OpenPGP

Eine Einführung in geschütze E-Mail Kommunikation

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Hallo!

Wenn du lernen möchtest, warum meine E-Mails
diesen seltsamen Zeichensalat enthalten, und
wie du einen Vorteil du daraus ziehen kannst,
bitte unten weiterlesen!

Viele Grüße,
Michel Zedler
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.3 (MingW32)

iD8DBQFEYH79VY2dpjOFf30RAkG9AKCWgY1XivxHoaNt6HQ8/fM8OQj+gQCgm8ET
otaWhTpGLrt0DivW43UvEJA=
=AHNz
-----END PGP SIGNATURE-----

Kommunikation über E-Mails hat in den letzten Jahren eine rasante Verbreitung gefunden. Was viele Anwender nicht wissen: E-Mails können auf dem Weg durchs Datennetz wie Postkarten von jedem gelesen werden, der sie in die Hände bekommt. Schlimmer noch: Der Empfänger einer E-Mail kann weder feststellen, ob eine E-Mail tatsächlich vom angegebenen Sender kommt, noch ob die Daten unterwegs manipuliert wurden.

Glücklicherweise wurden bereits Technologien gegen derartigen Mißbrauch entwickelt. Die Rede ist von digitaler Signatur und Verschlüsselung. Unglücklicherweise haben sich diese Technologien in der E-Mail-Kommunikation bis heute kaum durchsetzen können, obwohl bereits ein entsprechender offener Technologiestandard (OpenPGP) verabschiedet wurde und Plugins für alle verbreiteten E-Mail-Clients existieren. Um diese Plugins zu verwenden, muss man kein Technik-Freak sein. Und wer argumentiert "Ich habe doch nichts zu verbergen!", der hat nicht Verstanden, dass Datenmißbrauch eine ganz und gar nicht an den Haaren herbeigezogene Gefahr für unsere Informationsgesellschaft ist. Ohne Gegenmaßnahmen haben Personen, Unternehmen und Organisationen verschiedenster Interessen ein leichtes Spiel beim Zugriff die auf unsere privaten E-Mails.

Auf dieser Seite möchte dich davon überzeugen, OpenPGP für eine sichere E-Mail Kommunikation einzusetzen.

Weil ich meine E-Mails digital signiere, biete ich dir die Möglichkeit zu überprüfen, ob der Text meiner E-Mail tatsächlich von mir stammt. Was du dazu benötigst, ist neben dem oben erwähnten Plugin für deinen E-Mail-Client (Ich verwende z.B. das auf GnuPG basierende Plugin Enigmail für Mozilla Thunderbird) eine weitere entscheidende Information von mir: meinen sogenannten Public Key. Diesen "öffentlichen" Schlüssel kann jeder, der mir vertrauliche Informationen mailen, oder die Echtheit meiner Mails prüfen möchte, frei beziehen. Dein Plugin wird dich dabei unterstützen, meinen Schlüssel mit wenigen Klicks von einem Key Server (zum Beispiel unter der Adresse random.sks.keyserver.penguin.de) herunterzuladen.

Nun musst du sicherstellen, dass du tatsächlich meinen Public Key bezogen hast, also ausschließen, dass dir eine dritte Person ihren Public Key als den meinigen untergejubelt hat. (Hiermit steht und fällt die Sicherheit von digitaler Signatur und Verschlüsselung.) Mit Hilfe deines Plugins gilt es hierzu die Key ID und den sogenannten Fingerprint des importierten Public Keys herausfinden. Ist dir das gelungen, so gibt es zwei einigermaßen praktikable Möglichkeiten:

1. Möglichkeit: Du greifst zum Telefon, rufst mich an und diktierst mir diese Zeichenfolgen.

2. Möglichkeit: Du notierst diese Informationen auf einen Zettel, den du mir bei nächster Gelegenheit vor die Nase hälst.

Beide Varianten sind für einen Angreifer kaum zu manipulieren. Deshalb kann ich dir in beiden Fällen zweifelsfrei mitteilen, ob du auch tatsächlich meinen Public Key besitzt.

Damit ist der komplizierteste Teil der Aufgabe bewältigt. Zeit für die Belohnung! Weil du meinen Public Key besitzt, kannst du nun sowohl meine digitalen Signaturen verifizieren, als auch vertrauliche Nachrichten an mich verschlüsseln. (Diese Aufgaben können von deinem Plugin automatisch durchgeführt werden oder sind nur einen Mausklick entfernt.) Wahrscheinlich wirst du auch einen eigenen Public Key erzeugen wollen, damit du mit anderen Mail-Benutzern genauso sicher kommunizieren kannst wie mit mir.

Alle für OpenPGP basierte E-Mail Kommunikation erforderlichen Programme sind kostenlos erhältlich. Weiterführende Informationen:

Einführung und Anleitung zu GnuPG

GnuPG Homepage

GnuPG Frontends für verbreitete E-Mail-Clients

Bei Fragen und Problemen bin ich gerne zur Unterstützung bereit!