Mit PGP zur sicheren E-Mail (1/5)

4707352284_1c16757218_o

Viele Nutzer zögern bislang, ihre E-Mails zu verschlüsseln. Mit PGP lässt sich jedoch ganz einfach ein hohes Maß an Datenschutz erreichen.

(Wenn Du Dich mehr für E-Mail-Verschlüsselung nach dem S/MIME-Standard interessierst, kannst Du direkt hier weiterlesen.)

Manche Chat-Anwendungen verschlüsseln schon jetzt alle Nachrichten, bevor sie sie verschicken (lies hier weiter). Der Sicherheitsstandard von E-Mails ist dagegen weiterhin vorsintflutlich. Sie werden deswegen oft mit Postkarten verglichen: Jeder, der sie abfängt, kann sie lesen. Datenschutzexperten predigen daher seit Jahren, auf die kostenlos verfügbare und technisch ausgereifte E-Mail-Verschlüsselung umzusteigen (lies z. B. hier weiter). Besonders gefragt sind dabei Wissensarbeiter, die beruflich viele E-Mails mit vertraulichem Inhalt verschicken: Ärzte, Anwälte, Journalisten, Wissenschaftler, Unternehmer, Therapeuten, Steuerberater, usw. Aber auch private E-Mails enthalten bekanntlich genügend Informationen, die weder den Staat noch Unternehmen etwas angehen — geschweige denn kriminelle Hacker.

Eine der ältesten Technologien zum Schutz der digitalen Privatsphäre hat den schönen Namen PGP („Pretty good privacy“). PGP arbeitet mit so genannten asymmetrischen Schlüsselpaaren. Diese bestehen immer aus zwei Textdateien: dem privaten und dem öffentlichen Schlüssel. Jedes Schlüsselpaar wird mit Hilfe spezieller, frei verfügbarer Software vom Nutzer selbst lokal erzeugt, seiner E-Mail-Adresse zugeordnet und mit einem Passwort geschützt. Der private Schlüssel bleibt beim Nutzer. Er sollte gut verwahrt werden — man braucht ihn für das Entschlüsseln von Nachrichten. Der öffentliche Schlüssel wird dagegen auf speziellen Servern gespeichert und ist dort jedem Kommunikationspartner zugänglich. Man kann ihn auch einfach als E-Mail-Anhang verschicken.

Wie genau läuft nun der Austausch verschlüsselter Nachrichten ab? Stellen wir uns hierfür zwei Menschen vor: Bob und Alice.

  • Wenn Alice eine verschlüsselte Nachricht an Bob schicken möchte, dann verwendet sie dafür Bobs öffentlichen Schlüssel. Diesen kann sie von einem Schlüsselserver herunterladen, indem sie dort nach Bobs Namen oder seiner E-Mail-Adresse sucht. Sie kann ihn sich aber auch von Bob als E-Mail-Anhang zuschicken lassen. Mit diesem Schlüssel verschlüsselt Alice nun die neue Nachricht und schickt sie anschließend an Bob. Nur Bob wird die Nachricht mit seinem privaten Schlüssel wieder entschlüsseln können.
  • Um Alice zu antworten, verwendet Bob ihren öffentlichen Schlüssel. Nur sie wird diese Nachricht lesen können, indem sie sie mit ihrem privaten Schlüssel wieder entschlüsselt.

Das Verfahren erscheint zunächst einmal wenig intuitiv. Öffentliche und private Schlüssel stehen ja offensichtlich in einem klaren mathematischen Zusammenhang. Wenn die öffentlichen Schlüssel für jeden verfügbar sind, wieso können dann aus ihnen nicht auch die passenden privaten Schlüssel ermittelt werden?

Der Grund hierfür ist ein spezielles mathematisches Verfahren, das mit einer so genannten „Falltürfunktion” arbeitet (lies z. B. hier weiter). Sie lässt sich blitzschnell in die eine Richtung ausführen. Wenn man sie aber rückgängig machen möchte, benötigt man dafür sehr viel Zeit und sehr viel Rechenkapazität — oder den privaten Schlüssel. Ein öffentlicher PGP-Schlüssel kann daher auch mit einem Vorhängeschloss verglichen werden, von dem in aller Welt identische Kopien verteilt werden. Jeder kann ein solches Schloss zuschnappen lassen — aber nur der Besitzer kann es mit seinem privaten Schlüssel wieder öffnen.

Im Vergleich zum aktuell üblichen Verschicken unverschlüsselter E-Mails kann PGP daher als wirklich sehr großer Zugewinn an Datenschutz gelten. Wohlgemerkt werden dabei nur die Nachricht selbst und evtl. vorhandene Anhänge verschlüsselt. Die so genannten Metadaten (v.a. Absender, Empfänger, Zeitpunkt des Sendens, Betreff) bleiben sichtbar — so wie auch ein Postbote bei jedem Brief den Absender, den Empfänger und den Poststempel sehen kann. Den Inhalt des Briefes kann er dagegen nicht lesen. PGP sorgt dafür, dass das auch bei E-Mails der Fall ist.

Wie schützt Du Deine E-Mail-Kommunikation? Hinterlass einen Kommentar!

Weiter zu Teil 2 →

Wer sich etwas ausführlicher in die Thematik einlesen möchte, findet hier einen sehr fundierten und verständlich geschriebenen Reader. Eine spannend zu lesende Kulturgeschichte der Verschlüsselung stammt aus der Feder von Simon Singh: The Code Book / dt. Geheime Botschaften (siehe Literaturhinweise).

Bildnachweis: Day 161 – Keys by Iain Watson on flickr.com (creative commons-Lizenz, bestimmte Rechte vorbehalten: CC BY 2.0)

Hat Dir der Beitrag gefallen? Empfiehl ihn weiter! Einfach einen der unten eingeblendeten Buttons anklicken. Danke!

Dieser Text ist lizenziert unter einer Creative Commons Namensnennung – Nicht kommerziell – Keine Bearbeitungen 4.0 International Lizenz.

Creative Commons Lizenzvertrag