GnuPG - Hintergrundinfos

Linux GnuPG - Hintergrundinfos

Im Prinzip ist Kryptographie eigentlich ganz einfach: Man will eine Information verschlüsselt einem Empfänger zukommen lassen, ohne dass andere diese lesen können. Der Grund, Verschlüsselung einzusetzen ist eigentlich schnell erklärt: Jede eMail wird über etliche Computer verschickt, bevor sie beim Empfänger ankommt. Man kann sich das wie einen Kurier vorstellen, der die Nachricht an einen anderen weiter reicht. Dabei kann jeder dieser Kuriere, also vor allem jeder, der Zugang zu diesen Rechnern hat, die eMail lesen. Da es für eMails kein Postgeheimnis gibt, steht man auch im Regen, wenn diese Informationen gegen einen selbst verwendet werden. So könnte man beispielsweise seine Wohnung in Gefahr bringen, wenn man per eMail guten Freunden mitteilt, dass man die nächsten zwei Wochen nicht zu Hause ist. Das mag paranoid klingen, aber bevor man etwa seine Kontoauszüge oder seine Geschäftsdaten per Postkarte verschickt, sollte man vielleicht über eine sicherere Möglichkeit nachdenken. Hinzu kommt noch, dass es bereits wirklich ausgereifte Software gibt, um eMails und andere Dinge zu verschlüsseln. So engagiert sich etwa der Heise-Verlag für den Einsatz von Verschlüsselung zum Schutze der Privatsphäre in seiner [LINK:START:88]Krypto Kampagne[LINK:END]. Aber auch das Bundesamt für Sicherheit in der Informationstechnik hat entsprechende [LINK:START:199]Infoseiten[LINK:END]. In diesem Artikel soll etwas auf die Hintergründe und einige damit zusammenhängende Begriffe eingegangen werden.

Synchrone Verfahren

Angenommen, die Verschlüsselung bestünde darin, alle Buchstaben im Alphabet um ein Zeichen nach hinten zu schieben, so dass aus dem "A" ein "B" wird usw... Dann kann man dieses Vorgehen in zwei Informationen aufteilen. Zum einen ist das der Algorithmus (das Verfahren), bei dem man hier die Buchstaben im Alphabet verschiebt. Dann kommt noch, der "Schlüssel" hinzu. Das ist hier die Zahl eins, da die Buchstaben um genau ein Zeichen verschoben werden. Der Absender und der Empfänger kennen beide den Schlüssel und den Algorithmus. Der Absender schiebt die Buchstaben in eine Richtung, der Empfänger wieder zurück. So wird der Text wieder entschlüsselt. Bei jedem synchronen Verfahren sind sofort beide Seiten betroffen, wenn der Schlüssel und das Verfahren erkannt werden.

Asynchrone Verfahren

Bei einem asynchronen Verfahren ist es nicht etwa so, dass es einen Schlüssel gibt, den beide Seiten kennen. Das besondere bei asynchroner Verschlüsselung ist, dass der Empfänger einen privaten Schlüssel hat, den keiner kennt, außer ihm. Dazu passend gibt es einen öffentlichen Schlüssel, den man nur zum Verschlüsseln verwenden kann. Der öffentliche Schlüssel wird weitergegeben und bietet keine Möglichkeit, Rückschlüsse auf den privaten Schlüssel zu ziehen. Beide Seiten kennen also das Verfahren, nicht jedoch die gleichen Schlüssel. [LINK:START:89]GnuPG[LINK:END] verwendet so ein asynchrones Verfahren.

Digitale Signaturen

Eine digitale Signatur ist quasi eine Prüfsumme über eine Datei, die man nur mit seinem privaten Schlüssel anlegen kann. Andere können diese Signatur aber mit dem öffentlichen Schlüssel der entsprechenden Person auf Korrektheit hin prüfen und somit feststellen, ob die Datei wirklich vom Absender stammt. Wurde die Datei von einer dritten Person verändert, dann schlägt diese Prüfung fehl und der Empfänger sollte die Finger von der Datei lassen. Anders herum ist eine digitale Signatur ebenso eine Art Unterschrift, bei der man automatisch die Verantwortung für eine signierte Datei übernimmt.

Schlüssel Signieren

Nun kann natürlich die Frage aufkommen, wie man einen öffentlichen Schlüssel von jemand anderem erhält und ob man dieser Person bzw. diesem Schlüssel traut. Das Vertrauen in einen Schlüssel wird in der Regel ausgedrückt, indem man einen Schlüssel signiert, also seine digitale Unterschrift darunter setzt.

Fingerabdrücke

Ein Fingerabdruck (Fingerprint) ist eine Zahlen- und Buchstaben-Kombination, die bei jedem Schlüssel anders ist. Damit kann man zum Beispiel prüfen, ob jemand den richtigen Schlüssel als seinen eigenen angegeben hat.

Web of Trust

Das "Web of Trust" ist quasi eine Aktion, mit der man den breiten Einsatz von vertrauenswürdigen Schlüsseln fördern will. Dabei gibt es feste Regeln, was passieren muss, bis ein Schlüssel signiert werden darf:
1. Die Identität der Person ist zu klären (Personalausweis).
2. Es ist zu klären, ob der Schlüssel zur Person gehört (Fingerabdruck des Schlüssels).
Das Web of Trust beruht auf der Annahme, dass man einem Schlüssel vertrauen kann der zwar nicht von einem selbst signiert wurde, jedoch von jemand anderem, dessen Schlüssel man signiert hat. Dabei würde man quasi dem Bekannten eines Bekannten vertrauen, was schon etwas fragwürdig ist. Noch fragwürdiger wird das Vertrauen in einen Schlüssel, wenn man einem Bekannten eines Bekannten eines Bekannten ... vertraut, der dann irgendwann den Schlüssel des Adressaten signiert hat. Es ist also kein Garant für Sicherheit, jedoch eine Hilfe bei der Orientierung, wem man nun vertraut und wem nicht.

Artikelbewertung: 
4
Average: 4 (1 vote)
War dieser Artikel hilfreich?