Inforiot

Alternative News & Termine für Brandenburg

E-Mail-Verschlüsselung mit PGP

PGP – was ist das?

PGP – was ist das?

PGP ist das Ver­schlüs­se­lungs­ver­fah­ren, dass sich we­gen sei­ner Si­cher­heit, trotz al­ler Be­hin­de­run­gen durch ame­ri­ka­ni­sche Re­gie­rungs­be­hör­den, als De-facto-Stan­dard durch­ge­setzt hat. PGP ar­bei­tet mit dem Pu­blic-Key- (Öffent­li­cher Schlüssel)-Verfahren. An­wen­de­rIn­nen be­sit­zen zwei Schlüs­sel, ei­nen öffent­li­chen und ei­nen ge­hei­men. Daten, die mit dem ei­nen Schlüs­sel ko­diert sind, kön­nen nur mit dem je­weils an­de­ren wie­der de­ko­diert wer­den. Mit dem Pu­blic-Key ei­ner Adres­sa­tIn ver­schlüs­selte Nach­rich­ten kannst nur du selbst mit dei­nem dazu pas­sen­den ge­hei­men Schlüs­sel wie­der ent­schlüs­seln. Gleich­falls kann eine Si­gna­tur (di­gi­tale Un­ter­schrift), die mit dem ge­hei­men Schlüs­sel der Ab­sen­de­rIn er­stellt wurde, nur mit dem pas­sen­den öffent­li­chen Schlüs­sel ent­zif­fert wer­den. Au­ßer­dem gibt es Me­cha­nis­men, mit de­nen die Echt­heit des er­hal­te­nen öffent­li­chen Schlüs­sels oder der di­gi­ta­len Si­gna­tur ge­prüft wer­den kann. Der ge­heime Schlüs­sel ist mit ei­nem Pass­wort (Man­tra) ge­schützt. Ei­gent­lich sollte es selbst­ver­ständ­lich sein, we­gen der Wich­tig­keit aber trotz­dem an die­ser Stelle er­wähnt wer­den: Ge­heim ist na­tür­lich nur, was ge­heim ge­hal­ten wird und das beste Ver­schlüs­se­lungs­ver­fah­ren hilft nicht, wenn beide Schlüs­sel zu­sam­men, wo­mög­lich mit dem Man­tra, auf­be­wahrt wer­den.

Das hört sich fürch­ter­lich kom­pli­ziert an. Et­was Aus­ein­an­der­set­zung mit PGP ist für seine An­wen­dung auch vom Si­cher­heits­stand­punkt er­for­der­lich. Hat mensch das Prin­zip ein­mal be­grif­fen und ar­bei­tet auch mit ei­nem Pro­gramm, wel­ches PGP un­ter­stützt, ist das Ver­schlüs­seln von Nach­rich­ten so ein­fach wie Brief­um­schläge zu­kle­ben.

Warum ei­gent­lich PGP be­nut­zen?

PGP schützt die Pri­vat­sphäre. Ob du nun eine po­li­ti­sche Kam­pa­gne planst, über dein Ein­kom­men re­dest oder eine Af­färe ge­heim hal­ten willst, ob du über et­was re­den willst, das (dei­ner Mei­nung nach zu Un­recht) il­le­gal ist oder ob du Daten spei­chern, trans­por­tie­ren und ver­sen­den musst, die un­ter das Daten­schutz­ge­setz fal­len (z.B. Sys­tem­be­treuer, die ihre User­da­ten über eine Te­le­phon­lei­tung trans­por­tie­ren), ob du manch­mal Nach­rich­ten schrei­ben willst, von de­nen an­dere ge­nau wis­sen sol­len, dass sie von dir stam­men oder ob du eben dies bei Nach­rich­ten von an­de­ren prü­fen willst (z.B. bei elek­tro­ni­schen Be­stel­lun­gen oder von dir ge­schrie­be­nen Pro­gram­men oder Pres­se­mit­tei­lun­gen) oder ob du ein­fach nur selbst ent­schei­den willst, wer deine pri­vate Post liest – die meis­ten Men­schen, die E-Mail nut­zen, wer­den PGP frü­her oder spä­ter ver­wen­den kön­nen.

Wenn du dich da­vor sträubst, deine pri­va­ten Mails zu ver­schlüs­seln: Warum ver­wen­dest du ei­gent­lich (ver­schlos­sene) Brief­um­schläge? Neh­men wir ein­mal an, es sei die gän­gige An­sicht, brave Bür­ger bräuch­ten keine Brief­um­schläge zu ver­wen­den. Wenn nun ir­gend je­mand aus ir­gend­ei­nem Grund ei­nen Brief­um­schlag ver­wen­den würde (meh­rere Blät­ter, ein Lie­bes­brief, den die Mut­ter des Adres­sa­ten nicht le­sen soll etc.), dann wäre dies höchst ver­däch­tig. Glück­li­cher­weise ver­wen­den die meis­ten Men­schen Brief­um­schläge, doch bei elek­tro­ni­schen Brie­fen ist dies bis­lang noch nicht der Fall. Da­bei sind die elek­tro­ni­schen Daten­wege (rein tech­nisch) sehr viel leich­ter zu über­wa­chen als kon­ven­tio­nelle Brief­post, und elek­tro­ni­sche Nach­rich­ten kön­nen auch sehr schnell auf be­stimmte Reiz­worte durch­sucht wer­den.

Gehst du ei­gent­lich re­gel­mä­ßig zum AIDS-Test? Möch­test du dich re­gel­mä­ßig auf il­le­ga­len Dro­gen­kon­sum un­ter­su­chen las­sen? Ver­langst du nicht ei­nen rich­ter­li­chen Durch­su­chungs­be­fehl, wenn die Po­li­zei bei dir eine Haus­durch­su­chung ma­chen will? Hast du am Ende et­was zu ver­ber­gen? Wahr­schein­lich bist du ein Dro­gen­dea­ler, ein Falsch­par­ker oder ein Sub­ver­si­ver, wenn du Brief­um­schläge be­nutzt. Was wäre, wenn es der all­ge­mei­nen Auf­fas­sung ent­sprä­che, recht­schaf­fende Bür­ger soll­ten all ihre Post auf Post­kar­ten schrei­ben? Wenn ein bra­ver Mensch auf die Idee käme, sein Brief­ge­heim­nis durch ei­nen Um­schlag zu schüt­zen, wäre das höchst ver­däch­tig. Si­cher­heits­be­hör­den wür­den viel­leicht je­den Brief­um­schlag un­ter­su­chen, um zu kon­trol­lie­ren, was er ver­birgt. Glück­li­cher­weise le­ben wir nicht in so ei­ner Welt – die meis­ten Men­schen ver­wen­den Brief­um­schläge, so dass ein Brief­um­schlag auch nichts Ver­däch­ti­ges ist. Es wäre schön, wenn alle E-Mails ver­schlüs­selt wür­den, ob sie nun ver­bo­tene Nach­rich­ten ent­hält oder nicht, so dass die Ver­schlüs­se­lung von E-Mails ge­nauso we­nig ver­däch­tig wird wie das Ver­wen­den von Brief­um­schlä­gen.

Wenn Si­cher­heits­be­hör­den das Brief- oder Te­le­fon­ge­heim­nis bre­chen wol­len, musst du ei­ni­gen Auf­wand be­trei­ben. Du musst den Um­schlag aus dem Post­weg her­aus­fi­schen, ihn durch­leuch­ten, aus dem Er­geb­nis mit Hilfe ei­nes auf­wen­di­gen Com­pu­ter­pro­gramms die ein­zel­nen Sei­ten ex­tra­hie­ren und das Ganze dann le­sen. Das Ab­hö­ren von Te­le­phon­ge­sprä­chen ist sehr zeit­in­ten­siv, und auch eine Trans­skrip­tion kos­tet Zeit. Eine so ar­beits­in­ten­sive Über­wa­chung kann nicht im gro­ßen Stil be­trie­ben wer­den, von Reiz­wort-er­ken­nen­den Ma­schi­nen ein­mal ab­ge­se­hen. Aber auch die sind sehr auf­wen­dig und au­to­ma­ti­sie­ren le­dig­lich die Vor­aus­wahl der­je­ni­gen Texte, die an­schlie­ßend von Men­schen kon­trol­liert wer­den. Die ak­tu­elle Ent­wick­lung in Deutsch­land sieht nicht viel ro­si­ger aus: Nach IuKDG (Ge­setz über In­for­ma­ti­ons- und Kom­mu­ni­ka­ti­ons­dienst­leis­tun­gen) sind Dienst­an­bie­ter ver­pflich­tet, den „Be­darfs­trä­gern“, also den staat­li­chen Er­mitt­lungs­be­hör­den, auf ei­gene Kos­ten ei­nen Zu­gang zur Ver­fü­gung zu stel­len (das läuft auf eine oder meh­rere Stand­lei­tun­gen quer durch Deutsch­land hin­aus), über die die Be­am­ten ohne Wis­sen des An­bie­ters auf die Kun­den­da­ten zu­grei­fen und je­der­zeit eine Über­wa­chung des Te­le­fon- und E-Mail-Ver­kehrs ver­an­las­sen kön­nen. Nimmt man noch hinzu, dass im Jahre 1997 der „große Lausch­an­griff“ ver­ab­schie­det wurde, ein Ge­setz, dass das Ab­hö­ren von Pri­vat­woh­nun­gen bis auf we­nige Aus­nah­men fast zur Rou­ti­ne­an­ge­le­gen­heit wer­den lässt, muss die Frage ge­stat­tet sein, wes­halb der Staat be­rech­tigt sein soll, der­art tief­grei­fend in die Pri­vat­sphäre un­be­schol­te­ner Bür­ger ein­zu­grei­fen. Diese Frage ist umso be­deu­ten­der, wenn man be­denkt, dass die Rea­li­tät nicht so aus­sieht, als wür­den die ge­won­ne­nen Er­kennt­nisse und Daten le­dig­lich zu den Er­mitt­lungs­zwe­cken ein­ge­setzt, zu de­nen sie er­ho­ben wur­den. Nä­he­res er­fährst du in den Tä­tig­keits­be­rich­ten der Daten­schutz­be­auf­trag­ten, die dir die Lan­des­be­auf­trag­ten für den Daten­schutz auf An­frage gerne zu­sen­den.

——————————

In­stal­la­ti­ons-An­lei­tung zur PGP-Kom­mu­ni­ka­tion mit Mo­zilla Thun­der­bird:

Die In­fo­riot Re­dak­tion emp­fiehlt, dass ihr euch „Mo­zilla Thun­der­bird“ mit der GnuPG-Er­wei­te­rung „Enig­mail“ run­ter­la­det. Mo­zilla Thun­der­bird ist ein Email­ver­wal­tungs- pro­gramm mit dem ihr eure Mails vom Ser­ver auf eu­ren Rech­ner oder USB-Stick ziehen/kopieren und off­line be­ar­bei­ten könnt. Hinzu kommt Enig­mail, das es euch ver­ein­facht Mails zu ver­schlüs­seln. Und aus si­cher­heits­tech­ni­schen Grün­den packt diese gan­zen Daten auf ei­nen USB-Stick, den ihr zum Mails che­cken im­mer an­schließt.

Also ganz kurz:

1. Ihr la­det euch Mo­zilla Thun­der­bird oder für den USB-Stick Por­ta­ble Thun­der­bird her­un­ter und in­stal­liert die­ses Pro­gramm,

2. Wenn ihr Enig­mail her­un­ter­ge­la­den habt, dann geht ihr im Thun­der­bird Menü auf Ex­tras > Er­wei­te­run­gen… und klickt auf In­stal­lie­ren. Dort könnt ihr nun Enig­mail (enigmail-*.xpi) aus­wäh­len. Be­stä­tigt mit Öff­nen und folgt den An­wei­sun­gen.

3. Als letz­tes la­det ihr euch das ei­gent­li­che Ver­schlüs­se­lungs­pro­gramm GnuPG her­un­ter. Da­nach zieht ihr die­sen Ord­ner mit in eu­ren Thun­der­bird-Ord­ner, da­mit ihr ihn nicht mehr ver­liert.

4. Jetzt er­stellt ihr euch ei­nen neuen Schlüs­sel. Da­bei geht ihr im Thun­der­bird Menü auf Open PGP > Schlüs­sel ver­wal­ten… und im nächs­ten Menü auf Er­zeu­gen > Neues Schlüs­sel­paar… Hier gebt ihr eure Pass­phrase (Pass­wort) zwei mal ein und sucht euch die rest­li­chen Op­tio­nen aus.

5. Wenn ihr eu­ren Schlüs­sel ohne Pro­bleme er­zeu­gen konn­tet, sucht ihr den GNUPG ord­ner auf eu­rer Fest­platte, wo nun der öffent­li­che und der pri­vate Schlüs­sel ent­hal­ten sind, her­aus und ko­piert die­sen eben­falls in eu­ren Thun­der­bird-Ord­ner.

6. Wenn ihr ganz und gar nicht klar ge­kom­men seid, eine gute An­lei­tung fin­det ihr hier.

Eine An­lei­tung für Ein­stei­ge­rIn­nen fin­det Ihr hier.

Text­aus­züge ge­klaut von:

PGP-Do­ku­men­ta­tion (pdf, 2.2 MB)

und hier (Rote Hilfe Zei­tung).

Inforiot