Login
Newsletter
Werbung

Fr, 18. Februar 2005, 00:00

Der GNU Privacy Guard

Dieser Artikel beschreibt die Nutzung von GNU Privacy Guard (GnuPG), einem freien OpenPGP-kompatiblen Verschlüsselungssystem.

Persönliches Vorwort

GnuPG-Logo

Stephan Beyer

GnuPG-Logo

Aus Neugier, um nicht immer »nur mal davon gehört zu haben«, beschäftigte ich mich 2001 mit GnuPG, dem GNU Privacy Guard. Allerdings verlor ich meinen Private Key wegen eines Versehens und hatte kein Backup. Nun wollte ich mich wieder einmal dazu aufraffen und mir GnuPG einrichten, surfte dazu auf »eine der größten deutschsprachigen Seiten zum Thema Linux und Open Source«... und war entsetzt! Es wurde kein Artikel zu GnuPG auf pro-linux.de gefunden. Also: Selber schreiben. Schließlich will ich auch beim nächsten Datenverlust schnell wieder mit GnuPG zurechtkommen. Natürlich gibt es neben diesem Artikel auch ausreichend andere Dokumentation zu GnuPG (Kurzanleitungen, Mini-HOWTO, Manuals, ...).

Bevor ich mich damit beschäftigte, war ich der Ansicht, dass ich keine verschlüsselten E-Mails brauche: Selbst wenn wirklich die Mail-Dienstanbieter, Werbeforscher, Geheimdienste, andere staatliche Institutionen oder gar die Illuminaten meine E-Mails lesen, immerhin liest jemand meine Mails :-) Trotzdem kann man sich gerade bei heiklen Themen eine sichere Privatsphäre im E-Mailverkehr gönnen und man wird immer eindeutig identifiziert - mit digitalen Unterschriften ist es sogar möglich, auf elektronischem Wege Verträge zu schließen. GnuPG bietet also schon Vorteile und deswegen sollte ein kleiner Artikel wie dieser hier auch auf pro-linux.de zu finden sein.

Da ich mit mir allerdings nicht ganz zufrieden war, habe ich den Artikel (im Februar 2005) einmal überarbeitet, und hoffe, dass er nicht nur länger (die Größe hat sich verdoppelt!), sondern auch besser als die alte Version geworden ist. :-) Wem es zu viel Text ist: überfliegen ist die Lösung. Feedback erwünscht.

Wozu GnuPG?

Der GNU Privacy Guard (»Privacy« im Sinne von »Datenschutz«, »Privatsphäre« oder »Briefgeheimnis«; »Guard« entspricht »Schutz«, »Wache« oder »Wächter«) kann, wie der Name vermuten lässt, Informationen und Daten vor Fremden durch Verschlüsselung schützen. Ebenso lassen sich damit Daten signieren (unterschreiben), wodurch man sie später auf Integrität und Urheberschaft prüfen kann, also schauen, ob diese Daten verändert wurden und ob sie wirklich von der Person sind, von der sie zu sein scheinen. Sehr oft wird es für E-Mails benutzt, daher beziehe ich mich im Folgenden auch oftmals auf E-Mails.

Warum verschlüsseln?

In vielen Unternehmen spielt Verschlüsselung schon lange eine Rolle zur Wahrung von Geschäftsgeheimnissen oder zum Datenschutz der Mitarbeiter. Dagegen soll es in so manchem Unternehmen auch vorkommen, dass für das Unternehmen überlebensnotwendige Daten oder eine Kunden- oder Personaldatenbank (mit Adressen, Gehältern, etc.) unverschlüsselt per E-Mail übertragen werden. Vielleicht ein Grund, warum das deutsche Bundeswirtschaftsministerium GnuPG im Jahr 2001 sogar finanziell gefördert hat.

Auch im privaten Leben hat man Geheimnisse, die man wahren will. Sei es die PIN der EC-Karte oder die liebevolle E-Mail der aktuellen Affäre. Viele Menschen meinen, dass sie nichts zu verbergen haben und es ihnen nichts ausmacht, wenn z.B. ihre E-Mails von Fremden oder Bekannten mitgelesen werden. Ich sehe das anders. Nicht umsonst wurde das Briefgeheimnis im Grundgesetz der BRD als unverletzlich verankert (...auch wenn diese Unverletzbarkeit im Abschnitt 2 des Artikels wieder beschränkt wird). Viele sind sich auch einfach nicht bewusst, dass ihre E-Mails oft über mehrere Server wandern, bevor sie am Ziel sind, und man somit diesen vielen Serverbetreibern indirekt blind vertraut. Im Grunde entspricht eine E-Mail einer Postkarte: der Postbote kann sie lesen, und auch jemand, der mit etwas Geschick in Ihren Briefkasten schaut.

Warum signieren?

Schon mal Spam erhalten, worin Sie selbst angeblich der Absender waren? In den From:-Header einer E-Mail lässt sich alles schreiben, d.h. jeder könnte sich als Sie ausgeben. Das ist in der Regel nicht zu verhindern, aber man kann solche E-Mails entkräften, indem man seine echten E-Mails konsequent signiert. Diese Signatur nachzuahmen, ist ohne Ihren Private Key geradezu unmöglich.

Als Autor von Software möchte man sich auch nichts Schlechtes nachsagen lassen. Was aber, wenn die neue Version von FooXY Daten aus dem Home-Verzeichnis löscht, einen ausspioniert, oder Ähnliches? Da könnte ein Cracker am Werk gewesen sein und FooXY entsprechend verändert haben. Dazu bedarf es nicht mal eines Crackers: Gerade Open-Source-Software wird ziemlich vielfältig auf Mirrors im Internet verteilt. So gibt sich jemand böswillig als inoffizieller Mirror aus, bietet aber eine fehlerhafte Version des Programms zum Download an. Verhindern lässt sich das nicht unbedingt, aber wenn der Autor seine herunterladbaren Dateien signiert, kann jeder überprüfen, ob die Dateien in dieser Form wirklich von diesem Autor sind. Auch bei nicht-freier Software spielt das eine Rolle, denn auch hier besteht die Möglichkeit, dass die Programmdateien von Zweitanbietern mit Viren verseucht werden.

Es ist nicht nur möglich, seine Dateien und E-Mails zu signieren, sondern auch Schlüssel zu signieren. Hiermit bestätigt man die reale Existenz und die korrekte Identität einer Person. So ist es geradezu sinnvoll, dies zu tun, denn man verhindert Man-in-the-Middle-Attacken, bei der sich ein Angreifer mit seinem öffentlichem Schlüssel als Kommunikationspartner ausgibt. Auf dieser Basis entsteht ein Vertrauensnetz, englisch: Web of Trust. Dazu später mehr.

Kommentare (Insgesamt: 0 )
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung