::Projekte / PGP / GPG Seite drucken
  der verein   projekte   veranstaltungen   hilfestellung   tips & tricks   fun   
 
  
  PGP / GPG
  
  raspberry pi
  
  foto-galerie
  
  cacert
  
  vereinszeitschrift flugblatt
  
  lug in motion
  
  lug in holland
  
  lug@uni


home
sitemap
suche
login
hilfeforum
impressum



Finde uns auf:
 

PGP / GPG - Warum überhaupt

Schicken wir einen Brief zu Freunden und Bekannten, haben wir einen Umschlag drum herum und wähnen uns in Sicherheit, weil ja keiner den Brief direkt lesen kann. Dieses Grundvertrauen hat sich auch automatisch auf unsere elektronische Post, die EMails, übertragen. Das Jahr 2013 war für unser Vertrauen in die Sicherheit von EMails und auch für das Vertrauen zur klassischen Briefpost kein sehr gutes Jahr. Wir haben Dinge erfahren, die bereits seit vielen Jahren angewendet wurden aber von denen bisher kaum einer etwas wusste.

 

Als Konsequenz daraus haben wir festgestellt, daß wir für die Sicherheit unserer EMails selber sorgen müssen. Dies ist durch Verschlüsselung möglich. Im Gegensatz zu einigen anderen Staaten, in denen Verschlüsselung für Privatpersonen verboten ist, sieht das deutsche Gesetzt hier keine Einschränkungen vor. Und durch PGP bzw. die OpenSource-Variante GPG ist dies für jedermann möglich und bietet einen guten Schutz, wenn man einige Grundlagen beachtet.


Was ist das?

PGP steht für "Pretty good privacy" und ist in Anfang der neunziger Jahre vom US Amerikaner Phil Zimmermann entwickelt worden. PGP wird weitestgehend zur Verschlüsselung von E-Mail Transfer verwendet, jedoch ist auch eine Verschlüsselung von anderen Daten mit PGP möglich.

 

Da PGP eine Closed Source Software ist, ist im September 1999 vom deutschen Werner Koch die Open Source Variante GnuPG (GNU Privacy Guard ) entwickelt worden.

 

Die anfänglich noch nicht zueinander kompatiblen PGP Programme sind seit PGP Version 7.0 und GnuPG Version 1.2.0 und später zueinander kompatibel, so dass mit PGP verschlüsste Daten problemlos mit GnuPG wieder entschlüsselt werden können.

 

Verschlüsselung ist in ihrer Funktionsweise immer etwas, was mit Mathematik zu tun hat. Seit über 2000 Jahren besteht ein ewiger Wettkampf zwischen denjenigen, die ein sicheres Verfahren entwickeln wollen und denjenigen, die diese Verfahren wieder knacken wollen.

 

Die Verfahren, die im laufe der Jahre entwickelt wurden, lassen sich in 2 verschiedene Kategorien unterscheiden.


Symetrische Verschlüsselung

Die Symetrische Verschlüsselung ist die ältere der Beiden Techniken. Symetrisch meint dabei, dass beide Kommunikationspartner den gleichen Schlüssel (das gleiche Passwort) für die eingesetzte Verschlüsselung verwenden müssen.

 

Stellt man sich jetzt vor, dass jeder mit mehreren Personen verschlüsselt mailen möchte, aber die Nachrichten zwischen 2 Personen auch nur von diesen beiden lesbar sein sollen, wird schnell klar, daß dafür viele Schlüssel verwendet werden müssen. Immer 2 Personen, die miteinander verschlüsselt Nachrichten austauschen wollen, müssen einen Schlüssel vereinbaren der nur ihnen bekannt ist.

 

Das ist heutzutage viel zu Arbeitsaufwändig und damit nicht mehr praktikabel.


Asymetrische Verschlüsselung

Bei der asymetrischen Verschlüsselung ist das Problem des gemeinsamen Schlüssels auf mathematischem Wege gelöst worden. Bei diesen Verfahren verfügt jeder kommunikationspartner über 2 Teile, die zu seinem Schlüssel gehören. Einem privaten (private Key) und einem öffentlichen (public Key) Anteil. Beide gehören unzertrennbar zueinander.

 

Der öffentliche Schlüssel kann, wie sein Name schon sagt, überall veröffentlicht werden. Er muss nicht geheimgehalten werden. Kennt eine andere Person den öffentlichen Schlüssel, ist sie in der Lage dem Eigentümer verschlüsselte Nachrichten zu schicken. Nur die Person, die im Besitz des dazugehörigen privaten Schlüssel ist, kann die Nachricht wieder durch Entschlüsselung sichtbar machen.

 

Der private Schlüssel muss unbedingt geheim gehalten werden. Wird dieser Schlüssel gestohlen ist die Kommunikation nicht mehr sicher (sie ist kompromitiert worden). Mit dem privaten Schlüssel ist man nicht nur in der Lage eine Mail zu entschlüsseln, die einem geschickt wurde. Schreibt man selbst eine Nachricht, kann man diese mit seinem eigenen privaten Schlüssel signieren. Durch die Signatur kann jemand, der meinen öffentlichen Schlüssel kennt, überprüfen (verifizieren), dass diese Nachricht wirklich vom Besitzer des privaten Schlüssels kommt und dass die Nachricht nicht verändert wurde.

 

Beide Verfahren lassen sich auch kombinieren. Die oben aufgeführen Details sollen dabei nur einen kleinen Einblick ermöglichen. Die heutigen Mailprogramme bieten eine einfache Oberfläche für die Verschlüsselung an. Man schreibt seine EMail wie gewohnt und vor dem Abschicken klickt man an, ob die Mail signiert, verschlüsselt oder beides werden soll.


Web of Trust - Das Vertrauensnetzwerk

Der eigentliche Clou bei der asynchronen Verschlüsselung, wie sie PGP verwendet, ist aber das Web of Trust. Nur das blanke asynchrone Verfahren bedeutet immer noch, daß man sich den öffentlichen Schlüssel des Kommunikationspartners irgendwo besorgen muss. Anderer Seits kann jeder, der einen öffentlichen Schlüssel "gefunden" hat, dem Eigentümer eine Nachricht schicken. Der Empfänger weiss aber nicht, ob die Nachricht auch wirklich von demjenigen kommt, der behauptet der Freund aus alten Tagen zu sein.

 

Mit dem privaten Schlüssel kann man nicht nur EMails oder Dateien signieren. Auch Signaturen für öffentliche Schlüssel sind möglich. Durch eine solche Signatur bestätigt der Eigentümer eines privaten Schlüssels, dass er dem Eigentümer eines öffentlichen Schlüssels vertraut. Eine solche Signatur wird Bestandteil des öffentlichen Schlüssels. Hat eine Person (A) also zwei anderen Personen (B und C) den öffentlichen Schlüssel signiert, kann B am öffentlichen Schlüssel von C feststellen, dass A diesen Signiert hat. Vertraut B der Person A, kann B davon ausgehen, dass er auch C vertrauen kann.

 

Dieses Prinzip nennt sich "Web of Trust" oder im deutschen Vertrauensnetzwerk. Dieses Vertrauensnetzwerk wird umso besser, je mehr andere Personen man selbst signiert. Denn jede Signatur erhöht die Chance, dass man selbst über mehrere andere Personen eine Vertrauensverbindung zu jemandem anderen hat.

 

Auf einer Keysigning Party wird dieses Vertrauensnetzwerk gepflegt und ausgebaut. Jeder Teilnehmer, der im Besitzt eines PGP-Schlüssels ist, kann an einer solchen Party teilnehmen. Da eine Signatur allerdings witzlos ist, wenn man den Partner überhaupt nicht kennt, werden für eine solche Signatur 1 oder teilweise auch 2 Ausweisdokumente mit einem Foto verlangt.

 

Kurz gesagt: "Zeigst Du mir Deinen Ausweis und Deinen öffentlichen Schlüssel, bestätige ich Dir, daß dieser öffentliche Schlüssel zu der Person auf dem Ausweis gehört".


Vorbereitung für ein Keysigning bei der LUGFL

Auf den Treffen der LUG Flensburg sind eigentlich immer Inhaber eines PGP-Schlüssels anwesend. Nur tragen wir das nicht als Schild um den Hals.

 

Möchtest Du Dir einen Key signieren lassen, drucke Dir den Fingerprint Deines Keys aus und bringe eine entsprechende Anzahl dieser Ausdrucke mit. Der Ausdruck verbleibt im Anschluss bei demjenigen, der Deinen Key signieren soll.

 

Der Fingerprint ist ein kleiner Teil des Schlüssels und wird zum identifizieren eines Schlüssels verwendet. Ein öffentlicher Schlüssel kann ausgedruckt mehrere A4-Seiten lang sein, so dass dies nicht praktikabel wäre.

 

Wie man sich den Fingerprint des eigenen Schlüssels anzeigen lässt, hängt von der eingesetzten Software ab. Hier einmal ein Beispiel, wie die Abfrage des Fingerprints für einen Key mit der ID 0x21228DB9 auf der Linux Kommandozeile aussieht:

 

$ gpg --fingerprint 0x21228DB9

pub 4096R/21228DB9 2013-10-25 [expires: 2023-10-23]

Key fingerprint = 5478 55DA A2AA D7BB 4333 1E29 4586 9DD0 2122 8DB9

[...]

 

Die Ausgabe dieses Befehls (hier um ein paar Zeilen gekürzt) wird vollständig ausgedruckt.


Keysigning Party bei der LUGFL

Bei einigen Veranstaltungen führen wir das Keysigning in größerem Maße durch. Damit die Zettelanzahl überschaubar bleibt, bereiten wir Ausdrucke vor, auf denen die Fingerprints aller angemeldeter Teilnehmer abgedruckt sind.

 

Jeder Teilnehmer hat so quasie eine Strichliste, auf dem er die Keys kontrollieren sich notizen für das spätere Signieren machen kann.

 

Wenn Du an einem solchen Termin teilnehmen möchtest, schicke bitte Deinen öffentlichen Schlüssel unter Angabe des Termins an die EMail keysigning(at)lugfl.de. Die Keys, die mindestens 24 Stunden vor der Keysigningparty dort eingegangen sind, werden auf den Zetteln mit abgedruckt.


nächste Termine für das Keysigning

24.01.2014 19:00 Uhr - Linux Einsteiger Abend