal getan werden, deshalb empfehle ich Ihnen, dass Sie als Schlüssellänge mindestens 4.096 Bit verwenden. Für mehr Sicherheit auf lange Sicht, sollten es besser 8.192 Bit sein, wobei Sie dann etwas Geduld benötigen, bis der Schlüssel erstellt ist. Für die Schlüsselgenerierung mit PGP/GPG haben wir eine separate Anleitung erstellt.

Warum die Wahl der optimalen Schlüssellänge und des Passworts so wichtig ist? Nun, falls doch einmal jemand Zugriff auf Ihren privaten Schlüssel erlangen sollte, Ihr Passwort allerdings nicht kennt, kann er nur versuchen, den Schlüssel zu knacken. Dabei würde er vielleicht das Verschlüsselungssystem direkt angreifen. Durch die Schlüssellänge (4.096 oder 8.192 Bit) ist dies aber zu zeitaufwändig und mit der heutigen Computertechnologie nicht machbar. Die andere Möglichkeit ist, mit einer Lexikon- oder Brute-Force-Attacke zu versuchen, das Passwort herauszufinden, mit dem Sie den Schlüssel geschützt haben. Diese Methode wird am häufigsten angewendet, und führt beim Erfolg direkt zu Ihren verschlüsselten Daten. Wenn Sie ein starkes Passwort verwenden, bleibt aber auch dieser Versuch erfolglos.

Wenn Sie Ihr eigenes PGP-Schlüsselpaar haben, können Sie folgendermaßen weitermachen: Geben Sie Ihren öffentlichen Schlüssel an jeden weiter, fügen Sie ihn in Ihre E-Mail-Signatur ein, geben Sie ihn direkt an Freunde, die ihnen am häufigsten schreiben. Diese müssen ein ähnliches Programm von PGP/GPG installieren, um ihre Nachrichten mit Ihrem öffentlichen Schlüssel zu verschlüsseln. Niemand kann dann die Nachrichten entschlüsseln, denn mit dem öffentlichen Schlüssel ist dies nicht möglich. Nur Sie können die Nachrichten mit Ihrem privaten Schlüssel entschlüsseln. Wenn Sie verschlüsselt antworten möchten, müssen Sie dafür den öffentlichen Schlüssel Ihres Freundes verwenden.

Die digitale Signatur läuft genau andersherum: Wenn Sie eine Nachricht schicken, signieren Sie diese mit Ihrem privaten Schlüssel. Jeder andere kann die Nachricht dann mit Ihrem öffentlichen Schlüssel verifizieren und sicherstellen, dass Sie wirklich von Ihnen signiert und auf dem Weg nicht verändert wurde. Das mag etwas kompliziert klingen, doch mit einem richtig konfigurierten E-Mail-Programm können Sie die Verschlüsselung und das Signieren mit nur zwei Mausklicks erledigen:

Nun kennen Sie die schweren Anfänge von PGP, wissen, warum das Programm entwickelt wurde, und kennen unsere grundlegenden Tipps dafür. Ich hoffe, das hat Sie motiviert, PGP einmal selbst auszuprobieren und für die Verschlüsselung/Signierung Ihrer Dateien und Informationen zu verwenden. Um seine Privatsphäre muss sich jeder von uns selbst kümmern, wenn er ein Teil der Online-Welt sein will. Mit den verfügbaren Programmen ist das ganz einfach, und Sie werden es sich früher oder später selbst danken, den ersten Schritt in diese Richtung getan zu haben.

Regierungen und Geheimdiensten ist ihre Privatsphäre wichtig – Gesetzesbrechern ebenfalls. Doch was ist mit dem normalen Anwender? Früher musste man viel Geld für militärisch-sichere Verschlüsselung zahlen, bis PGP auftauchte. Der normale Anwender konnte seine Kommunikation und seine Informationen bis dahin nicht geheim halten, und das wollten auch andere nicht. Der Bedarf war vorhanden, und nach 20 Jahren zeigt PGP, dass es das Recht auf Freiheit und Privatsphäre absolut schützen kann.