Archive

Category Archives for "E-Mail"
1

PGP: technischer Hintergrund

Verschlüsselung

PGP ist ein sogenannter hybrides Verschlüsselungsverfahren, verwendet also sowohl symmetrische als auch asymmetrische Verschlüsselung.

Die Nachrichten werden mit einem symmetrischen Schlüssel, dem Session Key, verschlüsselt. Der Schlüssel wird dabei von PGP erstellt und verwaltet.

PGP führt bei der Verschlüsselung einer Mail folgende Schritte durch:

  • Die Nachricht N wird per ZIP-Verfahren komprimiert.
  • Der Sitzungsschlüssel (Session Key) wird erstellt.
  • Die Nachricht N wird mit dem Session Key symmetrisch verschlüsselt.
  • Der Session Key wird mit dem öffentlichen Schlüssel (public key) des Empfängers asymmetrisch verschlüsselt.
  • Die verschlüsselte Nachricht N und der verschlüsselte session key werden an den Empfänger gesendet.

Der Empfänger kann mit seinem geheimen Schlüssel (private key) den Session Key entschlüsseln und mit dem session key die Nachricht lesen.

Vorteil dieses Verfahrens ist, dass die Verschlüsselung und Entschlüsselung durch ein symmetrisches Verfahren sehr schnell erfolgt.

Wenn die Nachricht an mehrere Empfänger geht, muss diese nicht erneut bearbeitet werden, sondern nur der session key mit dem öffentlichen Schlüssel des Empfängers neu verschlüsselt werden.

Nachricht digital signieren

PGP bietet die Möglichkeit, die Nachricht digital zu signieren, um sicherzustellen, dass die Nachricht nicht manipuliert wurde.

PGP wendet dazu folgende Schritt an:

  • Eine Hash-Funktion berechnet aus Nachricht N einen Hashwert.
  • Dieser Wert wird mit dem geheimen Schlüssel (private key) des Absenders asymmetrisch verschlüsselt und an die Nachricht angehängt, anschließend noch komprimiert (ZIP).
  • Optional kann die Nachricht verschlüsselt werden (siehe oben).
  • PGP sendet Nachricht und  verschlüsselten Hashwert an den Empfänger

Der Empfänger kann anhand des öffentlichen Schlüssels des Absenders (public key) den Hashwert entschlüsseln.

1

Mailverschlüsselung in der Praxis: PGP

Pretty Good Privacy (PGP)

PGP ist eine Software um seine Mails per Public-Key-Verschlüsselung vertraulich zu versenden. Bislang sind keine Schwachstellen in PGP bekannt.
Neben der kommerziellen Version gibt es auch unter dem Namen GnuPG eine kostenlose Variante.

Funktionen von PGP

  • Verschlüsseln von Dateien und E-Mails
  • Vertraulichkeit von E-Mails sichern (Mail durch Verschlüsselung für Fremde unlesbar machen)
  • Authentizität von E-Mails prüfen (ist die Mail wirklich von einem bestimmten Absender)
  • Schlüsselmanagement

PGP einsetzen

Linux-User können sich die Software über die Paketquellen herunterladen. Für Windows gibt es das GPG4Win Projekt.

Aber es geht noch einfacher:

Um PGP direkt im E-Mailprogramm zu nutzen existieren Erweiterungen für viele beliebte Mailprogramme:

Achten Sie beim Herunterladen darauf, ob die Dateien unverändert sind. Sie können das über den Vergleich von Hash-Werten, die auf der Seite angezeigt werden oder den Vergleich des Downloads von mehreren Quellen, wenn dies möglich ist.

Nach der Installation erstellen Sie ein Schlüsselpaar aus geheimen und öffentlichen Schlüssel. Sie haben hier ggf. die Wahl zwischen RSA (insbesondere bei älteren PGP-Versionen) und Diffie-Hellmann Schlüssel.
Achten Sie auf die Schlüssellänge: je länger, desto sicherer. Wählen Sie die größte Schlüssellänge.

Lange Schlüssel erfordern zwar mehr Rechenleistung, allerdings werden die Schlüssel nur selten neu erzeugt. Beim täglichen E-Mailversand werden Sie kaum einen Unterschied merken.

Speichern Sie den geheimen Schlüssel (private key) an einem sicheren Ort und legen Sie Sicherheitskopien der Schlüssel an, die vor Zugriff geschützt sind.
Geben Sie Ihren geheimen Schlüssel nie preis! Stellen Sie diesen insbesondere nicht ins Internet. Sonst kann ggf. jeder unter Ihrem Namen Mails signieren oder für Sie gedachte Mails entschlüsseln.

PGP verschlüsselt den geheimen Schlüssel zusätzlich mit einem Passwort, dass Sie selbst vergeben können. Dieses Passwort müssen Sie immer wieder eingeben. Falls Sie sich lange Passwörter nicht merken können, verwenden Sie eine Software wie KeePass, die Ihre Passwörter sicher verwaltet.

Ihre Kommunikationspartner benötigen den öffentlichen Schlüssel (public key) von Ihnen, um Mails an Sie verschlüsselt zu senden. Sie können diesen veröffentlichen, in dem Sie ihn

  • auf einen Server für öffentliche Keys, z.B. pgp.net stellen.
  • per Mail versenden.
  • auf Ihrer Homepage veröffentlichen.

Umgekehrt erfahren aus Sie auf diesem Weg, welchen öffentlichen Schlüssel Sie für den Mailversand an den Empfänger der Mail verwenden müssen.

Ein einmal erzeugter Schlüssel kann nicht einfach gelöscht werden, Sie müssen diesen zurückziehen (revoke). Die PGP Software erstellt Ihnen ein Widerrufszertifikat, mit dem Sie den alten Schlüssel für ungültig erklären.

Öffentlichen Schlüssel prüfen

Wenn Sie einen neuen öffentlichen Schlüssel aufnehmen stellt sich die Frage, ob dieser wirklich Ihrem Kommunikationspartner gehört.

Sie können ihn anrufen und die Schlüssel vergleichen. Eine Alternative ist die Verwendung eines Vorstellers: jemand der hinreichend vertrauenswürdig und dessen öffentlicher Schlüssel bereits bekannt ist, signiert den Schlüssel des neuen Kommunikationspartners.

Weitere (technische) Informationen, wie PGP Verschlüsselung funktioniert, finden Sie u. a. hier