Schlagwort-Archive: PGP

OpenPGP – sichere E-Mail-Kommunikation ist viel einfacher als man meint

PGP ist die Abkürzung von Pretty Good Privacy, einem Verschlüsselungsprogramm, das von Philip R. Zimmermann Anfang der 90er-Jahre des letzten Jahrtausends entwickelt wurde. PGP unterstützt eine asymmetrische Verschlüsselung bestehend aus einem öffentlichen Schlüssel und einem privaten Schlüssel. Ein Adressat verfügt stets über beide Schlüssel.

Die Verschlüsselung einer Nachricht erfolgt mit dem öffentlichen Schlüssel. Dieser Schlüssel ist nicht geheim und kann von jedem benutzt werden, der eine Nachricht an den Adressaten verschlüsseln möchte. Diese Nachricht kann mit dem öffentlichen Schlüssel nicht mehr entschlüsselt werden. Man benötigt zwingend den zum öffentlichen Schlüssel passenden privaten Schlüssel. Da beide Schlüssel auf eine bestimmte Weise mathematisch verbunden sind, hört man oft auch den Begriff „Schlüsselpaar“.

Mit PGP als Software konnte man solche Schlüsselpaare erzeugen und Nachrichten ver- und entschlüsseln. Die Handhabung der Software war orientiert an einer Kommandosprache. Eine grafische Benutzerschnittstelle existierte nicht. Das machte den Umgang mit PGP zu einem Unterfangen, das eine gewisse Expertise im Umgang mit Computern vorraussetzte. Ich habe seinerzeit PGP benutzt, aber es war mehr ein Ausprobieren, als eine ernsthafte Nutzung. Es gab noch ein weiteres Problem. Der Empfänger einer solchen Nachricht musste ebenfalls in der Lage sein, das Programm zu benutzen. Der Kreis der Personen, die das leisten konnten, war relativ klein und ich wollte niemandem davon schreiben.

Hier beginnen sich die Zeiten zu ändern. Wurden früher die Experten als Spinner abgetan, die davor warnten, dass E-Mails mitgelesen werden konnten, hat sich die Sichtweise bei vielen Menschen gewandelt, seit klar ist, dass es nicht nur technisch machbar ist, sondern dass es von vielen Staaten systematisch in einem Ausmaß betrieben wird, das sich nur die wenigsten vorstellen wollten.

Man möge sich bitte nichts vormachen, die Verschlüsselung einer E-Mail bedeutet nicht, dass niemand die E-Mail lesen kann. Selbstverständlich muss man davon ausgehen, dass der Inhalt auf irgendeine Weise bekannt werden kann. Aber es ist schon ein Unterschied, ob ich einem Kurier eine Postkarte mit dem Vermerk „streng vertraulich“ mitgebe, oder ob es ein dicker, lichtdichter Umschlag ist, der fest verschlossen und versiegelt ist. Einen Siegelbruch zu kaschieren ist schon erheblich aufwändiger als einfach nur eine Postkarte abzuschreiben.

OpenPGP ist kein Programm, sondern ein Datenformat bzw. Protokoll, das im RFC 4880 beschrieben ist. Das soll Softwareentwickler in die Lage versetzen, Programme zu entwickeln, die untereinander Daten austauschen können und sich verstehen.

GnuPG (GNU Privacy Guard) ist eine Software, die dem OpenPGP-Standard folgt.

GnuPG ist wie der Urahn PGP ein kommandozeilenorientiertes Werkzeug, das für sich genommen wohl nur Menschen mit ausgeprägten Nerd-Genen erfreuen wird. Es ist zu kompliziert für die alltägliche Verwendung.

Aber HALT. GnuPG ist der Kern einer hervorragenden Lösung zur E-Mail-Verschlüsselung. Schließlich hat niemand behauptet, dass die Kommandozeilenbefehle von einem Menschen eingegeben werden müssen. Das kann auch eine Software übernehmen.

Eine solche Software ist das Thunderbird-Add-On Enigmail.

Sie müssen nur eine geeignete Version von GnuPG für Ihr Betriebssystem installieren und für Thunderbird Enigmail installieren und dann haben Sie ein E-Mail-Programm, das mit Verschlüsselung umgeht, als gäbe es nichts anderes.

Die Free Software Foundation hat in der letzten Woche eine Anleitung  in deutscher Sprache herausgebracht, die man kaum besser schreiben kann.

Bild: Free Software Foundation Inc., #EMailSelfDefense
Bild: Free Software Foundation Inc., #EMailSelfDefense

Unter #EMailSelfDefense wird Schritt für Schritt beschrieben, wie man OpenPGP installiert, die Schlüssel erzeugt und testet. Der Text ist geschrieben wie die Bedienungsanleitung zu Ihrer Waschmaschine. Verständlich und einfach gehalten, trotz der komplexen Materie.

 

Sichere Kommunikation mit der Sparkasse mit PGP oder S/MIME

Mit durchaus anerkennendem Staunen habe auch ich inzwischen mitbekommen, dass die Sparkassen flächendeckend die Verwendung verschlüsselter E-Mails aktiv unterstützen. Einige Sparkassen bieten diese Art der Kommunikation den Kunden aktiv an, andere verhalten sich da noch etwas vorsichtiger.

Ich würde zumindest nicht ausschließen, dass es hie und da Mitarbeiter gibt, die beim Empfang einer verschlüsselten E-Mail zunächst nach ihren Herztropfen suchen und dann einen kurzen Moment hyperventilieren, ehe sie sich daran machen, die notwendigen Schritte zu gehen, um die Mail zu beantworten. Das ist sicher für einige noch hochexperimentell, während andere das nutzen, als hätten sie in ihrem Leben niemals anders kommuniziert.

Unterstützt wird ein Browser-basiertes Interface, aber es ist auch möglich, mit dem eigenen E-Mail-Client und einem S/Mime-Zertifikat oder PGP Nachrichten zu übermitteln.

Ich glaube zwar nicht, dass die Kunden der Sparkassen jetzt in Scharen ihre E-Mail-Clients mit Zertifikaten aufrüsten werden, andererseits ist jede Gegenstelle, die eine solche E-Mail-Kommunikation ermöglicht und unterstützt, ein Fortschritt gegenüber der unverschlüsselten E-Mail-Kommunikation und wird dazu beitragen, dass sichere E-Mail-Kommunikation Schritt für Schritt real wird.

Sprechen Sie Ihre Sparkasse an. Erzeugen Sie Nachfrage.