Einführung in Verschlüsselung

1. Zu was ist denn das gut?

Why don't you always send your paper mail on postcards?
Why require a warrant for police searches of your house?
Are you trying to hide something?
If you hide your mail inside envelopes, does that mean you must
be a suversive or a drug dealer, or maybe a paranoid nut?
Do law-abiding citizens have any need to encrypt their email?

Phil Zimmermann (Autor von PGP)

Dateien auf der lokalen Festplatte, Dateien in einem Computernetzwerk, Elektronische Post (E-Mail) aber auch Sprache sind Informationen die häufig vor fremden Zugriffen geschützt sein sollen. Dieser Schutz ist aber bei vielen informationstechnischen Anlagen nicht immer gewährleistet. Die lokale Festplatte ist meist überhaupt nicht geschützt und das Computernetzwerk hält eventuell Angriffen nicht stand oder wird durch spezielle Programme die im Internet zur Verfügung stehen abgehört. E-Mail durchläuft auf ihrem Weg vom Absender zum Empfänger die verschiedensten Stationen und kann überall ohne Probleme mitgelesen werden. Verschlüsselung ist hier eine Möglichkeit um Zugriff von Unbefugten auf schutzwürdige Informationen zu verhindern.

Ein weiteres Problem der elektronischen Kommunikation ist die Verläßlichkeit von Informationen. Bei Schriftstücken kennt man schon lange die persönliche Unterschrift. Sie bietet in mehrfacher Sicht gute Dienste. Einige Beispiele:

• Der Empfänger kann damit überprüfen ob erhaltene Informationen tatsächlich vom Unterzeichner stammen.
• Der Unterzeichner kann die Kenntnis der von ihm unterzeichneten Informationen nicht mehr abstreiten.
• Durch entsprechende Plazierung der eigenen Unterschrift kann nachträglich an einem Schriftstück nichts mehr hinzugefügt werden.

Durch Verfahren der Verschlüsselung ist es auch bei digitalen Medien möglich Dokumente bzw. Dateien mit nicht fälschbaren digitalen Unterschriften zu versehen.

Eine international anerkannte Möglichkeit zur Informationsverschlüsselung bzw. zur Erstellung digitaler Unterschriften ist die Verschlüsselung mit Programmen wie z.B. "GNU Privacy Guard" oder "Pretty Good Privacy (PGP)". Diese Programme kommen insbesondere bei der Übertragung von elektronischer Post (E-Mail) zum Einsatz. Es besteht jedoch auch die Möglichkeit Dateien durch Verschlüsselung zu schützen oder Dateien auf einer Festplatte so zu löschen, so dass sie auch in speziellen Labors nicht mehr restauriert werden können. Der Programmquelltext steht der ganzen Welt zur Prüfung der eingesetzten Verfahren zur Verfügung. Damit wird sichergestellt, dass die Verfahren zuverlässig arbeiten und keine "Hintertüren" eingebaut sind.

Der vorliegende Artikel verfolgt zwei Ziele:

1. Die bei der Verschlüsselung eingesetzten Prinzipien und Verfahren sollen anschaulich erklärt werden. Sie werden nämlich in einer Vielzahl von Anwendungen, z.B. https, SSH, Chipkarten, ...eingesetzt und haben alleine deshalb schon eine große Bedeutung.
2. Außerdem soll die Installation und die Bedienung von Pretty Good Privacy (PGP) in der Version 6.5.1i erläutert werden.

2. Verschlüsselungsverfahren

Die Mechanismen moderner Verschlüsselung basieren auf mathematischen Verfahren. Diese kann man sich als eine Art Maschine vorstellen deren Verhalten durch eine Vielzahl von Reglern eingestellt werden kann. Je nach Einstellung der Regler wird Eingangsmaterial verarbeitet und daraus verschlüsseltes Ausgangsmaterial produziert. Die Einstellung der Regler und damit das genaue Verhalten der Maschine erfolgt mit Hilfe großer Zahlen. Zur Veranschaulichung kann man sich die einzelnen Ziffern dieser Zahlen als die Zähne eines Schlüssels vorstellen. Die Variation und Reihenfolge der Ziffern bildet gleichsam den Bart des Schlüssels. Je länger und abwechslungsreicher dieser ist um so sicherer ist der Mechanismus. Verschlüsselungsexperten empfehlen nur Verfahren zu verwenden, deren Funktionsweise und Algorithmen offengelegt sind und von weiteren unabhängigen Experten überprüft wurden. Nur durch diese Offenlegung der "Maschinenbaupläne" kann sichergestellt werden, daß keine "mechanischen" Fehler, Hintertüren oder Nachschlüssel existieren oder möglich sind.

Zu verschlüsselnde Information wird also zusammen mit einem Schlüssel als Eingabe in ein mathematisches Verfahren eingespeist. Nach der Verarbeitung der beiden Eingangskomponenten steht als Ergebnis die verschlüsselte Information zur Verfügung.

2.1 Symmetrisches Verschlüsselungsverfahren (Single Key Encryption):

Die zu übertragende Information und ein Schlüssel werden vom Sender an das Verschlüsselungsverfahren übergeben. Die dabei entstehende verschlüsselte Information kann nun über einen unsicheren Kanal übertragen werden.

Die Informationsübertragung oder Kommunikation kann durch das in der Nachrichtentechnik verwendete Sender-Kanal-Empfänger Modell (Abb. 1) beschrieben werden:

• Der Sender möchte Informationen zum Empfänger übertragen.
• Er verwendet dafür einen Übertragungsweg, den Kanal, der im Normalfall nicht der Kontrolle durch den Sender untersteht. Die Informationen können deshalb im Verlauf der Übertragung von Dritten abgehört oder sogar manipuliert werden. Der Kanal ist deshalb als unsicher einzustufen.
• Nach der Übertragung sollen die Informationen dem Empfänger zur Verfügung stehen.

Beim symmetrischen Verfahren benötigt der Empfänger jedoch zur Dechiffrierung den vom Sender zur Chiffrierung verwendeten Schlüssel. Dieser muß, um Sicherheit zu gewährleisten, mit Hilfe eines (abhör-)sicheren Kanals vom Sender zum Empfänger übertragen werden (siehe Abb. 2)

Anwendungsbeispiel: Sender und Empfänger treffen sich gelegentlich und legen eine bestimmte Anzahl von Schlüsseln und ihre Verwendungsreihenfolge fest. Nun kann der Sender, wann immer er möchte eine Information chiffrieren und übertragen. Der einmal verwendete Schlüssel wird zur Sicherheit aus der Liste gestrichen. Der Empfänger verwendet seinerseits den ersten nicht gestrichenen Schlüssel zur Dechiffrierung und streicht ihn danach ebenfalls von der Liste.

Im Falle elektronischer Post kennen sich die Kommunikationspartner jedoch häufig nicht persönlich bzw. wollen sich nicht regelmäßig treffen um eine Liste neuer Schlüssel zu vereinbaren. Infolge dieser Problematik kann ein symmetrisches Verfahren deshalb zunächst einmal nicht für E-Mail verwendet werden.

2.2 Asymmetrisches Verschlüsselungsverfahren

Hierbei existiert im Gegensatz zum vorherigen Verfahren (symmetrische Verschlüsselung) nicht mehr nur ein Schlüssel, sondern ein aufeinander abgestimmtes Schlüsselpaar. Die beiden Schlüssel werden als "Secret-Key" und als "Public-Key" bezeichnet. Trotz der gegenseitigen Abstimmung der beiden Schlüssel ist es unmöglich bei Kenntnis des einen Schlüssels den anderen zu berechnen. Die Information wird mit einem beliebigen der beiden Schlüssel verschlüsselt. Anschließend ist es nicht mehr möglich mit dem gleichen Schlüssel eine Entschlüsselung vorzunehmen. Die Dechiffrierung kann nur mit dem jeweils anderen Schlüssel vorgenommen werden (siehe Abb. 3).

2.2.1 Anwendungsmöglichkeiten der asymmetrischen Verschlüsselung

Sämtliche Anwendungen basieren auf folgenden Grundvoraussetzungen (siehe auch Abb. 4):

• Jeder Anwender des Verfahrens erzeugt sich ein persönliches Schlüsselpaar. Dieses Paar besteht wie oben beschrieben aus dem "Secret-" und dem "Public-Key".
• Der Public-Key wird veröffentlicht, so daß er allen möglichen Kommunikationspartnern bekannt ist oder von diesen einfach beschafft werden kann. Es werden alle zur Verfügung stehenden Publikationsmöglichkeiten bei der Veröffentlichung benutzt (E-Mail, WWW-Seiten, Public-Key-Server, ...). Die Veröffentlichung des Public-Keys stellt keine Gefahr dar, da aus diesem der zugehörige Secret-Key nicht abgeleitet werden kann.
• Der Secret-Key wird, wie sein Name schon nahelegt, nie veröffentlicht. Er ist absolutes Top-Geheimnis und es werden alle denkbaren Vorkehrungen getroffen damit niemand Zugriff auf ihn erhält.

2.2.1.4 Informationsübertragung unter Ausschluß der Öffentlichkeit – Privacy

Zur Übermittlung einer für Dritte nicht dechiffrierbaren Information wird der Public-Key des Empfängers benötigt. Dieser muß zuerst vom Sender auf irgendeine Art und Weise beschafft werden. Der Sender ist auch dafür zuständig vor Verwendung des Public-Keys zu überprüfen ob dieser tatsächlich vom angeblichen Eigentümer stammt. Nach der Echtheitsüberprüfung (Authentifizierung) des entsprechenden Public-Keys wird dieser an den Schlüsselbund mit Public-Keys (Public-Key-Ring) angehängt.

Sollen nun Informationen übermittelt werden, so werden diese mit dem Public-Key des Empfängers verschlüsselt und anschließend übertragen (siehe Abb. 5).

Selbst wenn diese Nachricht unterwegs aufgezeichnet oder von Unbefugten empfangen wird, ist es unmöglich die enthaltene Nachricht zu dechiffrieren. Hierfür ist nämlich der zum verwendeten Public-Key passende Secret-Key notwendig. Da selbiger aber nie veröffentlicht wurde (siehe Voraussetzungen des Verfahrens) besteht hier keine Gefahr. Nur der vom Absender vorgesehene Empfänger ist in der Lage die Nachricht mit dem passenden Secret-Key zu dechiffrieren.

2.2.1.5 Einfachste Form einer nicht fälschbaren digitalen Unterschrift

Häufig ist die zu übertragende Information jedoch nicht so brisant und könnte durchaus mit einer Postkarte verschickt werden. In diesem Fall kann der Text unverschlüsselt übertragen werden. Dem Empfänger wird damit auch die Mühe der Dechiffrierung erspart. In vielen Fällen wäre hier aber trotzdem eine nicht fälschbare digitale Unterschrift wünschenswert. Damit würden auch E-Mail's um die aus dem Schriftverkehr bekannten Vorteile ausgestattet (siehe dazu nochmals die Gedanken aus Abschnitt "Zu was ist denn das gut?").

Digitale Unterschriften müssen im Vergleich zu ihrer schriftlichen Variante sogar erhöhten Anforderungen genügen. In Schriftstücken können nachträgliche Änderungen am Inhalt durch Experten festgestellt werden. Einfügen oder Entfernen ganzer Abschnitte kann bei entsprechenden Vorsichtsmaßnahmen (z.B. Zusammenheften und Numerieren) leicht verhindert werden. Diese Schutznaßnahmen sind bei digitalen Dokumenten nicht möglich. Die Absenderangabe einer E-Mail ist auch für Laien ohne weiteres fälschbar. Auch der E-Mail-Inhalt kann auf dem Übertragungsweg mit einem simplen Editor abgeändert werden. Ein Nachweis dieser Manipulationen ist so gut wie unmöglich.

Die einfachste Variante um die Echtheit einer digitalen Information sicherzustellen (Authentication) ist die vollständige Verschlüsselung des gesamten Dokuments mit Hilfe des eigenen Secret-Keys. Jeder Empfänger der Nachricht kann nun mit Hilfe des Public-Keys des Verfassers eine Dechiffrierung vornehmen.

Gelingt die Dechiffrierung (der entschlüsselte Text ist lesbar), so ist die Identität des Absenders sichergestellt. Nur dieser ist ja lt. den Grundvoraussetzungen des Verfahrens im Besitz des notwendigen Secret-Keys und hat demnach die Verschlüsselung vorgenommen.

Das Verfahren kann somit als digitale Unterschrift verwendet werden. Eine "Abhörsicherheit" oder Vertraulichkeit ist hierdurch jedoch nicht gewährleistet da der Public-Key öffentlich zugänglich ist. Bei einer reinen Unterschrift ist dies aber auch gar nicht gewünscht. Die Kombination aus digitaler Unterschrift und Vertraulichkeit ist jedoch ohne weiteres möglich und wird weiter unten erläutert.

2.2.1.6 Nicht fälschbare digit. Unterschriften mit Hilfe von Message-Digests

Die im vorigen Abschnitt erläuterte digitale Unterschrift hat  in der Praxis einen großen Nachteil. Der Informationsinhalt ist nämlich vom Empfänger nicht mehr unmittelbar lesbar, sondern muß zuerst entschlüsselt werden. Dieser Nachteil wird mit einem weiteren Verfahren umgangen.

Von der zu übermittelnden Information wird ein sogenannter Message-Digest angefertigt. Diesen kann man sich als eine Art eindeutige Prüf- oder Quersumme vorstellen die zur Information wie ein Fingerabdruck zu einem Menschen paßt. Wird auch nur ein Zeichen der Nachricht gefälscht, so ergibt sich ein anderer Message-Digest.

Bei der Erzeugung einer digitalen Unterschrift wird nun nicht mehr die gesamte Information verschlüsselt. Vielmehr wird nur der berechnete Message-Digest mit Hilfe des Secret-Keys verschlüsselt. Durch diese Verschlüsselung ist im Vergleich zum vorigen Abschnitt nur der Message-Digest digital unterschrieben. Durch die Verschlüsselung ist aber der Message-Digest nicht mehr veränderbar und die Identität des Absenders ist gleichzeitig sichergestellt.

Der oder die Empfänger können nun mit Hilfe des Public-Keys den vom Absender erzeugten und unterschriebenen Message-Digest dechiffrieren. Gelingt dies, so ist die wahre Identität des Absenders gewährleistet. Nun berechnet der Empfänger selbst den Message-Digest der erhaltenen Information, und vergleicht ihn mit dem vom Sender übermittelten Message-Digest. Besteht zwischen dem übermittelten Message-Digest und dem selbst errechneten Message-Digest kein Unterschied, so ist auch die Unverfälschtheit der Information sichergestellt (siehe Abb. 7).

2.2.1.7 Die Kombination von Privacy und Authentication

Die ultimative Methode stellt die Kombination von signierten Informationen in verschlüsselter Form dar. Mit Hilfe eines Message-Digests und des eigenen Secret-Keys wird entsprechend der obigen Erklärung zuerst eine digitale Unterschrift gebildet und an die Information angefügt. Die zu übermittelnde Information wird nun zusammen mit der dazu passenden digitalen Unterschrift verschlüsselt. Dabei wird der Public-Key des Empfängers verwendet.

Der Empfänger geht nun umgekehrt vor: Mit Hilfe seines Secret-Keys kann er die Information mit angehängter digitaler Unterschrift entschlüsseln. Die beigefügte digitale Unterschrift verifiziert er nun mit Hilfe des Public-Keys des Senders (siehe dazu Abb. 8).

3. Pretty Good Privacy

3.1 Die von PGP verwendeten Verfahren

Pretty Good Privacy (hier die Beschreibung für die Version 6.5.1i) arbeitet mit den folgenden Verfahren:

Kompressionsverfahren
Nach der Verschlüsselung sind Kompressionsverfahren unwirksam. Um aber sicherzustellen, dass bei der Verschlüsselung möglichst kompakte Dateien entstehen, komprimiert PGP die Informationen vor der Verschlüsselung mit Hilfe des Freeware-ZIP-Verfahrens.

Message-Digest-Verfahren
Secure Hash Algorithm (SHA) und den Message-Digest-Algorithm Version 5 (MD5). Letzterer sollte nach Möglichkeit nicht mehr verwendet werden da es gelungen ist diesen zu brechen!

Symmetrische Verschlüsselungsverfahren
CAST (Carlisle, Adams und Stafford Tavares), IDEA (International Data Encryption Algorithm), Triple-DES (Data Encryption Standard). CAST ist seit Version 5.0 das Standardverfahren da es weltweit frei verwendet werden darf und als sehr sicher gilt.

Asymmetrische Verschlüsselungsverfahren
RSA (Rivest, Shamir, Adleman), DH/DSS (Diffie-Hellman/Digital-Signature-Standard).

3.2 Unterschiede der PGP-Versionen

Die aktuelle internationale Version von PGP ist die Version 6.5.1i. Sie besitzt, zumindest unter Microsoft Windows, eine grafische Oberfläche und ist dadurch im Vergleich zu den früheren Versionen (2.x) sehr einfach zu bedienen. Die meisten der aktiven PGP-Benutzer verwenden aber nach wie vor noch die ältere Version 2.6.3i.

Neueinsteiger sollten auf jeden Fall die neue Version 6.5.1i verwenden. Auch die Standardeinstellungen brauchen nicht verändert zu werden da beim Informationsaustausch mit Benutzern von 2.6.3i-Versionen (diese Version kann nur den RSA-Key) automatisch die richtigen Verfahren angewandt werden.

3.4 Schlüsselerzeugung beim ersten Start von PGP

Beim ersten Start von PGPkeys wird der Benutzer aufgefordert sich ein eigenes Schlüsselpaar zu erzeugen. Dies sollten sie auf jeden Fall tun, da sie erst danach in der Lage sind mit anderen Personen signierte bzw. verschlüsselte Informationen auszutauschen. Auch hier sind anschließend einige Dialogfenster zu absolvieren:

1. Als erstes wird ihr vollständiger Name und ihre E-Mail-Adresse benötigt. Sollten sie mehrere E-Mail-Adressen haben, verwenden sie zuerst einmal die am häufigsten benutze Adresse. Weitere Adressen können dem Schlüssel später hinzugefügt werden.
2. Die Frage nach dem Schlüsselpaar-Typ (Key Pair Type) beantworten sie beim ersten Start mit Diffie-Hellman/DSS. Erzeugen sie sich aber in einem zweiten Durchlauf auf jeden Fall  auch ein RSA-Key-Paar um mit Personen kommunizieren zu können die PGP vor Version 5.0 benutzen. Dieser Personenkreis ist nach wie vor in der Mehrzahl, wodurch ein persönlicher RSA-Key fast als Pflicht zu bezeichnen ist. Zusätzlich gibt es bei PGP-Puristen starke Vorbehalte gegen die DH/DSS-Keys da hier bei der Firmenversion von PGP "Nachschlüssel" konfiguriert werden können.
3. Für die Schlüsselgröße unterbreitet PGP einen ausreichenden Vorschlag und die Einstellung kann übernommen werden. Sie sollten aus Sicherheitsgründen auf keinen Fall unter die vorgeschlagene Größe gehen!
4. Eine weitere Einstellung betrifft das "Verfallsdatum" ihres Schlüsselpaars. Setzen sie hier die Einstellung entweder auf "läuft nie ab" oder denken sie daran rechtzeitig ein neues Schlüsselpaar zu erzeugen wenn das alte Paar verfällt.
5. Ihr Schlüsselpaar enthält natürlich auch einen Secret-Key. Um diesen gut schützen zu können, werden sie anschließend aufgefordert einen Passwort-Satz ("Passphrase" oder auch "Mantra" genannt) einzugeben. Die Qualität des Passphrase wird ihnen durch einen wachsenden Balken angezeigt.

   Im Gegensatz zu einem Rechnerpasswort sollten sie hier auch tatsächlich einen ganzen Satz (mit Satzzeichen) verwenden, diesen im Gedächtnis behalten und ähnlich wie ein PIN nie aufschreiben. Beachten sie, dass

   • ... sie ohne Kenntnis des Passphrase nie wieder an ihren Secret-Key gelangen.
   • ... die Passphrase ihren Secret-Key gut schützen muß. Immerhin kann sich hier jemand bei digitalem Informationsaustausch ihre Identität verleihen.

     
     
     Abbildung 9: Eingabe "Passphrase" bzw. "Mantra"

   • Der obige Passphrase ist offenbar noch nicht lang genug. Gehen sie hier keinerlei Risiken ein und verwenden sie einen ausreichend sicheren Passphrase!!!
6. Zur Erzeugung des Schlüsselpaars verwendet PGP möglichst zufällige Daten. Bei der ersten Benutzung wird der Zufallsgenerator konfiguriert. Ihre momentane Rechnerhardware und diverse Einstellungen werden u.a. für diese Zufallsdaten verwendet. Zusätzlich werden Tastenanschläge und Mausbewegungen von ihnen verwendet wobei die Tasten und die Zeit zwischen den Anschlägen als Zufallswerte gelten. Auch hier zeigt ihnen während der Eingabe ein anwachsender Balken den Fortschritt an.
7. Nun ist ein Augenblick der Geduld angesagt während ihr persönliches Schlüsselpaar berechnet wird.
8. Nach der Berechnung können sie, bei vorhandenem Internet-Zugang, sofort ihren Public-Key auf einem Public-Key-Server im Internet veröffentlichen. Dies ist allerdings keine zwingende Voraussetzung und sollte erst gemacht werden wenn sie sich im Umgang mit PGP sicher fühlen und ihnen klar ist welche Folgen das hat :-) .

3.5 Veröffentlichung ihres Public-Keys

Wie bereits im vorigen Abschnitt beschrieben kann der Public-Key-Anteil eines neu erzeugten Schlüsselpaars sofort auf einem Public-Key-Server im Internet veröffentlicht werden. Eine entsprechende Funktionalität ist in PGPkeys enthalten. Die von PGPkeys benutzten Public-Key-Server tauschen die veröffentlichten Schlüssel im allgemeinen untereinander aus, so daß die Veröffentlichung auf einem dieser Server meistens ausreichend ist. Wenn sie auf Nummer sicher gehen wollen, dann veröffentlichen sie ihren Key auf mehreren Key-Servern.

Sie können bei Bedarf auch auf einem dieser Server nach dem Public-Key eines Kommunikationspartners recherchieren. Da diese Public-Key-Server jedoch die Übereinstimmung zwischen einer Person und deren Public-Key nicht persönlich überprüfen können, ist das Verfahren natürlichunsicher. Von einem Signaturschlüssel-Zertifikat bzw. einer Zertifizierungsstelle im Sinne des Signaturgesetzes SigG (Teil des Gesetzes zur Regelung der Rahmenbedingungen für Informations- und Kommunikationsdienste, IuKDG) kann demnach natürlich nicht die Rede sein. Eine Zertifizierungsstelle im Sinne des SigG hat sich von der Zuordnung eines öffentlichen Signaturschlüssels (Public-Key) zu einer natürlichen Person zuverlässig zu überzeugen. Hier sind verschiedene Verfahren denkbar:

• Die Person legt ihren Public-Key persönlich zur Zertifizierung bei einer Zertifizierungsstelle vor. Diese kontrolliert via Personalausweis die Übereinstimmung zwischen Person und Schlüsseldaten und bestätigt anschließend durch eine digitale Unterschrift des fremden Public-Keys dessen Echtheit.
• Die Person läßt sich z.B. bei einem Notar oder einem Postamt die Übereinstimmung zwischen Person und Schlüsseldaten bestätigen und schickt dies an die Zertifizierungsstelle.

Ein ähnliches Verfahren wird von PGP selbst unterstützt. Sie können ihren eigenen Schlüssel auch von anderen PGP-Benutzern gegensignieren lassen. Der Empfänger ihres Public-Keys sieht dann, daß andere User offenbar ihren Public-Key überprüft und anschließend zertifiziert haben. Falls die Unterzeichner jedoch keine ausreichende Überprüfung vorgenommen haben, bietet dieses Verfahren natürlich keine Sicherheit bzgl. der angeblichen Identität des Schlüsselinhabers. Seien sie deshalb beim Gegenzeichnen eines fremden Public-Keys selbst sehr zurückhaltend. Überzeugen sie sich vor einer derartigen Bestätigung zuverlässig von der Übereinstimmung zwischen Person und Schlüsseldaten!

Unabhängig von der Veröffentlichung ihres Public-Keys über einen Public-Key-Server oder eine Zertifizierungsstelle, sollten sie jede weitere Veröffentlichungsmöglichkeit die ihnen zur Verfügung steht nutzen. Damit bieten sie potentiellen Kommunikationspartnern weitere Verfahren um die Echtheit ihres Schlüssels zu überprüfen. Denkbar wäre hier:

• Abrufmöglichkeit des Keys von Ihrer Homepage.
• Automatische Anforderung des Keys per E-Mail (bietet u.a. Pegasus-Mail)
• Anhang ihres Key-Fingerprints (z.B. F606 6582 A66A 8277 3B6B 4E4B AE76 D28E) an jede ausgehend Mail.
• Notfalls telefonischer Abgleich des Fingerprints. Hier bietet Version 6.5.1i auch eine Neuerung. Der obige Hexcode wird jetzt auch in unverwechselbarer Form, ähnlich zu einem Buchstabieralphabet, auf englische Wörter abgebildet. Die sind dann am Telefon leichter vorzulesen.
• ...

Um den Key auf ihrer Homepage zu veröffentlichen oder ihn per E-Mail versenden zu können, müssen sie den Schlüssel in einem ASCII-Format in eine Datei exportieren. Gehen Sie dazu wie folgt vor:

• Starten Sie das Programm PGPkeys
• Selektieren sie das Schlüsselpaar welches den zu exportierenden Public-Key enthält.
• Wählen sie in der Menüleiste den Eintrag "Keys" und das Untermenü "Export ..."
• Achten sie darauf, daß das Auswahlfeld "Include Private Key(s)" nicht angekreuzt ist! Ein Export ihres privaten Schlüssels (Secret Key) ist eigentlich nie notwendig (als Backup kopieren sie einfach beide Keyrings auf einen anderen Datenträger). Auch die "6.0 Extensions" sollten i.a. nicht angekreuzt werden da ältere Versionen diese Keys dann evtl. nicht importieren können.
• Nun wählen Sie noch eine Datei zur Aufnahme ihres Public-Keys aus und erhalten selbigen als Ergebnis.
  

  -----BEGIN PGP PUBLIC KEY BLOCK-----
  Version: PGP 6.5.1i for non-commercial use <http://www.pgpi.com/>
  Comment: Open Minds. Open Sources. Open Future
  
  mQENAzOecg8AAAEIAOWKlu/Je4F2cZYQdPPhU+5t+MxB3C/V1l7enTvkD7xgglcw
  yF5gETF7tPr1mwp26t3v13AJUB6ZFCwrE604JwbQJH/ej0Wp4yC3qWwYMW59E/1x
  7tzAFHdngDJF0m/DcoyRc+kexv/FKoekiVbOMd6lGR+BMcS5YhzMv3WMWznjZ6SQ
  1/lRFCQZGjCzlxItcodRfFRRxPy53eHmLaJPgV9/GV6EXK7e6k/ZszzIcqMCo9CY
  BzJc6SWmtAPGyQZCVQaGAZ61QOJML8Kc0EYcytvwKpZ2xpWUjekUPSsJ2IvOo9mN
  MDIjTrKDvGaEyq3B0y5AWFSaVd9cbpmjkpyyaKEABRO0KUFuZHJlYXMgR3J1cHAg
  PGdydXBwQGVzdC5mbi5idy5zY2h1bGUuZGU+iQEVAwUQM55yD26Zo5KcsmihAQFN
  bggApvVIm1t9gHX4PFJ7eYjTaCgstQ+fu/TsX9/b+jolBqv4FvpAnpUU7MWfyJm7
  EOcrZ7QkpfsX7VPdoVz81ZYFBQL0OuZgqysPanW0r4KCLOqX4d5149yo6UiBmBZP
  vZABakv8ASTf9Ss8733OSzJyipMOZuFCksSW/xSH17LzQFOHqKp+S//VrV1XagDj
  WqEYdUoOqUvHjKy3gNDQn8su7oZJNV+/zILPL5bRrNuOQNoR0yXyZVjkuRwKFNqa
  oG8GZc59DEgmvn+nYjezcSYXklMCW7CZWDpNbTHcd1CYkfcYpcccXJctHpUO08Ju
  8R4GMbHtwgPo51xGGvWz8pxbtLQkQW5kcmVhcyBHcnVwcCA8QW5kcmVhcy5HcnVw
  cEBnbXguZGU+iQEVAwUQN/ZUSG6Zo5KcsmihAQEGSAgAqs25m6lj/uvf+lOjSPFS
  9iFERaw4mCuGufhG+kUeqKZzPKHXPLHZ8E1aeXaoVnwoyrE1h9+MZdQ+sfGc2gdA
  zJAYpva9IqpsYPn2j9ssoivwo2+mF6Mvr1niRJD5EQGd5ke6rpOkEPbqX8ssWALr
  L+txojPzojnIg0lLFzCqXCcKr8COLbI+Y8Td+JDA7m7CDROzSliTyj1tZMOmBiPI
  GQUOts6JUBBUeqIeBegxqh+S6rJUDpWpb0I3pj4otfC8CFbF6OORFxLAJ0WGT129
  i52vIBqKh1Umyq82lOmSbbgLg8CldzjbNlRbry9wrt/QQZAC0+WmzoAHt/PDN+Ts
  EbQmQW5kcmVhcyBHcnVwcCA8Z3J1cHBAbGJzLmJ3LnNjaHVsZS5kZT6JARUDBRA4
  A0hVbpmjkpyyaKEBAYv/CACxN1Y2ZkqMcJRM1ib7TfXE2NeszUxWUvokJg+YbSoo
  Gdk3hLK2yDaE8qZWBkp3FvXHAoYXf8HXG9CNWogUsL+M9Q1ZCwLcuocbKVCcr3xh
  Coi0zpBQvxYC2YCiGEn45Gfb3kpqfqKWKJ3kUf5F9ElHZt9loOxCDhCGBM8KyKKx
  LFgdVMpoO3Hbrm6BJ5Mf6ivM0j5EP+gO+aHUhUBWo+cDbhMfPwBhQDGt4OwP/P5q
  2GHaRkK6WPFUbN3tJOU2nscUN1aFwO1PL/StrEu13xXlxhJZ7xhqxx+TCdJLBv3Y
  HgYYT45FQmgHHwxeTVOdIsHdVNo287OGPgcT7USSrH9U
  =hb2c
  -----END PGP PUBLIC KEY BLOCK-----

3.6 Praktische Übung zum Umgang mit PGP

Nach der Installation von PGP befindet sich das Programm "PGPtray" in der Programmgruppe "Autostart". Sie finden dieses Programm als kleines Icon im rechten Teil Ihrer Taskleiste wieder.

Dieses Programm arbeitet ausschließlich mit der Zwischenablage von Windows zusammen. Da Windows-Programme diese Zwischenablage üblicherweise auch unterstützen, kann zu verschlüsselnder oder zu signierender Text einfach in die Zwischenablage kopiert werden. Die meisten Windows-Programme unterstützen dazu die Tastenkombinationen "Strg + C". Der Inhalt der Zwischenablage kann vor der Verarbeitung durch PGP mit Hilfe des PGPtray-Menüs "Clipboard", Untermenü "Edit" eingesehen oder verändert werden. Anschließend folgt die Auswahl der von PGP auszuführenden Tätigkeit:

1. Text nur für Empfänger lesbar verschlüsseln. Dazu wird der bzw. die Public-Key(s) der Empfänger benötigt.
   1. Nach Auswahl des PGPtray-Menüs "Encrypt" erscheint deshalb ein Auswahlmenü mit den bisher gesammelten Public-Keys. Sie können nun durch Doppelklick auf einen Empfänger oder durch Ziehen des Eintrags dafür sorgen, daß der Eintrag in der unteren Hälfte des Fensters aufgenommen wird.
   2. Nach Auswahl der Schaltfläche "OK" verschlüsselt PGP den Inhalt der Zwischenablage. Die chiffrierte Information überschreibt den bisher lesbaren Text in der Zwischenablage. Der Inhalt der Zwischenablage kann nun nur noch von den als Empfängern ausgewählten Personen entschlüsselt werden. Selbst sie als Autor sind nicht mehr in der Lage die Entschlüsselung vorzunehmen (außer sie haben sich selbst als einen der Empfänger eingetragen).

      -----BEGIN PGP MESSAGE-----
      Version: PGP 6.5.1i for non-commercial use <http://www.pgpi.com/>
      Comment: Open Minds. Open Sources. Open Future
      
      hQCMA5uLPnwT5d+RAQP/Rn+NZrBsSq8Bur2zt4ytkWk7YNKiSrtjNh0jE2ALE80l
      rAQYTeHwPR+RiTleJFhq4drzuMlFJukPq+/N1XXG65tJZT+j4kpjF7qbeP1XaeSZ
      cyj8QzJTYVCGgNpKNm5a2Uz0qB9KBsrkwh5O7bFiRUBkBRvBfMD0PH+bINPlHw6k
      Lkmla3CFYL1Uve33tzBKIX4bnc3fdbNhJUhu5PsB4Y50rUROLkeTQpEzhUlnWj4=
      =NdFQ
      -----END PGP MESSAGE-----
                

2. Text frei lesbar aber mit digitaler Unterschrift versehen. Dazu wird der Secret-Key und der zum Schlüssel passende Passphrase des Unterzeichners benötigt. Ein großes Problem bei dieser Variante sind nach wie vor  nationale Sonderzeichen (z.B. die deutschen Umlaute und das "ß"). Dies bereitet bei Verwendung von Mailern mit MIME-Kodierung meistens Probleme. Der sicherste Weg ist hier die absolute Vermeidung von Umlauten. Im weiteren wird in dieser PGP-Einführung darauf auch nicht weiter eingegangen.
   1. Nach Auswahl des PGPtray-Menüs "Sign" erscheint ein kleines Fenster zur Eingabe der Passphrase. Falls sie mehrere Secret-Keys (z.B. einen RSA- und einen DSS/DH-Schlüssel) haben kann auch dieser aus einem Pull-Down-Menü ausgewählt werden.
   2. Nachdem die richtigen Eintragungen vorgenommen wurde, kann der Signiervorgang gestartet werden. Ergebnis ist wiederum ein neuer Clipboardinhalt. Dieser ist in diesem Fall lesbar und mit einem Unterschriftenblock versehen.

      -----BEGIN PGP SIGNED MESSAGE-----
      
      Dies ist eine brisante Mitteilung die je nach Uebertragungsweg nur
      signiert oder aber sogar verschluesselt werden muss!
      
      -----BEGIN PGP SIGNATURE-----
      Version: PGP 6.5.1i for non-commercial use <http://www.pgpi.com/>
      Comment: Open Minds. Open Sources. Open Future
      
      iQEUAwUBOCWrCG6Zo5KcsmihAQFZ4wf4lu+ZXWMZbxfp0RBnXBOV1/LO2TTYT2mw
      Jljs1KOVx0zWENunJ/PRtkKqkVo1EcsAyemvCv/NgEnxACoXvlQPScGCa/JP9D4T
      ze8ViXf4NhhWYytqDKsPsCVIMfN5ugLybqQJXWRhWMUkqImqVQtd3aEQ51vyMBKw
      XFYh+Yph/HUAKzkmQ31DQhIH07Hs0MaFo4fhXcoj/GVAp+w7sAGVnZyOLODAFlVV
      /i0l6mXF2ssh6nhOLXfo4BrvbSKAIqCQIgHV7eR2/m9C+CMynMMNzjDyfeFL6DvH
      e+NYqPXUZph6/w7tKPjXhobiRSGK7MR7mi2/fxnhkUfK8RvT5Tm4
      =sLxP
      -----END PGP SIGNATURE-----
                

   3. Wie bereits weiter oben beschrieben ist der Inhalt der Nachricht in die Unterschrift eingerechnet. Die Unterschrift paßt also nur zu genau dem darüber stehenden Text. Dies läßt sich sehr einfach überprüfen. Editieren Sie dazu im Clipboard den unterschriebenen Text. Verändern sie z.B. nur ein einziges Zeichen (Löschen, Überschreiben oder Einfügen eines Zeichens) und versuchen sie nun die digitale Unterschrift zu überprüfen. Wie das geht sehen sie im nächsten Abschnitt.
      
3. Der Menüeintrag "Encrypt & Sign" faßt die beiden obigen Punkte zusammen. Damit kann wie weiter oben erläutert ein unterschriebenes Dokument sicher übertragen werden. Sie benötigen dazu die Public-Keys der Empfänger und ihren eigenen Secret-Key mit passendem Passphrase.
4. Überprüfung einer digitalen Unterschrift: Dazu wird der Public-Key des Unterzeichners benötigt. Nach Auswahl des PGPtray-Menüs "Decrypt/Verify" erscheint das Textviewer-Fenster. Sie sehen dort den von der Unterschrift befreiten Text zusammen mit den Statusmeldungen von PGP.

   *** PGP Signature Status: good
   *** Signer: Andreas Grupp <grupp@elektronikschule.de> 
   *** Signed: 07.11.1999 18:38:31
   *** Verified: 07.11.1999 18:41:35
   *** BEGIN PGP VERIFIED MESSAGE ***
   
   Dies ist eine brisante Mitteilung die je nach Uebertragungsweg nur
   signiert oder aber sogar verschluesselt werden muss!
   
   
   *** END PGP VERIFIED MESSAGE ***
         

5. Die Entschlüsselung eines an sie übermittelten Dokuments erfolgt wie im vorigen Punkt durch Auswahl des Menüs "Decrypt/Verify Clipboard". Da hier jedoch Ihr Secret-Key verwendet werden muß, werden sie hier noch nach dem Passphrase gefragt.

4.  Quellen zu diesem Thema

• Viele Artikel der Zeitschrift c’t, Magazin für Computertechnik. Beispiel in Ausgabe 5/98: Abhör-Dschungel, Geheimdienste lesen ungeniert mit – Grundrechte werden abgebaut. Hier wird umfassend über Abhöraktivitäten der einzelnen Staaten, über Industriespionage und Planungen im Bereich der Verschlüsselung berichtet.
• International PGP-Homepage: http://www.pgpi.com
• PGP Erläuterung als PowerPoint-Demo (ZIP-Format)

Zurück zur Übersicht

Lokale bzw. Remote-Zugriffe seit dem 27. Januar 2001