Digital Privacy
GnuPG
Allgemeines
GnuPG (GNU Privacy Guard) ist eine freie Software, die einen bei der Verschlüsselung beliebiger Elemente unterstützt. Dank sogenannter asymmetrischer Kryptographie passiert das ganze so, dass sie dem Gegenüber nichteinmal das Passwort der Verschlüsselung mitteilen müssen, aber das braucht Sie eigentlich gar nicht weiter zu interessieren. Normalerweise wird GnuPG vor allem für E-Mails und etwas seltener auch für Chat (meist Jabber) genutzt.
Alles was Sie brauchen, ist ein generierter Schlüssel, den Ihr Gesprächspartner teilweise auch hat sowie den öffentlichen Schlüssel des Kommunikationspartners. Genauere Anleitunen finden Sie unter dem Menüpunkt "GnuPG".
Verschlüsseln ist klar, aber was soll das "unterschreiben" einer Nachricht?
Durch die zusätzliche Signierung von E-Mails (man kann aber auch unverschlüsselte signieren) lässt sich verhindern, dass die E-Mail manipuliert wurde. Unter der Vorraussetzung, dass der öffentliche Schlüssel des Senders echt ist, kann ich jetzt sichergehen, dass die E-Mail wirklich von ihm stammt und nicht nachträglich manipuliert wurde.
Hey, ich meinte das Unterschreiben eines Schlüssels!
Der absolute Schwachpunkt des GnuPG-Systems ist der, dass ich nicht zu hundert Prozent weiß, ob der Kommunikationspartner wirklich ist, wer er vorgibt zu sein. Ob sein öffentlicher Schlüssel echt ist. Wenn ich mich überzeugt habe, dass ein öffentlicher Schlüssel echt ist, kann ich ihn unterschreiben. Überzeugt bin ich zum Beipiel, wenn ich den Schlüssel persönlich erhalten habe oder ich mit dem Partner die Fingerprints der Schlüssel per Telefon verglichen habe. Anhand der Unterschriften, die ein Schlüssel besitzt, kann man ungefähr festlegen, ob man diesem Schlüssel vertrauen sollte.
Und wie funktioniert das technisch?
GPG verschlüsselt Nachrichten, indem es asymmetrische Schlüsselpaare verwendet, die von den GPG-Nutzern individuell erstellt wurden. Die so entstehenden öffentlichen Schlüssel können mit anderen Nutzern über eine Vielzahl von Kanälen ausgetauscht werden, z. B. Internet Schlüsselserver. Sie sollten unbedingt sehr behutsam ausgetauscht werden, um Identitätsmanipulationen vorzubeugen, da öffentliche Schlüssel bzw. Identitätsübereinstimmungen mit dem originären Eigentümer des Schlüssels gefälscht werden können. GPG kann nur feststellen, ob die Daten mit einem bestimmten Schlüssel signiert bzw. verschlüsselt wurden. Ob der Schlüssel selbst vertrauenswürdig ist, muss der Anwender entscheiden, schließlich kann jeder einen Schlüssel mit den Angaben fremder Anwender erstellen und ihn auf einen Keyserver laden. Einen aus dem Internet geladenen Schlüssel sollte man also mit größerer Vorsicht behandeln. Zur Überprüfung kann man sich etwa den Fingerabdruck (Hash-Wert), den jeder Schlüssel mit sich tragen sollte, vom vermuteten Eigentümer des Schlüssels z. B. am Telefon vorlesen lassen.
