1

Mailverschlüsselung in der Praxis: PGP

Pretty Good Privacy (PGP)

PGP ist eine Software um seine Mails per Public-Key-Verschlüsselung vertraulich zu versenden. Bislang sind keine Schwachstellen in PGP bekannt.
Neben der kommerziellen Version gibt es auch unter dem Namen GnuPG eine kostenlose Variante.

Funktionen von PGP

  • Verschlüsseln von Dateien und E-Mails
  • Vertraulichkeit von E-Mails sichern (Mail durch Verschlüsselung für Fremde unlesbar machen)
  • Authentizität von E-Mails prüfen (ist die Mail wirklich von einem bestimmten Absender)
  • Schlüsselmanagement

PGP einsetzen

Linux-User können sich die Software über die Paketquellen herunterladen. Für Windows gibt es das GPG4Win Projekt.

Aber es geht noch einfacher:

Um PGP direkt im E-Mailprogramm zu nutzen existieren Erweiterungen für viele beliebte Mailprogramme:

Achten Sie beim Herunterladen darauf, ob die Dateien unverändert sind. Sie können das über den Vergleich von Hash-Werten, die auf der Seite angezeigt werden oder den Vergleich des Downloads von mehreren Quellen, wenn dies möglich ist.

Nach der Installation erstellen Sie ein Schlüsselpaar aus geheimen und öffentlichen Schlüssel. Sie haben hier ggf. die Wahl zwischen RSA (insbesondere bei älteren PGP-Versionen) und Diffie-Hellmann Schlüssel.
Achten Sie auf die Schlüssellänge: je länger, desto sicherer. Wählen Sie die größte Schlüssellänge.

Lange Schlüssel erfordern zwar mehr Rechenleistung, allerdings werden die Schlüssel nur selten neu erzeugt. Beim täglichen E-Mailversand werden Sie kaum einen Unterschied merken.

Speichern Sie den geheimen Schlüssel (private key) an einem sicheren Ort und legen Sie Sicherheitskopien der Schlüssel an, die vor Zugriff geschützt sind.
Geben Sie Ihren geheimen Schlüssel nie preis! Stellen Sie diesen insbesondere nicht ins Internet. Sonst kann ggf. jeder unter Ihrem Namen Mails signieren oder für Sie gedachte Mails entschlüsseln.

PGP verschlüsselt den geheimen Schlüssel zusätzlich mit einem Passwort, dass Sie selbst vergeben können. Dieses Passwort müssen Sie immer wieder eingeben. Falls Sie sich lange Passwörter nicht merken können, verwenden Sie eine Software wie KeePass, die Ihre Passwörter sicher verwaltet.

Ihre Kommunikationspartner benötigen den öffentlichen Schlüssel (public key) von Ihnen, um Mails an Sie verschlüsselt zu senden. Sie können diesen veröffentlichen, in dem Sie ihn

  • auf einen Server für öffentliche Keys, z.B. pgp.net stellen.
  • per Mail versenden.
  • auf Ihrer Homepage veröffentlichen.

Umgekehrt erfahren aus Sie auf diesem Weg, welchen öffentlichen Schlüssel Sie für den Mailversand an den Empfänger der Mail verwenden müssen.

Ein einmal erzeugter Schlüssel kann nicht einfach gelöscht werden, Sie müssen diesen zurückziehen (revoke). Die PGP Software erstellt Ihnen ein Widerrufszertifikat, mit dem Sie den alten Schlüssel für ungültig erklären.

Öffentlichen Schlüssel prüfen

Wenn Sie einen neuen öffentlichen Schlüssel aufnehmen stellt sich die Frage, ob dieser wirklich Ihrem Kommunikationspartner gehört.

Sie können ihn anrufen und die Schlüssel vergleichen. Eine Alternative ist die Verwendung eines Vorstellers: jemand der hinreichend vertrauenswürdig und dessen öffentlicher Schlüssel bereits bekannt ist, signiert den Schlüssel des neuen Kommunikationspartners.

Weitere (technische) Informationen, wie PGP Verschlüsselung funktioniert, finden Sie u. a. hier

mickser