Emails verschlüsseln? Warum das denn?

Lieber PC-Anwender!

Ich verwende schon seit einer Weile PGP für meine Emails und du solltest das eigentlich auch machen :). Berechtigterweise wirst du, lieber PC-Anwender, mir jetzt an dieser Stelle zwei Fragen stellen:

  1. Was ist PGP?
  2. Warum soll ich das nochmal verwenden?

Daher werde ich mir kurz Zeit nehmen und dir diese Fragen beantworten:

1. Was ist PGP

PGP steht “Pretty Good Privacy” und ist ein Programm mit dem du eMails verschlüsseln und signieren kannst. Das hat im wesentlichen zwei Vorteile:

  • Du kannst deine Emails verschlüsseln, sodass nur du und der Empfänger die Email auch tatsächlich lesen können.
  • Du kannst deine Emails digital signieren, sodass der Empfänger sich auch sicher sein kann, dass die Email die du versandt hast tatsächlich von dir ist.

Technisch funktioniert das folgendermaßen: Mit deinem Verschlüsselungsprogramm erstellst du dir ein Schlüsselpaar (im Prinzip sind das zwei lange Zeichenketten die mithilfe wilder Mathematik miteinander verwandt sind, frag mich nichts genaueres, Kryptographie steht bei mir nicht auf dem Stundenplan, daher sind meine Kenntnisse der mathematischen Theorie dahinter vage. Auf jeden Fall etwas mit groooooßen Primzahlen). Das Schlüsselpaar wird mit einer Passphrase geschützt die nur du und sonst niemand kennen sollte. Noch nicht mal dein Hund.

Einen der beiden Schlüssel speicherst du auf deinem Rechner und sorgst dafür, dass dieser Schlüssel niemanden sonst in die Hände fällt ausser dir! Mit diesem Schlüssel (wir nennen ihn auf neudeutsch auch “Private Key”) wirst du schon bald deine Emails signieren und verschlüsselte Emails die dir von anderen netten Menschen zugeschickt wurden entschlüsseln. Den zweiten der beiden Schlüssel (wir nennen ihn entsprechend “Public Key”) lädst du auf einen (oder mehrere) Schlüsselserver hoch. Dann kann jeder der dir eine verschlüsselte Mail schicken will deinen öffentlichen Schlüssel suchen und damit die Email die er an dich schickt verschlüsseln. Du wiederum erhältst die Email, PGP erkennt, dass die Email verschlüsselt ist und bittet dich um die Passphrase. Mithilfe der Passphrase und dem private Key wird die Email entschlüsselt und du kannst in Ruhe lesen. Wenn du eine Email signierst funktioniert das Prinzip anders herum: Mit der Passphrase und dem Private Key erstellst du eine Signatur die PGP an deine Email anhängt. Der Empfänger kann nun mit dem Public Key überprüfen ob die Email tatsächlich von dem vorgegeben Absender stammt. Ist er sich unsicher schnappt er sich das Telefon und ruft kurz an, dann könnt ihr einen sogenannten Schlüssel-Fingerabdruck vergleichen. Dies ist eine (mit hoher Wahrscheinlichkeit) einmalige Kennnummer anhand der sich der Schlüssel identifizieren lässt. Der Empfänger kann nun in PGP die Echtheit der Signatur bestätigen und von nun an weiss PGP, dass die Emailsignatur echt ist. Toll, nicht?

Die ganze Signiererei, Ver- und Entschlüsselei der Emails läuft meistens über ein PGP-Plugin, das von den meisten Emailprogrammen mitgeliefert wird. Wenn dein Emailprogramm keine PGP-Unterstützung besitzt solltest du definitiv ein anderes Programm verwenden.Und wo wir grad schon dabei sind… Outlook solltest du nicht verwenden, der Komfort ist die miese Sicherheit nicht wert (mal abgesehen von dem Spaß den du hast wenn du später mal versuchst deine Emails aus Outlook in ein anderes Programm zu exportieren). Verwende am besten Thunderbird oder Evolution. Zurück zum Thema:

Es sollte dir jetzt eigentlich halbwegs klar sein, wie das ganze Prinzip funktioniert, hier noch mal kurz das wichtigste: Public Key: Verschlüsseln & Signatur überprüfen; Private Key: Entschlüsseln & Signieren. Kommen wir zum viel wichtigeren Teil:

2. Warum soll ich das nochmal verwenden?

Die Antwort ist relativ simpel: Wenn du eine private Email in das weite Netz hinaus schickst, so ist der Inhalt der Email an jedem Knotenpunkt an dem die Email vorbei läuft einsehbar. Wenn du wissen willst an wie vielen Knotenpunkten so eine Email vorbei läuft kannst du mal spasshalber auf Start > Ausführen gehen und cmd eingeben. In das schwarze Fenster mit weisser Schrift gibst du jetzt folgenden Befehl ein: tracert smtp.gmail.com. Der Befehl macht nichts anderes als ein paar Datenpakete an den Mailserver von Gmail zu schicken (du darfst das gerne auch mit anderen Mailservern probieren, das Ergebnis wird ähnlich sein) und die Adressen der Computer rückzuverfolgen an denen das Datenpaket vorbeikommt. Würdest du jetzt keine beliebigen Datenpakete sondern eine Email verschicken, so könnte jeder Administrator der Zugang zu einem dieser Rechner hat zumindest Auszüge aus deiner Email lesen. Theoretisch hätte dein Internetprovider die Möglichkeit alle deine Emails zu speichern und in einem großen Aktenordner abzuheften. Wenn du Emails von der Uni, der Schule oder der Arbeit aus versendest gilt das selbe für deine Uni, Schule oder deinen Arbeitgeber.

Theoretisch könnte Papa Staat auf die Idee kommen alle Emails auf Schlüsselwörter die auf Terrorismus oder Kinderpornographie hinweisen zu durchsuchen und daraufhin auf Verdacht hin einzelne Menschen ins Fahndungsvisier zu nehmen (praktisch ist er bereits lange auf diese Idee gekommen und es ist nicht davon auszugehen, dass dies im Einzelfall nicht bereits geschieht). Das Problem ist, dass jeder Algorithmus (die Emails werden ja nicht von Hand durchsucht, sondern von Suchmaschinen gescannt und gerankt) auch Fehlalarme erzeugen kann. Die Staatsanwalt ist in jüngster Vergangenheit bei Großfahndungen gegen Onlinekriminalität nicht gerade glimpflich vorgegangen und hat dabei eine Menge Kollateralschaden (d.h. Menschen deren Existenz durch den Verdacht auf Besitz und Weiterverbreitung von Kinderpornographie vernichtet wurde) verursacht. Toll wenn man in einem Rechtsstaat lebt, nicht? Dank der Hetze die von gewählten Volksvertretern wie Herrn Schäuble und Frau “Was-genau-ist-nochmal-dein-Amt-und-was-hat-das-mit-dem-Internet-zu-tun” von der Leyen betrieben wird steht wohl jeder Bürger bereits unter Generalverdacht ein potentieller Terrorist der Menschenhändler zu sein. In Herr Schäubles Welt erscheint es legitim nach Gutdünken den Datenverkehr zu durchleuchten und auf Vorrat zu speichern. “Ich hab ja nichts zu verbergen…” ist bei derartigen Fahndungsmethoden eine der dümmsten denkbaren Argumentationsarten. Statistische Fahndungsmethoden (Rasterfahndung) werden immer einen statistischen Bedingen Prozentsatz an Fehlverdachten haben und gerade bei Themen wie Kinderpornographie gilt: Etwas bleibt immer hängen.

Aber bevor ich mich hier in Rage tippe und ein völlig anderes Thema anschneide, die Conclusio: Besser heute anfangen zu verschlüsseln als morgen! Ausserdem gibt es noch einen unglaublich guten Grund warum du PGP verwenden solltest: Dank dem assymetrischen Schlüsselverfahren kann ich nur Emails an Leute verschlüsseln die selbst einen Schlüssel besitzen… Somit zwingt alle die ihr kein PGP verwendet mich dazu meine Emails auch im Klartext durchs Internet zu versenden… Daher helf ich auch gerne aus wenn ihr das mit dem Schlüssel generieren und verwenden nicht hinbekommt.

Achja meine Public-Key-ID ist übrigens 4459D136 und hier gibts noch einen guten Link mit einer guten Anleitung zum Thema:

Einklich.net – PGP-Anleitung

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: