E-Mails mit PGP verschlüsseln
Tipps und Downloads für mehr E-Mail-Sicherheit
Wer Daten sicher über das Internet senden will, muss diese verschlüsseln, was über HTTPS oft schon automatisch geschieht. Aber was ist danach? HTTPS ist eine Transportverschlüsselung und entschlüsselt die Daten automatisch am Ziel. Sie liegen anschließend lesbar auf Cloud-Servern in den verschiedensten Ländern wie den USA und sind so für deren Behörden zugänglich. Da deutsche und europäische Unternehmen den Datenschutz gewährleisten müssen, hilft deswegen eine Verschlüsselung von Dateien und E-Mails mit PGP.
Pretty Good Privacy (PGP) bringt Sicherheit
Pretty Good Privacy, was man mit "ziemlich gute Sicherheit" übersetzen kann, ist ein Verschlüsselungsstandard, der auch von Edward Snowden verwendet wird, um Daten vor Unberechtigten zu schützen. Zudem wird er schon lange von heise Security favorisiert und durch die c't Krypto-Kampagne unterstützt. Denn Sicherheit bedeutet neben Verschlüsselung auch, dass man weiß, wer zu einem Schlüssel gehört – was bei der c't Krypto-Kampagne durch den Personalausweis sichergestellt wird.
Verschlüsselung und Zertifizierung
PGP bringt Schutz durch Verschlüsselung und erlaubt darüber hinaus, die Identität des Absenders zu verifizieren. Deswegen gibt es bei PGP zwei verschiedene Schlüssel — einen privaten und einen öffentlichen. Der private muss sicher im eigenen Besitz verwahrt sein und darf nie in die Hände Dritter gelangen. Der öffentliche PGP-Schlüssel ist allgemein zugänglich und kann auf der eigenen Webseite oder über E-Mails veröffentlicht und verteilt werden. Darüber hinaus gibt es zahlreiche Key-Server, auf die sich die öffentlichen Schlüssel hochladen lassen, damit jeder sie finden kann.
Der "MIT PGP Public Key Server" ist unter http://pgp.mit.edu/ erreichbar.
Im Vergleich zum Verschlüsselungsverfahren, wie es bei HTTPS eingesetzt wird, braucht man sich bei PGP kein Zertifikat von einer Certification Authority (CA) besorgen, die die Identität bestätigt. Die Vertrauenswürdigkeit wird von den PGP-Benutzer selbst in die Hand genommen. Ist zum Beispiel Person X sicher, dass ein Key der Person Y gehört, bestätigt er dies, in dem er diesen durch seinen eigenen Key signiert. Vertraut man der Person X, so kann man dadurch auch dem Schlüssel von Person Y vertrauen, der von X beglaubigt wurde.
Durch die c't Krypto-Kampagne wird über den Personalausweis sichergestellt, dass ein Key zu der Person gehört, die sich damit ausweist und anschließend mit dem Key von Heise signiert. So weiß jeder, dass ein über die c't Krypto-Kampagne signierter Key wirklich zu der betreffenden Person gehört und kann so eine E-Mail an sie mit ihrem öffentlichen PGP-Key verschlüsseln.
E-Mails und Dateien verschlüsseln
Ein Haupteinsatzgebiet für PGP ist die Verschlüsselung von E-Mails, damit nur der Empfänger die verschlüsselte Nachricht inklusive Anhang lesen kann. Deswegen wird eine E-Mail mit dem Schlüssel des Empfängers verschlüsselt, die nur dieser mit seinem geheimen privaten Schlüssel wieder entschlüsseln und somit lesen kann.
Dabei ist das Verfahren nicht auf einen Empfänger beschränkt. Zur Verschlüsselung von E-Mails kommen konkret zwei Arten von Schlüsseln zum Einsatz. Ein zufälliger Schlüssel zum Verschlüsseln der Nachricht und die jeweiligen öffentlichen Schlüssel der Empfänger zum Verschlüsseln des zufälligen Schlüssels für die verschlüsselte Nachricht.
Die Empfänger der E-Mails entschlüsseln mit ihrem privaten Schlüssel den zufälligen Schlüssel, der dann den Inhalt der E-Mail entschlüsselt, sodass der berechtige Empfänger sie lesen kann. Der Vorteil bei diesem Verfahren ist, dass der Verschlüsselungsaufwand reduziert wird. Denn der große E-Mail-Inhalt mit Nachricht und Anhang wird so nur einmal verschlüsselt und nicht für jeden Empfänger erneut, was zudem die E-Mail immer größer werden ließe.
Diese Art der PGP-Verschlüsselung ist nicht auf E-Mails beschränkt. Denn man kann über PGP auch Dateien verschlüsseln, die nur von bestimmten Personen geöffnet werden dürfen. Aber auch das Signieren ist mit PGP möglich.
E-Mails und Dateien signieren
Nicht nur das Verschlüsseln von Daten ist wichtig, sondern auch deren Ursprung. Wer vertrauliche Daten erhält und danach handelt, muss wissen, ob der Absender wirklich der ist, für den er sich ausgibt. Hier kommt der private Schlüssel des Absenders zum Einsatz, mit dem sich Daten signieren lassen. Der Empfänger kann diese Signatur dann mit dem öffentlichen Schlüssel des Absenders überprüfen.
Beim E-Mail-Versand lässt sich so eine E-Mail mit dem eigenen privaten Schlüssel signieren und anschließend mit dem öffentlichen Schlüssel des Empfängers verschlüsseln, um Sicherheit und Authentizität zu gewährleisten.
Signaturen findet man auch bei Software, deren Herkunft sichergestellt werden muss. Über Hashwerte, die zum Beispiel mit dem MD5-, SHA-1- oder SHA-512-Verfahren erstellt wurden, kann man nur prüfen, ob eine Software unverändert ist und beim Download nicht durch einen Man-in-the-Middle-Hacker-Angriff verändert wurde. Aber man weiß nicht, ob eine Software wirklich vom Hersteller kommt. Denn schließlich könnte eine Webseite gehackt und der Downloadlink sowie der angegebenen Hashwert geändert worden sein.
Ist eine Datei mit PGP signiert worden, lässt sich deren Urheber überprüfen. Deswegen sind auf Downloadseiten hin und wieder Signaturdateien angegeben, die die Endung ASC haben und davor so benannt sind, wie die signierte Datei. Hat man sich den öffentlichen Schlüssel des Herstellers besorgt, kann man zusammen mit der signierten Datei und der Signaturdatei die Authentizität prüfen.
Tools für PGP
Um PGP nutzen zu können, braucht man Software, die auf OpenPGP oder GnuPG basiert. Beide Standards gehen auf das von Phil Zimmermann 1991 entwickelte PGP zurückgehen und sind im Laufe der Vergangenheit entstanden — aber nicht unbedingt miteinander kompatibel. Denn es kommen unterschiedliche Verfahren wie RSA, ElGamal encryption, DSA, Triple DES und SHA-1 zum Einsatz. Entsprechend bietet es sich an, Standard-Vorschläge der Software bei der Schlüsselerzeugung anzunehmen, damit Probleme beim Versenden verschlüsselter E-Mails möglichst vermieden werden.
Bei den von uns vorgestellten Tools kommt in der Regel GnuPG von der Free Software Foundation zum Einsatz und ist für Linux, Mac OS X sowie Windows erhältlich. Bei Ubuntu ist GnuPG bereits vorinstalliert, das Windows-Nutzer mit Gpg4win nachinstallieren müssten. Für andere Linux-Distributionen und Mac OS X ist der GNU Privacy Guard erhältlich. Danach kann man auf der Kommandozeile arbeiten oder sich ergänzend ein grafisches Programm wie die GPGshell installieren, dass die Nutzung von PGP erleichtert.
PGP-Tools (11 Bilder)
Für den Versand von E-Mails kommen Erweiterungen für E-Mail-Clients wie das Outlook Privacy Plugin oder Enigmail für Thunderbird zum Einsatz. Enigmail kümmert sich zum Beispiel um die Schlüssel-Erzeugung und Verwaltung eigener und fremder Schlüssel. Zudem nimmt es das Signieren und Verschlüsseln von zu versendenden E-Mails vor, entschlüsselt eingegangenen E-Mails und überprüft eine enthaltenen Signatur.
Fazit
Mit PGP und die zugehörigen Tools erhöhen die Sicherheit im Internet beim Herunterladen von Software, das Speichern von Dateien in der Cloud und Versenden von E-Mails. PGP verschlüsselt dabei Daten nicht nur, sondern signiert sie auch auf Wunsch, damit man den Urheber überprüfen kann.
Mit den grafischen Benutzeroberflächen für Windows, Mac OS X und Linux entfällt die Bedienung auf der Kommandozeile, die aber auch möglich ist. Wer nur E-Mails versenden will kann auf Enigmail für Thunderbird zurückgreifen.
Ohne etwas Einarbeiten geht es aber nie, doch so schlimm ist der Aufwand nicht und die Sicherheit der Daten sollte dies Wert sein — vor allem dann, wenn gesetzliche Vorgaben dies auch noch vorschreiben.
Nutzt ihr bereits PGP? Teilt eure Erfahrungen doch in den Kommentaren.
Kommentare
{{commentsTotalLength}} KommentarKommentare
{{line}}