Was ist PGP?
Pretty Good Privacy (PGP/GnuPG)
ist ein anerkannter und sicherer De-facto-Standard
für authentische und vertrauliche E-Mails. Elektronische Nachrichten
sind auf dem Weg
durchs Netz neugierigen Blicken und Manipulationsversuchen ungeschützt
ausgeliefert.
Außerdem lassen sich Absenderangaben beliebig verfälschen, so dass über
die Identität
des Urhebers zunächst keine gesicherte Information vorliegt. Abhilfe
schafft Krypto-Software
wie PGP oder GnuPG.
PGP benutzt so genannte Public-Key-Verschlüsselung. Dabei besitzt
jeder
Anwender ein
zusammengehöriges Schlüsselpaar aus einem geheimen und einem
öffentlichen Schlüssel.
Daten, die mit dem öffentlichen Schlüssel chiffriert sind, lassen
sich
ausschließlich
mit dem geheimen Gegenstück wieder dechiffrieren. Umgekehrt kann ein
Anwender beispielsweise
für einen Text mit seinem geheimen Schlüssel eine digitale Signatur
erstellen.
Deren Überprüfung durch einen Empfänger fällt nur bei Verwendung des
zugehörigen
öffentlichen Schlüssels und des unveränderten Textes positiv aus. So
können zweifelsfrei
der Urheber einer Signatur bestimmt und Manipulationen an
unterschriebenen Daten
erkannt werden.
Wozu braucht man eine Zertifizierung?
Beider Erzeugungeines Schlüsselpaares gibt der PGP/GnuPG-Anwender Name
und
E-Mail-Adresse an, die in einer so genannten User-ID (UID) im
öffentlichen Schlüssel
abgelegt werden. Die angegebenen Daten sind jedoch beliebig. Deshalb
muss man sich vor
der Benutzung eines Public Keys davon überzeugen, dass er auch wirklich
zu seinem
vorgeblichen Inhaber gehört. Dies ist jedoch besonders schwierig, wenn
man sich (noch)
nicht persönlich kennt.
Die Echtheit eines Schlüssels kann auch durch die digitale Signatur
einer vertrauenswürdigen
dritten Partei bestätigt werden, der man die gewissenhafte
Uberprüfung
der gemachten
Angaben überlässt. Mit unserer Signatur zertifizieren wir die
Korrektheit der Daten in
den UIDs eines PGP-Schlüssels. Die Authentizität unserer
Signatur-Schlüssel lässt sich
anhand der im Heft abgedruckten PGP-Fingerprints leicht überprüfen.
Warum eine Krypto-Kampagne?
Anlass zum Start der Krypto-Kampagne im Frühjahr 1997 waren die
damals aufkommenden
Bestrebungen zur Einschränkung von Verschlüsselungstechnologien zu
Gunsten
einer einfacheren Strafverfolgung. Entsprechende Pläne wurden nicht
umgesetzt, kommen
aber immer wieder in die Diskussion. Seit 1997 hat die Krypto-Kampagne
mehr als
20000 PGP-Schlüssel signiert, was einen erheblichen Beitrag zur
Verbreitung des offen
PGP-Standards leisten konnte.
Die nun eingeführte Überprüfung der E-Mail-Adressen soll helfen, die
Qualität von Signa-
turen im PGP-Vertrauensnetz zu verbessern. Die Krypto-Kampagne
will
dadurch die
Vertrauenswürdigkeit von signierten PGP-Schlüsseln stärken und ein
stärkeres Bewusstsein
für den Umgang mit Identitäten, Signaturen und Verschlüsselung in einer
digitalen
Informations-Umwelt schaffen.
Heise Zeitschriften Verlag GmbH &
Co. KG | Redaktion c't | Helstorfer Straße 7 | 30625 Hannover
Key-ID DAFFB000 | Fingerprint A3B5 24C2 01A0 D0F2 355E 5D1F 2BAE 3CF6
DAFF B000