PGP

PGP? GnuPG? WTF?

 

Wenn Sie diese Seite lesen, sind Sie vermutlich über den Link in meiner eMail-Signatur oder über den Link auf meinem Blog hierhin gekommen. Und das ist auch gut so 😉

Was soll das Ganze?

Meine eMails sind mit einer elektronischen Signatur versehen, die ungefähr so aussieht:

Am Anfang einer Mail:

—–BEGIN PGP SIGNED MESSAGE—–

Hash: SHA1

Und am Ende:

—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.22 (MingW32)
Comment: Using GnuPG with Thunderbird – http://www.enigmail.net/
iQEcBAEBAgAGBQJSvcWNAAoJEBSoJp8+USUSxG0H/1iU3c1EJm14cYoZQg5BhaP4
V+ykiuvTUNkqz6vB1I3DKUW1r32frLuMLXwbRjK51L6+U6rHfsj6RR1tQFc7Q2Qy
W40nw9+nh8iaDttoCsuKr1H5VQAe7/mN2mSJVTMMz0J2jIJqQQ3I0InZlGoTFOJP
bs1v1d3RgcIwCelZnQ2rCZU+ZD5Gfx7Ivmvgk1rBVTudSHPd6SnO7KeyGtW6MhEN
X4+XMLY6FtqclrYKx4x8jD0izBXvYiOsbnybtDDaRvvoDg8izPww7sEHLF39zj6+
icrq7U/y48c7vm1esbds9YKzzxiQpZJPK6i6l+PAkqKfWqFPkqsik6rFeZPrMtE=
=TR/S
—–END PGP SIGNATURE—–

Was soll das nun?

PGP – oder „Pretty Good Privacy“ ist ein Standard, mit dem man eMail im Internet sicher übertragen kann. Dieses „Sicher“ unterteilt sich dabei in zwei Abschnitte:

Signaturen

Mit einer Signatur wie im obigen Beispiel unterschreibe ich eine eMail mit einem sicheren Verfahren. Das bedeutet, dass der Empfänger der eMail erstens zweifelsfrei feststellen kann, dass diese Mail wirklich von mir stammt und zweitens, dass die eMail nicht verändert wurde. Das ist besonders wichtig beim Versand von Anhängen: Jemand der eine eMail von mir ohne Signatur bekommt, sollte diesen Anhang auf keinen Fall öffnen, bevor er nicht Rücksprache mit mir gehalten hat.

Denn nur, wenn eine Signatur wie oben gezeigt angefügt ist und diese entsprechend überprüft wurde, kann man sicher sein, dass ich diese Datei willentlich weiter geleitet habe!

Verschlüsselung

Wenn nun jemand anderes ebenfalls PGP verwendet, können wir Mails auch verschlüsselt austauschen. Dann sieht die gesamte Mail etwa so aus, wie die Signatur: Völlig unlesbar für außen stehende.

Erst eine verschlüsselte eMail ist ein Brief. Alles andere sind Postkarten, die auf dem Weg zum Empfänger theoretisch jeder Administrator der beteiligten Server lesen kann. Das gilt auch, wenn der Transport verschlüsselt wird, wie gerade von den großen Mailprovidern beworben: Auf den Servern liegen die Mails im Klartext! (siehe z. B. Die Zeit“ vom 09.08.13)

Wie geht’s?

Die schlechte Nachricht zuerst: der wohl populärste eMail-Client, Windows Live Mail, unterstützt anders als sein Urahn Outlook Express nicht die Einbindung von PGP, weil – Überraschung – Microsoft hier einen eigenen Weg gehen will.

Jetzt die gute Nachricht: Mit Outlook und den meisten anderen Programmen geht’s problemlos.

Was kotest es?Nichts.

Wirklich.

Zumindest für den Heimbedarf sind alle drei Softwareteile kostenlos.

Was bringt es?

Nach der Installation ist die Software erst mal recht still. Wenn dann aber eine unterschriebene oder verschlüsselte eMail ankommt, wird sie vom eMail-Client automatisch entschlüsselt / geprüft. Notwendige Schlüssel kann die Software in der Regel automatisch von einem der dazu verfügbaren Server laden.

Dann gibt es zwei Möglichkeiten:

  1. Etwas mit der eMail, dier Signatur oder dem Schlüssel stimmt nicht: fehler
  2. Alles okay: ok

Leuchtet der Kopf grün, weiß ich, dass die eMail wirklich von dem Absender stammt und kann auch Anhänge mit ruhigerem Gewissen öffnen. Natürlich ersetzt PGP nicht Brain.exe, aber es hilft zumindest. Leuchtet es rot, ist entweder der Schlüssel nicht verfügbar, oder es besteht ein Problem. Ist mit dem Schlüssel alles okay, erst mal Finger weg und nachfragen.

Details

PGP arbeitet mit asynchronen Schlüsseln. Das bedeutet, dass jeder Schlüssel aus zwei Teilen besteht: Einem öffentlichen und einem privaten Teil. Während ich den öffentlichen Teil nach Herzenslust verteilen kann und soll, ist der Private unbedingt Geheim zu halten. Und nur für den Privaten brauche ich auch ein Kennwort.

Will mir jemand eine verschlüsselte Mail senden, braucht er dafür meinen öffentlichen Schlüssel, mit dem verschlüsselt er die Mail. Entschlüsseln kann man sie dann nur  noch mit meinem geheimen. Deswegen verschlüsselt man üblicherweise mit dem eigenen geheimen Schlüssel und dem öffentlichen Fremden: So kann er und ich die Mail lesen. Würde ich nur seinen Key nutzen, würde ich selbst die Mail nicht mehr lesen können 😉

Unterschrieben wird immer mit dem geheimen Schlüssel und dem Kennwort. Geprüft wird die Unterschrift dann mit dem öffentlichen Schlüssel.

Dabei kann ein Schlüsselpaar durchaus mehrere Adressen repräsentieren, meiner z. B. die unkreativ- und die Nummern-Domain.

Und Schluss

Ich verzichte hier jetzt bewusst auf eine Anleitung zur Installation – davon kennt Google genug. Ich biete aber natürlich an, Euch zu helfen wenn Ihr gerne mit PGP&GnuPG arbeiten wollt. Ihr könnt euch dann melden und ich richte es gern zusammen mit Euch ein.

Meine Keys

Und falls Ihr keine Lust habt, Euch meine Schlüssel herunter zu laden, hier sind meine beiden:

1) privat

2) grüne