Pretty Good Privacy (2)

 

Betreff: EDV-Tip 13.06.98  (Pretty Good Privacy)

Guten Tag,
ich bin doch sehr erstaunt über das sehr große Interesse an

Externe Homepage Pretty Good Privacyretty Good Privacy.

Es muß recht viele Geheimnisse geben! Hier ein paar Antworten auf gestellte Fragen:

 

Ich habe nichts zu verbergen. Wozu brauche ich Datenschutz?

Philip Zimmermann (der Entwickler von PGP) hat dazu geschrieben: "Zeig mir einen Menschen, der keine finanziellen, sexuellen, gesellschaftlichen, politischen oder geschäftlichen Geheimnisse vor seiner Familie, seinen Nachbarn oder seinen Kollegen hat und ich zeige Dir jemanden, der entweder ein ungewöhnlicher Exhibitionist oder ein unglaublicher Dummkopf ist. Zeige mir eine Firma, die keine Firmengeheimnisse hat und ich zeige Dir ein Geschäft, das nicht läuft. Robert Ellis Smith, der Herausgeber des Privacy Journal, witzelte: 'Ein Angestellter, der nichts zu verheimlichen hat, hat nichts zu bieten'. Geheimhaltung, Diskretion, Vertraulichkeit und Besonnenheit sind die Markenzeichen dieser Zivilisation."

Ich habe da noch einen weiteren Ansatz:
Wenn Sie im Internet ein Geschäft tätigen wollen, werden Sie häufig nach Ihrer Kreditkartennummer gefragt. Übertragen Sie diese bitte nur in 'gesicherter' Form. Also, z.B. mit PGP. Ihr Kontostand wird es Ihnen danken.

 

Wo bekomme ich denn nun PGP?

Bei PGP International [Externe Homepage]: Klicken Sie hier und Sie kommen zu PGP International

 

Wie arbeitet PGP?

Ich will versuchen, es so einfach wie möglich zu erklären:

Die herkömmliche Verschlüsselung 'leidet' darunter, daß es nur einen Schlüssel gibt. Der Empfänger muß also nicht nur die Nachricht, sondern auch den Schlüssel bekommen.

Hierbei ist jede Methode -außer der persönlichen Übergabe- potentiell unsicher.

Ein Ausweg ist die Verwendung einer asymmetrischen Verschlüsselung. 1976 wurde erstmals von Diffie und Hellmann die Public-Key-Verschlüsselung vorgestellt.

PGP ist so ein "öffentliches Schlüsselsystem" (public key cryptography). Wenn man PGP das erste Mal startet, generiert es zwei "Schlüssel", die nur zu einem selbst gehören.

Stellen Sie sich diese Schlüssel wie ein Gegenstück zu den Schlüsseln in Ihrer Tasche vor. Ein PGP-Schlüssel ist der GEHEIME Schlüssel und bleibt auf Ihrem Rechner. Der andere Schlüssel ist ÖFFENTLICH. Sie geben diesen öffentlichen Schlüssel Ihren Gesprächspartnern.

Stell Sie ich vor, der ÖFFENTLICHE Schlüssel gehört zu Ihnen und Sie mailen ihn mir. Ich kann Ihren ÖFFENTLICHEN Schlüssel in meiner PGP Software speichern und benutze Ihren ÖFFENTLICHEN Schlüssel, eine Nachricht zu verschlüsseln, die nur Sie lesen können.

Einer der Vorteile von PGP ist, daß Sie mir diesen Schlüssel geben können, wie eine Telefonnummer. Wenn ich Ihre Telefonnummer habe, kann ich Sie anrufen - aber ich kann Ihr Telefon nicht abheben. Ähnlich ist es mit dem ÖFFENTLICHEN Schlüssel: Ich kann Ihnen eine Nachricht verschlüsseln - Ich kann sie aber nicht lesen.

Dieses Konzept des ÖFFENTLICHEN Schlüssels kann anfangs etwas seltsam klingen. Trotzdem wird es völlig klar, sobald Sie etwas mit PGP rumspielen.

Somit kann jeder seinen öffentlichen Schlüssel frei zugänglich machen und an jeden schicken, mit dem er geschützte Nachrichten austauschen will. Dabei kann man problemlos auch ungeschützte Wege wie die Post oder E-Mail einsetzen.

Einen Haken hat die Sache allerdings: Irgend jemand könnte Ihnen eine Nachricht unterschieben, der gar nicht zu dem vermeintlichen Absender gehört. Damit das nicht passiert, kann man jede Nachricht auch noch mit seinem privaten Schlüssel unterschreiben - quasi eine digitale Unterschrift.

Die Registrierung von öffentlichen Schlüsseln ist ein Thema für sich - wenn gewünscht, werde ich das einmal gesondert behandeln.

 

Wer steht hinter PGP?

Seit Anfang 1998 gehört das Warenzeichen PGP ™ der Firma Externe Homepage Network Associates, deren aktuelle Version PGP 5.5 ist (Stand: April/Mai 1998).

 

Wie sicher ist PGP? Schützt es mich wirklich?

Sicherheit ist relativ. Vielleicht kann unsere Regierung oder Ihre Ehefrau/Freundin PGP-Nachrichten "knacken", indem sie Supercomputer oder Genialität einsetzt. Davon habe ich keine Ahnung. Drei Dinge sind jedoch sicher:

  • Hervorragende Kryptoanalytiker und Computerexperten haben vergeblich versucht, PGP zu knacken.
  • Wer auch immer nachweist, daß er PGP enträtselt hat, wird schnell zu Ruhm unter den Kryptographen kommen. Er wird viel Beifall ernten und eine Menge Geld angeboten bekommen.
  • Die PGP Programmierer werden es sofort bekanntgeben.

Die c´t meldete zu diesem Thema in Ihrer Ausgabe 8/97: "Am 18. Juni 1997 gelang es erstmals, ein Datenpaket zu entschlüsseln, das mit einem 56-Bit-Schlüssel nach dem DES-Algorithmus kodiert war. Mehrere tausend Anwender hatten dazu ihre über das Internet verbundenen PCs seit Februar rechnen lassen. Es war auch etwas Glück im Spiel, denn sie mußten lediglich ein Viertel der möglichen 72 Billiarden Schlüsselkombinationen ausprobieren. Die US-Firma RSA Data Security (Externe Homepage http://www.rsa.com) hatte darauf 10 000 US-$ Preisgeld ausgesetzt - eine Investition, die sich lohnen könnte. Denn RSA hat jetzt ein weiteres Argument gegen das US-Exportverbot für harte Verschlüsselung in der Hand. Die Firma fordert, auch Software mit 128 Bit langen Schlüsseln exportieren zu dürfen - zumal solche Programme von ausländischen Mitbewerbern in die USA eingeführt werden."

Zwar bietet PGP dazu im Vergleich Schlüssellängen von bis zu 4096 Bit an. Jedoch kann man die von PGP eingesetzten Schlüssellängen nicht direkt mit dem DES-Algorithmus vergleichen.

"Zwar ist ein laengerer Schluessel schwerer zu brechen als ein kuerzerer Schluessel des selben Verfahrens, wenn die unterschiedlich großen Schluesselraeume tatsaechlich mit der gleichen Form des systematischen Ausprobierens (Brute Force) durchsucht werden muessen. Die Staerke eines Schluessels haengt jedoch auch vom Verfahren ab. Ein von PGP verwendeter oeffentlicher RSA-Schluessel besteht aus dem Produkt zweier großer Primzahlen (n=pq) und einem Exponenten. Um daraus den privaten Schluessel zu berechnen, genuegt es n zu faktorisieren, also in seine beiden Primfaktoren p und q zu zerlegen. Das ist mit Hilfe moderner Erkenntnisse der Zahlentheorie viel schneller als alle Moeglichkeiten durchzuprobieren. Deshalb ist z.B. ein 2048 Bit langer RSA-Schluessel leichter zu brechen als ein 128 Bit langer IDEA-Schluessel. Im Allgemeinen müssen asymmetrische Schluessel deutlich länger sein als symmetrische, um eine vergleichbare Sicherheit zu bieten." (so schrieb mir Externe Homepage Oliver Reiter zu diesem Thema. Oliver hat übrigens auch ein paar Sicherheitshinweise auf seiner WebSite Externer Link http://www.reiter.to/it/whitepapers/sicherheit.html)

Fest steht, daß bis heute niemand oeffentlich nachweisen konnte eine mit PGP verschluesselte Nachricht ohne den privaten Schluessel entschluesselt zu haben.

Oliver Reiter schreibt weiter: "Mit den heutigen, oeffentlich zugaenglichen Moeglichkeiten der Wissenschaft und der Technik ist PGP nicht zu brechen. Zwar zeigte sich in der Vergangenheit, daß die NSA (National Security Agency, Sicherheitsbehoerde der USA) mitunter der oeffentlichen Kryptographie um Jahre voraus war; es ist jedoch unwahrscheinlich, daß so bahnbrechende Erkenntnisse, wie sie zum leichten Brechen von PGP-Nachrichten notwendig sind, der Oeffentlichkeit lange vorenthalten werden koennten."

 

Gibt es auch eine Version für MS-DOS?

Ja! Neben der zur Zeit aktuellen Freeware-Version PGP 5.5.3i für Windows95/NT gibt es eine Vielzahl von Versionen für unterschiedliche Betriebsysteme. Sehen Sie dazu bitte Externer Link http://www.pgpi.com/versions/freeware.shtml.

Die kommerziellen Versionen finden Sie unter: Externer Link http://www.pgpi.com/versions/commercial.shtml

 

Ich habe gehört, daß Verschlüsselung verboten werden soll, weil Kriminelle sie zur Tarnung benutzen. Ist das wahr?

Viele Regierungen, Firmen und Gesetzeshüter benutzen Verschlüsselung um ihre Operationen zu verstecken. Ja, einige Kriminelle benutzen auch solche Verschlüsselungen. Kriminelle benutzen aber auch häufiger Autos, Handschuhe und Masken, um zu entkommen. Und dabei kommt doch keiner auf die Idee z.B. Autos zu verbieten.

In einem Großteil der zivilisierten Welt ist Verschlüsselung entweder legal, oder sie wird zumindest toleriert. Trotzdem gibt es einige Länder, wo derartige Praktiken Sie vor ein Erschießungskommando bringen können! Machen Sie sich mit der Gesetzgebung in Ihrem eigenen Land vertraut, bevor Sie PGP oder irgend eine andere Verschlüsselungssoftware benutzen. Einige der Länder, in denen Verschlüsselung illegal ist, sind Frankreich, der Iran, Rußland und der Irak. Beachten Sie dies bitte, wenn Sie Ihr Notebook mit auf Reisen nehmen.

Für Deutschland ist dieses Thema in der Diskussion: Während der Präsident des Bundesverfassungschutzes, Peter Frisch, Programme wie PGP gern verbieten lassen möchte, ist unser Bundeswirtschaftsminister da ganz anderer Meinung: Dr. Günter Rexrodt: „Nach wie vor lehne ich jede staatliche Kryptobeschränkung entschieden ab".

PGP ist "Verschlüsselung für die Allgemeinheit". Es gestattet dem gesetzestreuen Durchschnittsbürger einige der Schutzmaßnahmen, die die Regierungen und Firmen für sich beanspruchen.

Sollte uns die Politik in Deutschland dennoch ein Kryptogesetz bescheren, wie z.B. im Iran oder Irak, wird man sicher zukünftig auf Verfahren wie die Steganographie zurückgreifen. (Unter Steganographie versteht man die Technik der Verheimlichung der Existenz einer Kommunikation. Also, z.B. das Verstecken von Nachrichten in Bildern oder Sounddateien). Jeder kann sich sicher vorstellen, eine PGP-Nachricht in einer BMP-Datei (z.B. vom Bundespräsidenten) zu "verstecken".

Wer sich für das Thema Kryptographie und Politik interessiert, dem seien die Seiten von Ulf Möller im 'Thüringen-Netz' Externer Link  http://www.thur.de/ulf/krypto/index.html empfohlen. Ich kenne keine bessere Zusammenstellung im deutschen Sprachraum. Besonders kann ich seine Studienarbeit zum Thema "Anonymisierung von Internet-Diensten" empfehlen.

 

Wie installiert man PGP?

Ich will mich in diesem EDV-TIP nur mit der 32Bit-Version unter Windows95/NT beschäftigen. Alle anderen EDV-TIP-Leser müssen sich selbst durchkämpfen.

Wenn Sie das Programm aus dem Internet heruntergeladen haben (Externer Link http://www.pgpi.com/download/), starten Sie es einfach.

Sie erhalten folgendes Eingangsbild:

pgp01.gif (17364 Byte)

Wenn Sie den Text hübsch gelesen habe, klicken Sie auf "Next >".

pgp02.gif (9282 Byte)

Jetzt auf "Yes".

pgp03.gif (14545 Byte)

Nun geben Sie Ihren Namen (nicht meinen Namen) ein. Vergessen Sie auch die "Company" nicht, sonst sehen Sie den "Next"-Button nicht. Also, jetzt wieder auf "Next".

pgp04.gif (16062 Byte)

Jetzt stehen Sie vor der Frage, wo das Programm hin soll. Wo soll es abgespeichert werden? Die US-Version, sieht hier "C:\Program Files\..." vor. Wir ändern das aber in das für uns allgemein übliche Unterverzeichnis "C:\Programme\..." um. Dazu klicken Sie bei dem o.a. Bild auf "Browse...".

pgp05.gif (5582 Byte)

Ändern Sie den Path wie dargestellt ab und klicken Sie dann auf "OK".

pgp06.gif (3060 Byte)

Da das Unterverzeichnis noch nicht besteht, werden wir sicherheitshalber nochmals befragt. Wir antworten mit "Ja".

pgp07.gif (16062 Byte)

Jetzt wieder auf "Next".

pgp08.gif (17645 Byte)

Hier können wir nun die einzelnen Programmteile auswählen. Da Sie vermutlich nicht mit "Eudora" arbeiten, nehmen Sie bitte den Haken aus dem Feld heraus. Dann wieder auf "Next".

pgp09.gif (17587 Byte)

Wieder auf "Next".

pgp10.gif (32932 Byte)

Nun wird das Programm installiert.

pgp11.gif (2574 Byte)

Da Sie vermutlich noch keine PGP-Schlüssel installiert haben und somit auch keinen Schlüsselring, sagen Sie jetzt "Nein".

pgp12.gif (15081 Byte)

Da Sie sich in der Regel nicht für Handbücher interessieren, setzen Sie die Haken wie oben dargestellt. Klicken Sie nun auf "Finish".

Die Installation ist damit beendet.

PGP wird automatisch aufgerufen und erscheint mit folgendem Fenster:

pgp13.gif (24983 Byte)

Es geht weiter - natürlich mit "Weiter".

pgp14.gif (23991 Byte)

Geben Sie hier jetzt Ihren Namen und Ihre E-Mail-Adresse ein. Dann bitte wieder "Weiter".

pgp15.gif (24781 Byte)

Hier können Sie sich nun für ein Verschlüsselungsverfahren entscheiden. Wir lassen die Voreinstellung und klicken auf "Weiter".

pgp16.gif (25225 Byte)

Gehen Sie je nach Rechner ggf. auf 3072 bits. Denken Sie aber daran, daß Ihr Rechner dafür schnell genug sein muß. Ich habe hier die Voreinstellung belassen. Das war mir sicher genug. Nun wieder auf "Weiter".

pgp17.gif (24857 Byte)

Da Ihr Passwort nicht verfallen soll, lassen Sie die Voreinstellung wie sie ist und klicken Sie auf "Weiter".

pgp18.gif (24835 Byte)

Um eine Nachricht zu entschlüsseln, bzw. um Ihren privaten Schlüssel und PGP überhaupt richtig benutzen zu können, benötigen Sie ein Kennwort - das 'Mantra' (bitte nicht mit dem privaten Schlüssel verwechseln).

[Das Mantra = wirkungskräftiger religiöser Spruch - magische Formel der Inder].

Die Qualität des Kennwortes (also die Länge) wird Ihnen durch einen Balken angezeigt. Mischen Sie bitte Buchstaben und Zahlen für ein sicheres Kennwort.

Geben Sie also im Feld "Passphrase" das Kennwort ein und wiederholen Sie ihn im Fenster "Confirmation". Dann wieder auf "Weiter".

pgp19.gif (23641 Byte)

PGP erzeugt nun eine Zufallszahl. Bewegen Sie dazu Ihre Mouse hektisch hin und her. Sobald das Fenster "Weiter" aktiv ist, klicken Sie bitte dort.

pgp20.gif (22263 Byte)

Nun müssen Sie etwas Geduld mitbringen. PGP erstellt Ihnen einen Schlüssel. Dann klicken Sie wieder auf "Weiter".

pgp21.gif (24536 Byte)

Jetzt haben Sie die Möglichkeit, Ihren "öffentlichen" Schlüssel auf einen Key-Server zu übertragen. Da das je nach Netzwerkumgebung nicht ganz einfach ist, verzichten wir im ersten Schritt darauf. Und wieder auf "Weiter".

pgp22.gif (23793 Byte)

Nun noch auf "Fertig stellen" klicken.

pgp23.gif (12022 Byte)

Jetzt erscheint das o.a. Fenster. Es stellt Ihren Schlüsselring dar. Auf diesem Schlüsselring befindet sich natürlich Ihr eigener Schlüssel. Aber auch diverse öffentliche Schlüssel von Leuten, die Sie vermutlich nicht kennen. Markieren Sie die unbekannten Einträge mit der Mouse, so daß Ihr Fenster etwa so aussieht (Achtung markieren Sie Ihren eigenen Eintrag auf keinen Fall):

pgp24.gif (11959 Byte)

Drücken Sie nun auf der Tastatur die Taste "Entf". Es erscheint folgende Abfrage:

pgp25.gif (3011 Byte)

Klicken Sie auf "Yes to All".

pgp26.gif (6189 Byte)

Am Ende Ihrer Löscharbeit sollte nun nur noch ein Eintrag, nämlich Ihr eigener, stehen (siehe oben). Verlassen Sie nun das Programm, indem Sie oben rechts im Fenster auf das Kreuz klicken. Es erscheint nun folgende Abfrage:

pgp27.gif (4263 Byte)

Sie haben jetzt die Möglichkeit, Ihren "öffentlichen" und Ihren "privaten" Schlüssel zu sichern. Denken Sie daran, dass auch mal der Fall eintreten könnte, daß Ihre Festplatte den Geist aufgibt. Nutzen Sie also auf jeden Fall diese Möglichkeit mit "Save Backup Now".

Das Programm fragt nun, wo Sie die Files hinspeichern wollen. Legen Sie eine beschriftete, leere Diskette in Laufwerk A und verzweigen Sie in den folgenden (nicht mehr dokumentierten) Menüpunkten auf das entsprechende Laufwerk.

So, das war 'schon' alles.

Nachstehend finden Sie übrigens meinen "öffentlichen" Schlüssel:

Sie können diesen Schlüssel auf Ihren Schlüsselring übernehmen. Am einfachsten geht das, indem Sie auf das unten stehende Schlüsselsymbol klicken:

 

Key ID: 0x8747975B

User ID:Stefan Uchrin >mailadresse ( at ) edv-tipp.de<
Key ID: 0xF7514E1E
Fingerprint: EFA0 448D CE32 01A3 877B 339E C055 DE6F F751 4E1E

 

Mittels "Import" können Sie meinen "öffentlichen" Schlüssel problemlos in Ihren Schlüsselring aufnehmen.

In diesem Sinne wünsche ich Ihnen eine "recht gute Privatsphäre"


Stefan Uchrin

 

Last Update: 24.08.2008

 

 

PGP - Einführung

 

 

 

Home zu "http://www.edv-tip.de"