::Projekte / PGP / GPG Seite drucken
  der verein   projekte   veranstaltungen   hilfestellung   tips & tricks   fun   
 
  
  PGP / GPG
  
  raspberry pi
  
  foto-galerie
  
  lug in motion
  
  lug in holland
  
  lug@uni


home
sitemap
suche
login
hilfeforum
impressum



Finde uns auf:
 

PGP / GPG - Warum ├╝berhaupt

Schicken wir einen Brief zu Freunden und Bekannten, haben wir einen Umschlag drum herum und w├Ąhnen uns in Sicherheit, weil ja keiner den Brief direkt lesen kann. Dieses Grundvertrauen hat sich auch automatisch auf unsere elektronische Post, die EMails, ├╝bertragen. Das Jahr 2013 war f├╝r unser Vertrauen in die Sicherheit von EMails und auch f├╝r das Vertrauen zur klassischen Briefpost kein sehr gutes Jahr. Wir haben Dinge erfahren, die bereits seit vielen Jahren angewendet wurden aber von denen bisher kaum einer etwas wusste.

 

Als Konsequenz daraus haben wir festgestellt, da├č wir f├╝r die Sicherheit unserer EMails selber sorgen m├╝ssen. Dies ist durch Verschl├╝sselung m├Âglich. Im Gegensatz zu einigen anderen Staaten, in denen Verschl├╝sselung f├╝r Privatpersonen verboten ist, sieht das deutsche Gesetzt hier keine Einschr├Ąnkungen vor. Und durch PGP bzw. die OpenSource-Variante GPG ist dies f├╝r jedermann m├Âglich und bietet einen guten Schutz, wenn man einige Grundlagen beachtet.

Was ist das?

PGP steht f├╝r "Pretty good privacy" und ist in Anfang der neunziger Jahre vom US Amerikaner Phil Zimmermann entwickelt worden. PGP wird weitestgehend zur Verschl├╝sselung von E-Mail Transfer verwendet, jedoch ist auch eine Verschl├╝sselung von anderen Daten mit PGP m├Âglich.

 

Da PGP eine Closed Source Software ist, ist im September 1999 vom deutschen Werner Koch die Open Source Variante GnuPG (GNU Privacy Guard ) entwickelt worden.

 

Die anf├Ąnglich noch nicht zueinander kompatiblen PGP Programme sind seit PGP Version 7.0 und GnuPG Version 1.2.0 und sp├Ąter zueinander kompatibel, so dass mit PGP verschl├╝sste Daten problemlos mit GnuPG wieder entschl├╝sselt werden k├Ânnen.

 

Verschl├╝sselung ist in ihrer Funktionsweise immer etwas, was mit Mathematik zu tun hat. Seit ├╝ber 2000 Jahren besteht ein ewiger Wettkampf zwischen denjenigen, die ein sicheres Verfahren entwickeln wollen und denjenigen, die diese Verfahren wieder knacken wollen.

 

Die Verfahren, die im laufe der Jahre entwickelt wurden, lassen sich in 2 verschiedene Kategorien unterscheiden.

Symetrische Verschl├╝sselung

Die Symetrische Verschl├╝sselung ist die ├Ąltere der Beiden Techniken. Symetrisch meint dabei, dass beide Kommunikationspartner den gleichen Schl├╝ssel (das gleiche Passwort) f├╝r die eingesetzte Verschl├╝sselung verwenden m├╝ssen.

 

Stellt man sich jetzt vor, dass jeder mit mehreren Personen verschl├╝sselt mailen m├Âchte, aber die Nachrichten zwischen 2 Personen auch nur von diesen beiden lesbar sein sollen, wird schnell klar, da├č daf├╝r viele Schl├╝ssel verwendet werden m├╝ssen. Immer 2 Personen, die miteinander verschl├╝sselt Nachrichten austauschen wollen, m├╝ssen einen Schl├╝ssel vereinbaren der nur ihnen bekannt ist.

 

Das ist heutzutage viel zu Arbeitsaufw├Ąndig und damit nicht mehr praktikabel.

Asymetrische Verschl├╝sselung

Bei der asymetrischen Verschl├╝sselung ist das Problem des gemeinsamen Schl├╝ssels auf mathematischem Wege gel├Âst worden. Bei diesen Verfahren verf├╝gt jeder kommunikationspartner ├╝ber 2 Teile, die zu seinem Schl├╝ssel geh├Âren. Einem privaten (private Key) und einem ├Âffentlichen (public Key) Anteil. Beide geh├Âren unzertrennbar zueinander.

 

Der ├Âffentliche Schl├╝ssel kann, wie sein Name schon sagt, ├╝berall ver├Âffentlicht werden. Er muss nicht geheimgehalten werden. Kennt eine andere Person den ├Âffentlichen Schl├╝ssel, ist sie in der Lage dem Eigent├╝mer verschl├╝sselte Nachrichten zu schicken. Nur die Person, die im Besitz des dazugeh├Ârigen privaten Schl├╝ssel ist, kann die Nachricht wieder durch Entschl├╝sselung sichtbar machen.

 

Der private Schl├╝ssel muss unbedingt geheim gehalten werden. Wird dieser Schl├╝ssel gestohlen ist die Kommunikation nicht mehr sicher (sie ist kompromitiert worden). Mit dem privaten Schl├╝ssel ist man nicht nur in der Lage eine Mail zu entschl├╝sseln, die einem geschickt wurde. Schreibt man selbst eine Nachricht, kann man diese mit seinem eigenen privaten Schl├╝ssel signieren. Durch die Signatur kann jemand, der meinen ├Âffentlichen Schl├╝ssel kennt, ├╝berpr├╝fen (verifizieren), dass diese Nachricht wirklich vom Besitzer des privaten Schl├╝ssels kommt und dass die Nachricht nicht ver├Ąndert wurde.

 

Beide Verfahren lassen sich auch kombinieren. Die oben aufgef├╝hren Details sollen dabei nur einen kleinen Einblick erm├Âglichen. Die heutigen Mailprogramme bieten eine einfache Oberfl├Ąche f├╝r die Verschl├╝sselung an. Man schreibt seine EMail wie gewohnt und vor dem Abschicken klickt man an, ob die Mail signiert, verschl├╝sselt oder beides werden soll.

Web of Trust - Das Vertrauensnetzwerk

Der eigentliche Clou bei der asynchronen Verschl├╝sselung, wie sie PGP verwendet, ist aber das Web of Trust. Nur das blanke asynchrone Verfahren bedeutet immer noch, da├č man sich den ├Âffentlichen Schl├╝ssel des Kommunikationspartners irgendwo besorgen muss. Anderer Seits kann jeder, der einen ├Âffentlichen Schl├╝ssel "gefunden" hat, dem Eigent├╝mer eine Nachricht schicken. Der Empf├Ąnger weiss aber nicht, ob die Nachricht auch wirklich von demjenigen kommt, der behauptet der Freund aus alten Tagen zu sein.

 

Mit dem privaten Schl├╝ssel kann man nicht nur EMails oder Dateien signieren. Auch Signaturen f├╝r ├Âffentliche Schl├╝ssel sind m├Âglich. Durch eine solche Signatur best├Ątigt der Eigent├╝mer eines privaten Schl├╝ssels, dass er dem Eigent├╝mer eines ├Âffentlichen Schl├╝ssels vertraut. Eine solche Signatur wird Bestandteil des ├Âffentlichen Schl├╝ssels. Hat eine Person (A) also zwei anderen Personen (B und C) den ├Âffentlichen Schl├╝ssel signiert, kann B am ├Âffentlichen Schl├╝ssel von C feststellen, dass A diesen Signiert hat. Vertraut B der Person A, kann B davon ausgehen, dass er auch C vertrauen kann.

 

Dieses Prinzip nennt sich "Web of Trust" oder im deutschen Vertrauensnetzwerk. Dieses Vertrauensnetzwerk wird umso besser, je mehr andere Personen man selbst signiert. Denn jede Signatur erh├Âht die Chance, dass man selbst ├╝ber mehrere andere Personen eine Vertrauensverbindung zu jemandem anderen hat.

 

Auf einer Keysigning Party wird dieses Vertrauensnetzwerk gepflegt und ausgebaut. Jeder Teilnehmer, der im Besitzt eines PGP-Schl├╝ssels ist, kann an einer solchen Party teilnehmen. Da eine Signatur allerdings witzlos ist, wenn man den Partner ├╝berhaupt nicht kennt, werden f├╝r eine solche Signatur 1 oder teilweise auch 2 Ausweisdokumente mit einem Foto verlangt.

 

Kurz gesagt: "Zeigst Du mir Deinen Ausweis und Deinen ├Âffentlichen Schl├╝ssel, best├Ątige ich Dir, da├č dieser ├Âffentliche Schl├╝ssel zu der Person auf dem Ausweis geh├Ârt".

Vorbereitung f├╝r ein Keysigning bei der LUGFL

Auf den Treffen der LUG Flensburg sind eigentlich immer Inhaber eines PGP-Schl├╝ssels anwesend. Nur tragen wir das nicht als Schild um den Hals.

 

M├Âchtest Du Dir einen Key signieren lassen, drucke Dir den Fingerprint Deines Keys aus und bringe eine entsprechende Anzahl dieser Ausdrucke mit. Der Ausdruck verbleibt im Anschluss bei demjenigen, der Deinen Key signieren soll.

 

Der Fingerprint ist ein kleiner Teil des Schl├╝ssels und wird zum identifizieren eines Schl├╝ssels verwendet. Ein ├Âffentlicher Schl├╝ssel kann ausgedruckt mehrere A4-Seiten lang sein, so dass dies nicht praktikabel w├Ąre.

 

Wie man sich den Fingerprint des eigenen Schl├╝ssels anzeigen l├Ąsst, h├Ąngt von der eingesetzten Software ab. Hier einmal ein Beispiel, wie die Abfrage des Fingerprints f├╝r einen Key mit der ID 0x21228DB9 auf der Linux Kommandozeile aussieht:

 

$ gpg --fingerprint 0x21228DB9

pub 4096R/21228DB9 2013-10-25 [expires: 2023-10-23]

Key fingerprint = 5478 55DA A2AA D7BB 4333 1E29 4586 9DD0 2122 8DB9

[...]

 

Die Ausgabe dieses Befehls (hier um ein paar Zeilen gek├╝rzt) wird vollst├Ąndig ausgedruckt.

Keysigning Party bei der LUGFL

Bei einigen Veranstaltungen f├╝hren wir das Keysigning in gr├Â├čerem Ma├če durch. Damit die Zettelanzahl ├╝berschaubar bleibt, bereiten wir Ausdrucke vor, auf denen die Fingerprints aller angemeldeter Teilnehmer abgedruckt sind.

 

Jeder Teilnehmer hat so quasie eine Strichliste, auf dem er die Keys kontrollieren sich notizen f├╝r das sp├Ątere Signieren machen kann.

 

Wenn Du an einem solchen Termin teilnehmen m├Âchtest, schicke bitte Deinen ├Âffentlichen Schl├╝ssel unter Angabe des Termins an die EMail keysigning(at)lugfl.de. Die Keys, die mindestens 24 Stunden vor der Keysigningparty dort eingegangen sind, werden auf den Zetteln mit abgedruckt.

n├Ąchste Termine f├╝r das Keysigning

24.01.2014 19:00 Uhr - Linux Einsteiger Abend