Das Protokoll OpenPGP, zum Absichern von elektronischer Kommunikation und Speicherdaten, ist eigentlich gar nicht so kompliziert. In diesem Artikel wird ein kurzer Einblick in die Welt von „Pretty Good Privacy“ (PGP) gegeben, sodass die Leichtigkeit der Benutzung und die kleinen Tücken, die es zu beachten gibt, nachvollzogen werden können. Abgeschlossen wird mit der Thematisierung mit einer interessanten Neuerung, die etwas Aufwind geben könnte.

Verständnis

OpenPGP ist (lediglich) ein Protokoll, dass die Art eines gesicherten Nachrichten-austausches definiert und festlegt, wie er vollzogen werden muss. Tatsächlich implementiert wird dieser Standard von der freien Software GnuPG, die unter sämtlichen Betriebssystemen verfügbar ist. GnuPG setzt also einen Nachrichten-austausch genauso um, wie es in dem Protokoll für eine sichere Kommunikation definiert wurde.

PGP ist ein Krypto System, das symmetrische und asymmetrische Verschlüsselung miteinander verbindet, um eine sichere „Ende-zu-Ende-Verschlüsselung“ zu erreichen. Die Software GnuPG bietet nun eine verhältnismäßig einfache Möglichkeit für Jedermann, um sicher zu kommunizieren. Eingesetzt wird GnuPG hauptsächlich für die Verschlüsselung von E-Mails, der altbewährten Methode digital Nachrichten zu versenden.

Benutzung

Um PGP verwenden zu können, benötigt man einen öffentlichen und einen privaten Schlüssel, die genau zueinander passen und ein Paar bilden. Das sogenannte Public-Private-Key-Pair. Der private Schlüssel identifiziert seine Person eindeutig, muss geheim und sicher aufbewahrt werden und ist zusätzlich mit einem Passwort, gen. „Passphrase“, geschützt. Der öffentliche Schlüssel passt genau zu seinem privaten Zwilling und dient zum allgemeinen Verteilen in der Öffentlichkeit. Das Erstellen eines solchen Schlüsselpaares ist recht leicht und wird von der Software GnuPG übernommen. Nach überlegter Wahl der Schlüssellänge und einer Passphrase ist alles erledigt und schon kann es losgehen.

Um nun eine verschlüsselte E-Mail an eine andere Person zu senden, wird der öffentliche Schlüssel des Empfängers benötigt. Dieser wird verwendet, um die Nachricht zu verschlüsseln. Der Empfänger kann daraufhin die verschlüsselte Nachricht mit Hilfe seines privaten Schlüssel wieder entschlüsseln. Dies funktioniert dank der mathematischen Eigenschaften des Private-Public-Key-Pairs. Die öffentlichen Schlüssel werden zum Beispiel über zentrale Schlüssel-Server öffentlich zur Verfügung gestellt. Dazu muss man seinen eigenen öffentlichen Schlüssel auf einen solchen Key-Server hochladen. Um nun an den öffentlichen Schlüssel einer gewünschten Person zu gelangen, können diese Key-Server nach dessen Namen durchsucht werden.

Dies muss jedoch nicht alles unbedingt von Hand gemacht werden. Die Software GnuPG bietet für einige gängige E-Mail-Programme Plug-Ins an, die das Erzeugen und Verwalten eines Schlüsselpaares, das Hochladen auf und Durchsuchen von Schlüsselservern sowie das Ver- und Entschlüsseln für den Nutzer sehr übersichtlich machen.

Tücken

Zum Glück ist das noch nicht alles. Denn das würde für eine tatsächlich sicher E-Mail-Kommunikation noch nicht reichen. Leider sind die nun folgenden Themen etwas komplizierter und bergen einige Tücken.

Häufig möchte man nicht nur den Inhalt einer Nachricht geheim halten, sondern zusätzlich versichern, dass die Nachricht von einem selber geschrieben und versendet wurde. Also die Nachricht unterschreiben. Dazu wird mit dem privaten Schlüssel des Senders eine Signatur der Nachricht generiert und der Nachricht angehängt. Der Empfänger kann die Signatur mit dem öffentlichen Schlüssel des Sender dann überprüfen. Dies wird ebenfalls von den Plug-Ins der E-Mail-Programme übernommen. Man muss lediglich auf die Warnmeldungen des Plug-Ins achten, die einen darauf hinweisen würde, wenn eine Signatur nicht erfolgreich verifiziert werden konnte.

Zu guter Letzt muss man sich die Frage stellen, wie einem öffentlichen Schlüssel vertraut werden kann. Denn auf das Vertrauen kommt es am Ende an, wenn eine Nachricht an dir richtige Person geschickt werden soll. Bei PGP wird dies über ein Vertrauensnetz, dem „Web-of-Trust“ geregelt. Nutzer von PGP können den öffentlichen Schlüssel anderer Nutzer mit dem eigenen privaten Schlüssel signieren und bezeugen damit, dass der Schlüssel tatsächlich der angegeben Person gehört. Kann in diesem Netz ein Pfad zwischen einem selber und dem öffentlichen Schlüssel eines gesuchten Empfänger hergestellt werden, kann dessen Schlüssel als vertrauenswürdig erachtet werden. Ein Pfad in diesem Netz heißt, dass man selber den Schlüssel einer anderen Person signiert hat, die ihrerseits wieder den Schlüssel einer anderen signiert hat, bis endlich jemand den Schlüssel des gesuchten Empfängers signiert hat. Damit dieses Prinzip jedoch funktioniert, muss jeder aktiv werden und sich im Web-of-Trust beteiligen. Das heißt, man muss öffentliche Schlüssel von Personen, denen man zu vertrauen gelernt hat oder dessen Schlüssel man über seinen Fingerprint persönlich verifizieren konnte, signieren. Dabei können Angaben nach der Stärke des Vertrauens angegeben werden. Man wird somit zum Bindeglied in diesem Vertrauensnetz.

Aufwind?

Am 7. Mai veröffentliche das Bundesamt für Sicherheit in der Informationstechnik (BSI), dass OpenPGP nun in Behörden dafür verwendet werden darf, Informationen der niedrigsten Geheimhaltungsstufe zu verschlüsseln und auszutauschen. Gemeint sind damit Informationen, die anhand ihrer Schutzbedürftigkeit als Verschlusssache und nur für den Dienstgebrauch (VS-NfD) eingestuft wurden. Interessant könnte dies zukünftig für Unternehmen sein, die mit Behörden beruflich zu tun haben und VS-NfD Daten zur Verarbeitung erhalten. Mit GnuPG wurde vom BSI eine Software zugelassen, die es diesen Unternehmen erleichtert, mit diesen Daten vorschriftsgerecht umzugehen.