PGP

PGP – was ist das?

PGP ist das Verschlüsselungsverfahren, dass sich wegen seiner Sicherheit, trotz aller Behinderungen durch amerikanische Regierungsbehörden, als De-facto-Standard durchgesetzt hat. PGP arbeitet mit dem Public-Key- (Öffentlicher Schlüssel)-Verfahren. AnwenderInnen besitzen zwei Schlüssel, einen öffentlichen und einen geheimen. Daten, die mit dem einen Schlüssel kodiert sind, können nur mit dem jeweils anderen wieder dekodiert werden. Mit dem Public-Key einer AdressatIn verschlüsselte Nachrichten kannst nur du selbst mit deinem dazu passenden geheimen Schlüssel wieder entschlüsseln. Gleichfalls kann eine Signatur (digitale Unterschrift), die mit dem geheimen Schlüssel der AbsenderIn erstellt wurde, nur mit dem passenden öffentlichen Schlüssel entziffert werden. Außerdem gibt es Mechanismen, mit denen die Echtheit des erhaltenen öffentlichen Schlüssels oder der digitalen Signatur geprüft werden kann. Der geheime Schlüssel ist mit einem Passwort (Mantra) geschützt. Eigentlich sollte es selbstverständlich sein, wegen der Wichtigkeit aber trotzdem an dieser Stelle erwähnt werden: Geheim ist natürlich nur, was geheim gehalten wird und das beste Verschlüsselungsverfahren hilft nicht, wenn beide Schlüssel zusammen, womöglich mit dem Mantra, aufbewahrt werden.

Das hört sich fürchterlich kompliziert an. Etwas Auseinandersetzung mit PGP ist für seine Anwendung auch vom Sicherheitsstandpunkt erforderlich. Hat mensch das Prinzip einmal begriffen und arbeitet auch mit einem Programm, welches PGP unterstützt, ist das Verschlüsseln von Nachrichten so einfach wie Briefumschläge zukleben.

Warum eigentlich PGP benutzen?

PGP schützt die Privatsphäre. Ob du nun eine politische Kampagne planst, über dein Einkommen redest oder eine Affäre geheim halten willst, ob du über etwas reden willst, das (deiner Meinung nach zu Unrecht) illegal ist oder ob du Daten speichern, transportieren und versenden musst, die unter das Datenschutzgesetz fallen (z.B. Systembetreuer, die ihre Userdaten über eine Telephonleitung transportieren), ob du manchmal Nachrichten schreiben willst, von denen andere genau wissen sollen, dass sie von dir stammen oder ob du eben dies bei Nachrichten von anderen prüfen willst (z.B. bei elektronischen Bestellungen oder von dir geschriebenen Programmen oder Pressemitteilungen) oder ob du einfach nur selbst entscheiden willst, wer deine private Post liest – die meisten Menschen, die E-Mail nutzen, werden PGP früher oder später verwenden können.

Wenn du dich davor sträubst, deine privaten Mails zu verschlüsseln: Warum verwendest du eigentlich (verschlossene) Briefumschläge? Nehmen wir einmal an, es sei die gängige Ansicht, brave Bürger bräuchten keine Briefumschläge zu verwenden. Wenn nun irgend jemand aus irgendeinem Grund einen Briefumschlag verwenden würde (mehrere Blätter, ein Liebesbrief, den die Mutter des Adressaten nicht lesen soll etc.), dann wäre dies höchst verdächtig. Glücklicherweise verwenden die meisten Menschen Briefumschläge, doch bei elektronischen Briefen ist dies bislang noch nicht der Fall. Dabei sind die elektronischen Datenwege (rein technisch) sehr viel leichter zu überwachen als konventionelle Briefpost, und elektronische Nachrichten können auch sehr schnell auf bestimmte Reizworte durchsucht werden.

Gehst du eigentlich regelmäßig zum AIDS-Test? Möchtest du dich regelmäßig auf illegalen Drogenkonsum untersuchen lassen? Verlangst du nicht einen richterlichen Durchsuchungsbefehl, wenn die Polizei bei dir eine Hausdurchsuchung machen will? Hast du am Ende etwas zu verbergen? Wahrscheinlich bist du ein Drogendealer, ein Falschparker oder ein Subversiver, wenn du Briefumschläge benutzt. Was wäre, wenn es der allgemeinen Auffassung entspräche, rechtschaffende Bürger sollten all ihre Post auf Postkarten schreiben? Wenn ein braver Mensch auf die Idee käme, sein Briefgeheimnis durch einen Umschlag zu schützen, wäre das höchst verdächtig. Sicherheitsbehörden würden vielleicht jeden Briefumschlag untersuchen, um zu kontrollieren, was er verbirgt. Glücklicherweise leben wir nicht in so einer Welt – die meisten Menschen verwenden Briefumschläge, so dass ein Briefumschlag auch nichts Verdächtiges ist. Es wäre schön, wenn alle E-Mails verschlüsselt würden, ob sie nun verbotene Nachrichten enthält oder nicht, so dass die Verschlüsselung von E-Mails genauso wenig verdächtig wird wie das Verwenden von Briefumschlägen.

Wenn Sicherheitsbehörden das Brief- oder Telefongeheimnis brechen wollen, musst du einigen Aufwand betreiben. Du musst den Umschlag aus dem Postweg herausfischen, ihn durchleuchten, aus dem Ergebnis mit Hilfe eines aufwendigen Computerprogramms die einzelnen Seiten extrahieren und das Ganze dann lesen. Das Abhören von Telephongesprächen ist sehr zeitintensiv, und auch eine Transskription kostet Zeit. Eine so arbeitsintensive Überwachung kann nicht im großen Stil betrieben werden, von Reizwort-erkennenden Maschinen einmal abgesehen. Aber auch die sind sehr aufwendig und automatisieren lediglich die Vorauswahl derjenigen Texte, die anschließend von Menschen kontrolliert werden. Die aktuelle Entwicklung in Deutschland sieht nicht viel rosiger aus: Nach IuKDG (Gesetz über Informations- und Kommunikationsdienstleistungen) sind Dienstanbieter verpflichtet, den „Bedarfsträgern“, also den staatlichen Ermittlungsbehörden, auf eigene Kosten einen Zugang zur Verfügung zu stellen (das läuft auf eine oder mehrere Standleitungen quer durch Deutschland hinaus), über die die Beamten ohne Wissen des Anbieters auf die Kundendaten zugreifen und jederzeit eine Überwachung des Telefon- und E-Mail-Verkehrs veranlassen können. Nimmt man noch hinzu, dass im Jahre 1997 der „große Lauschangriff“ verabschiedet wurde, ein Gesetz, dass das Abhören von Privatwohnungen bis auf wenige Ausnahmen fast zur Routineangelegenheit werden lässt, muss die Frage gestattet sein, weshalb der Staat berechtigt sein soll, derart tiefgreifend in die Privatsphäre unbescholtener Bürger einzugreifen. Diese Frage ist umso bedeutender, wenn man bedenkt, dass die Realität nicht so aussieht, als würden die gewonnenen Erkenntnisse und Daten lediglich zu den Ermittlungszwecken eingesetzt, zu denen sie erhoben wurden. Näheres erfährst du in den Tätigkeitsberichten der Datenschutzbeauftragten, die dir die Landesbeauftragten für den Datenschutz auf Anfrage gerne zusenden.

——————————

Installations-Anleitung zur PGP-Kommunikation mit Mozilla Thunderbird:

Die Inforiot Redaktion empfiehlt, dass ihr euch „Mozilla Thunderbird“ mit der GnuPG-Erweiterung „Enigmail“ runterladet. Mozilla Thunderbird ist ein Emailverwaltungs- programm mit dem ihr eure Mails vom Server auf euren Rechner oder USB-Stick ziehen/kopieren und offline bearbeiten könnt. Hinzu kommt Enigmail, das es euch vereinfacht Mails zu verschlüsseln. Und aus sicherheitstechnischen Gründen packt diese ganzen Daten auf einen USB-Stick, den ihr zum Mails checken immer anschließt.

Also ganz kurz:

1. Ihr ladet euch Mozilla Thunderbird oder für den USB-Stick Portable Thunderbird herunter und installiert dieses Programm,

2. Wenn ihr Enigmail heruntergeladen habt, dann geht ihr im Thunderbird Menü auf Extras > Erweiterungen… und klickt auf Installieren. Dort könnt ihr nun Enigmail (enigmail-*.xpi) auswählen. Bestätigt mit Öffnen und folgt den Anweisungen.

3. Als letztes ladet ihr euch das eigentliche Verschlüsselungsprogramm GnuPG herunter. Danach zieht ihr diesen Ordner mit in euren Thunderbird-Ordner, damit ihr ihn nicht mehr verliert.

4. Jetzt erstellt ihr euch einen neuen Schlüssel. Dabei geht ihr im Thunderbird Menü auf Open PGP > Schlüssel verwalten… und im nächsten Menü auf Erzeugen > Neues Schlüsselpaar… Hier gebt ihr eure Passphrase (Passwort) zwei mal ein und sucht euch die restlichen Optionen aus.

5. Wenn ihr euren Schlüssel ohne Probleme erzeugen konntet, sucht ihr den GNUPG ordner auf eurer Festplatte, wo nun der öffentliche und der private Schlüssel enthalten sind, heraus und kopiert diesen ebenfalls in euren Thunderbird-Ordner.

6. Wenn ihr ganz und gar nicht klar gekommen seid, eine gute Anleitung findet ihr hier.

Eine Anleitung für EinsteigerInnen findet Ihr hier.

Textauszüge geklaut von:

PGP-Dokumentation (pdf, 2.2 MB)

und hier (Rote Hilfe Zeitung).