| Projekte
>> Mails verschlüsseln mit GnuPG
Signieren und Verschlüsseln
von Mails mittels GnuPG
Projektteilnehmer: Michael
Schmitt (mail/www),
Alexander Elbe (mail),
Jochen Kunz (mail/www)
GnuPG im Netz: LINK
Installationsanleitungen:
Warum GnuPG?
Wenn Sie E-Mails unverschlüsselt verschicken,
müssen Sie sich darüber im klaren sein, daß deren
Inhalt weniger vertraulich ist als bei einer Postkarte. Die Administratoren
sowohl Ihres Mailservers als auch des Empfängers könnten
ohne weiteres ihre E-Mails lesen, abfangen oder verändern.
Auf ihrem Weg zum Empfänger durchlaufen E-Mails unter Umständen
etliche Rechner. Jeder, der Zugang zu einem dieser Rechner hat,
auch jeder Cracker, der durch irgendwelche Sicherheitslöcher
in diese Rechner eindringt, kann mühelos auf Ihre E-Mails zugreifen.
Unter Umständen werden Ihre E-Mails sogar auf der Festplatte
eines dieser Zwischenrechner gespeichert. Auch könnte der Carrier,
also der, der die Datenleitungen zu Verfügung stellt (in Deutschland
meist die Deutsche Telekom oder Colt-Telekom) die Datenpakete, die
über seine Leitungen gehen, gezielt filtern. Es ist auch nicht
auszuschließen, daß jemand diese Leitungen von außen
anzapft.
Es geht aber nicht allein darum, sich gegen Cracker oder korrupte
Sytemadministratoren zu schützen, sondern auch gegen das planmäßige
Eindringen staatlicher Organisationen (des eigenen oder eines anderen
Landes) in Ihre Privatsphäre. Die Geheimdienste vieler Länder
filtern heutzutage nicht nur Telefongespräche, sondern zunehmend
auch die Daten, die über das Internet transportiert werden,
um daraus wirtschaftlich, politisch oder für die Strafverfolgung
nutzbare Daten zu gewinnen. Eine Studie der ``Kommission zur Technikfolgeabschätzung
des Europaparlamentes'' (STOA - Scientific and Technological Options
Assessment) über die ``Entwicklung von Überwachungstechnologie
und dem Risiko des Mißbrauchs wirtschaftlicher Informationen''
zeigt beispielsweise, daß das Belauschen elekronischer Kommunikation
bereits systematisch und in großem Stil betrieben wird. Eines
der prominentesten Beispiele ist das ECHELON-System, das von den
USA, Kanada, Großbritannien, Australien und Neuseeland gemeinsam
unterhalten wird. Ursprünglich zum Belauschen des Ostblocks
konzipiert, sammeln heute über 120 Stationen mit großem
Aufwand Informationen unter anderem durch Abhören von Satellitenverbindungen
und Transatlantikkabeln, um Daten über Einzelpersonen, Organisationen,
Regierungen, Wirtschaftsunternehmen, Forschungsprojekte und internationale
Institutionen zu gewinnen. Auf europäischer Ebene plant die
Arbeitsgruppe ``Polizeiliche Zusammenarbeit'' des Europa-Rats konkrete
Maßnahmen für die Überwachung des Telekommunikations-Verkehrs.
Das ``ENFOPOL 98'' genannte Dokument schließt ausdrücklich
das Internet und zukünftige Technologien mit ein.
Auch Daten, die unverschlüsselt auf der Festplatte Ihres Rechners
oder eines anderen Speichermediums liegen, sind vor unbefugten Zugriffen
nicht sicher. Jemand könnte sich über eine Netzwerkverbindung
Zugang verschaffen bzw. sich durch Diebstahl oder Einbruch in Besitz
Ihrer Daten bringen. Wenn Sie Ihre Daten verschlüsselt haben,
kann ein Angreifer - selbst wenn er physisch im Besitz der Daten
ist - nicht auf diese zugreifen.
Ein weiteres Problem ist das Authentifizieren von elektronischen
Daten. Wie bereits oben erwähnt, ist es möglich, die Absenderadresse
und den Inhalt eines E-Mails zu fälschen. Gerade bei offizieller
oder geschäftlicher Korrespondenz, dem Austausch von Dokumenten
und dem Abwickeln von Geschäftsvorgängen über das
Internet ist es wichtig, den Absender eindeutig zu identifizieren
und die Integrität der Daten überprüfen zu können.
Die einzige Möglichkeit, um Vertraulichkeit, Integrität
und Authentizität von elektronischen Dokumenten zu gewährleisten,
ist die Benutzung wirkungsvoller kryptographischer Verfahren, wie
sie etwa bei GnuPG Anwendung finden. Durch Verschlüsselung
erreichen Sie, daß Ihre Daten nur von den Personen gelesen
werden können, für die sie auch bestimmt sind. E-Mails
werden quasi in einen Briefumschlag gesteckt, der nur vom Empfänger
geöffnet werden kann. Darüberhinaus wird durch digitale
Unterschriften eine eindeutige Zuordnung zum Urheber der Signatur
möglich, und Manipulationen des Dokumentes oder Vortäuschen
eines falschen Urhebers (Absenders) lassen sich feststellen.
In der Elektronischen Datenverarbeitung sollte für Sie die
gleiche Sicherheit selbstverständlich sein wie in anderen Bereichen.
Wahrscheinlich würden Sie weder ein intimes Liebesgeständnis,
noch eine Mitteilung an Ihren Rechtsanwalt, noch Ihre wissenschaftliche
oder geschäftliche Korrespondenz per Postkarte schicken. Auch
lassen Sie wahrscheinlich keine vertraulichen Dokumente offen in
Ihrer Wohnung oder an Ihrem Arbeitsplatz liegen. Ebensowenig würden
Sie einen Kaufvertrag ohne rechtsgültige Unterschrift akzeptieren.
Verschlüsselung und digitale Signaturen sollten also ein alltäglicher
Vorgang für Sie sein. Ob Sie nun berufliches oder privates
Interesse am Schutz Ihrer Daten haben: mangelndes Problembewußtsein
ist das größte Risiko.
Was ist GnuPG?
GnuPG (der GNU Privacy Guard) ist ein Programm zum Verschlüsseln
und Signieren von digitalen Daten und arbeitet unabhängig von
den jeweiligen Datenformaten (E-Mail, Textdateien, Bilddaten, Sourcecode,
Datenbanken, komplette Festplatten usw.). Es entspricht der im RFC2440
festgelegten OpenPGP-Spezifikation und ist kompatibel zu PGP 5.x
der Firma NAI. GnuPG verwendet dazu hauptsächlich ein hybrides
Verfahren mit öffentlichem Schlüssel. Zum Verschlüsseln
kann GnuPG aber ebenso ausschließlich symmetrische Verfahren
einsetzen.
GnuPG ist derzeit eine der sichersten Anwendungen zum Verschlüsseln
und Signieren von Daten. Bei sorgfältiger Anwendung ist eine
Verschlüsselung mit GnuPG auch in absehbarer Zukunft nicht
zu knacken. Im Gegensatz zu anderen Verschlüsselungsprogrammen
wie beispielsweise PGP von der Firma NAI ist GnuPG freie Software.
Das bedeutet unter anderem, daß der Programm-Quellcode frei
verfügbar, frei von Patenten und frei von einschränkenden
Lizenzbedingungen ist. Jeder Anwender kann so das Programm auf seine
Integrität hin prüfen. Das heißt beispielsweise,
daß sich Hintertüren (Key Recovery) oder 'Generalschlüssel'
(Key Escrow) nicht versteckt einbauen lassen und jeder Anwender
die Möglichkeit hat, Fehler zu beseitigen, das Programm zu
verbessern oder nach seinen Vorstellungen zu verändern. Darüberhinaus
ist GnuPG nicht - wie beispielsweise amerikanische Verschlüsselungsprogramme
- durch Ausfuhrbestimmungen künstlich in seiner Funktionalität
und Sicherheit beschränkt.
Auszug aus dem deutschen GPG-Guide
Was machen wir in der AG mit GnuPG?
Mehrere Mitglieder benutzen das Programm bereits
für ihren gesamten email-Verkehr um mails zu signieren und
zu verschlüsseln.
Zur Zeit wird diskutiert ob in der Unix-AG ein AG-interner
Keyserver aufgebaut wird auf dem die öffentlichen Schlüssel
der AG-Mitglieder gespeichert sind. Weiterhin soll evtl. ein Service
den Studenten der FH angeboten werden der es ihnen erlaubt ihre
Schlüssel bei uns signieren zu lassen um die Vertrauenswürdigkeit
ihres Schlüssels zu erhöhen.
Siehe auch: Installationsanleitung
für GnuPG und Enigmail unter MacOS X |
