Verschlüsselung

PGP Fingerprint B3EF 9582 BC0A FA5D E53F 4E13 1D72 FF0E 4676 1C91
PGP Public Key
michaelbuechner-0x46761C91.asc

Die Kommunikation über das Simple Mail Transfer Protocol (SMTP), die zum versenden von E-Mails notwendig ist, muss als unsicher angesehen werden! Das Protokoll lässt es zu, dass beliebige Absender (Hosts und E-Mail-Adressen!) definiert werden können, es existieren keine Prüfwerte und erst recht keine Verschlüsselung. Beim Weiterleiten (Relaying) von E-Mails im internationalen Datenwirrwarr, ist es nicht selten das offene Relays missbraucht werden. Provider bieten zwar meist sichere Authentifizierungsmöglichkeiten (»Secure SMTP over TLS« oder SSL) an, aber dies macht die E-Mail trotzdem zu keinem sicheren Kommunikationsmedium. Authetizität, Vertraulichkeit und Datenintegrität sind nicht gewährleistet!

Das von Philip R. Zimmermann entwickelte Pretty Good Privacy (PGP) bietet die Möglichkeit Nachrichten so zu verschlüsseln, dass diese nur vom Empfänger gelesen werden können. Dies passiert Client-seitig, also auf dem Computer zu Hause. Grundlage ist die asymmetrische Verschlüsselung mit zwei, zueinander passenden, aber verschiedenen Schlüsseln: Dem privaten Schlüssel -K zur Entschlüsselung und der öffentliche Schlüssel +K zur Verschlüsselung. Mit dem öffentlichen Schlüssel können Daten nur verschlüsselt werden. Die Entschlüsselung ist ausschliesslich mit dem privaten Schlüssel möglich.

Es gibt ganz unterschiedliche Verschlüsselungsalgorithmen und alle beruhen auf bekannten Problemen aus der Mathematik (z. B. Zerlegung großer Ganzzahlen in Primfaktoren oder das Finden des Logarithmus einer Zahl zu einer gegebenen Basis in endlichen Körpern). PGP nutzt den von Rivest, Shamir und Adleman am MIT entwickelt RSA-Verschlüsselungsalgorithmus.

Beispiel

Alice möchte eine Nachricht verschlüsselt an Bob senden. Dazu benötigt sie den öffentlichen Schlüssel +KB von Bob. Diesen hat sie aus einer vertrauenswürdigen Quelle (persönlich, »Web-of-Trust« oder auch von seiner Webseite) erhalten und sie kann sicher sein, dass dieser korrekt ist (ein Schlüssel kann Authentifizierungsmerkmale aufweisen, z. B. Bild des Besitzers)! Alice schickt also die verschlüsselten Daten per E-Mail an Bob. Dort angekommen kann dieser den verschlüsselten Text wieder entschlüsseln. Die verschlüsselte Nachricht kann von niemanden außer Bob mit seinem privaten Schlüssel -KB entschlüsselt werden. Um den Diebstahl eines privaten Schlüssels zu erschweren ist dieser zudem mit einem Passwort geschützt.

Alice kann die E-Mail für Bob übrigens auch signieren, d. h. digital unterschreiben. Dazu wird ein Prüfwert der Nachricht mit dem privaten Schlüssel -KA von Alice erstellt und an die E-Mail angehangen. Bob kann dann mit dem öffentlichen Schlüssel +KA von Alice nachprüfen, ob die E-Mail tatsächlich von Alice stammt und ob diese modifiziert wurde.

Software

Zum Verschlüsseln von E-Mails gibt es eine ganze Reihe von Software. Zum einen die kommerziellen Produkte wie PGP Desktop EMail (auch Freeware-Version erhältlich) oder auch freie Software wie GnuPG (Gnu Privacy Guard). Ich persönlich nutze das Thunderbird-Plugin Enigmail. Weitere Plugins sind EudoraGPG für Eudora oder GPGoe für Outlook Express. Weiterhin zu nennen sind noch Desktop-Integrationen: GPGee (GNU Privacy Guard Explorer Extension) oder WinPT (Windows Privacy Tray). Eine Systemintegration ist GPGrelay.

Kommentar