Kein Datensicherheitssystem ist unangreifbar. Ein Sicherheitsexperte brachte es einmal genau auf den Punkt, indem er sagte: "Ziel von Sicherheitsmaßnahmen kann es immer nur sein, das Gleichgewicht zuungunsten des Angreifers zu verschieben." Auch die Sicherheit von PGP kann auf vielerlei Art ausgehebelt werden. Bei jedem Datensicherheitssystem müssen die Anwender beurteilen, ob die Daten, die geschützt werden sollen, für den Angreifer so viel Wert haben, daß sich für ihn der Aufwand eines Angriffs lohnt. Dies kann durchaus zu der Entscheidung führen, sich nur vor simplen Angriffen zu schützen, ohne sich um aufwendige Angriffe Gedanken zu machen.
Sie sollten das Mantra Ihres geheimen Schlüssels auf gar keinen Fall irgendwo aufschreiben oder ein leicht zu ratendes Mantra wählen. Falls jemand dieses Mantra lesen kann und ihm dann noch die Datei mit dem geheimen Schlüssel in die Hände fällt, kann er alles tun, was die eigentliche Schlüsselinhaberin damit auch tun kann, insbesondere alle verschlüsselten Nachrichten lesen und mit dem geheimen Schlüssel gefälschte digitale Unterschriften erzeugen.
Offensichtliche Paßworte, die einfach zu raten sind -
wie beispielsweise Namen, insbesondere von Kindern oder der
Partnerin - sind ungeeignet. Ein einzelnes Wort (auch einer
Fremdsprache) als Mantra kann ebenfalls leicht geraten werden, indem
ein Computer die Wörter eines Lexikons solange als
Paßwörter ausprobiert, bis das richtige gefunden ist. (Hierfür
existieren fertige Programme, die auch leichte Variationen wie
rückwärts schreiben oder 'o' durch '0' ersetzen
ausprobieren.) Deshalb ist eine Kombination mehrerer Wörter, von uns
"Mantra" genannt, wesentlich besser als ein einfaches Paßwort. Ein
verfeinerter Angriff könnte darin bestehen, einen Computer ein Lexikon
mit berühmten Zitaten durcharbeiten zu lassen, um das
Mantra zu finden. Ein leicht zu merkendes, aber schwer erratbares
Mantra läßt sich bequem aus ein paar kreativ sinnlosen Sprüchen oder
weithin unbekannten literarischen Zitaten zusammenstellen. Beispiele
hierfür wären "Earl grey, lauwarm." oder "Und Jimmi ging zum
Regenbogen."![[*]](/icons/footnote.png){kind=icon}
Wenn Sie schnell und präzise tippen
können, ist ein längerer Text natürlich sicherer.
Eine der gefährlichsten Angriffsmöglichkeiten besteht darin, daß ein öffentlicher Schlüssel gefälscht werden kann. Dies ist der wirklich bedeutende und ernsthafte Ansatzpunkt für das Knacken bzw. Umgehen eines Systems, das mit öffentlichen Schlüsseln arbeitet, unter anderem deswegen, weil die meisten Neulinge die Gefahr nicht sofort erkennen.
Damit ist dem Mißbrauch Tür und Tor geöffnet: Beispielsweise ist es
für einen Systemadministrator damit ein leichtes, den Mailverkehr
seiner Ex-Freundin zu überwachen und zu manipulieren.
Nähere Einzelheiten und geeignete Gegenmaßnahmen sind detailliert im
Abschnitt ![[*]](/icons/crossref.png){kind=icon}
beschrieben.
Zusammengefaßt: Wenn Sie einen öffentlichen Schlüssel für die Verschlüsselung einer Nachricht oder für die Prüfung einer Unterschrift verwenden wollen, muß sichergestellt sein, daß er nicht gefälscht ist. Der Echtheit eines neu erhaltenen öffentlichen Schlüssels sollte man nur dann vertrauen, wenn man ihn unmittelbar, auf sicherem Weg, von seinem Besitzer erhalten hat, oder wenn seine Echtheit von jemandem bestätigt ist, dem man vertraut. PGP unterstützt Sie dabei, näheres finden Sie in Kapitel 7.3.
Man muß auch dafür sorgen, daß kein Fremder Änderungen an dem eigenen öffentlichen Schlüsselbund vornehmen kann. Man braucht physikalische Kontrolle sowohl über den Bund mit öffentlichen Schlüsseln wie auch über den Bund mit geheimen Schlüsseln. Am besten aufgehoben sind diese beiden Dateien auf dem eigenen PC, um einiges schlechter auf einem am Ende auch noch räumlich weit entfernten Mehrbenutzer-Rechner. Auf jeden Fall sollte man Sicherheitskopien der beiden Schlüsseldateien haben (siehe auch den Abschnitt BAKRING in Kapitel 14).
Eine nicht ganz leicht verständliche Angreifbarkeit von PGP betrifft unehrliche Benutzer, die gefälschte Zeitangaben für die Bestätigung ihrer öffentlichen Schlüssel und ihre Unterschriften verwenden.
Nichts hindert eine unehrliche Benutzerin daran, die Einstellung von Datum und Zeit auf ihrem Computer zu ändern und bei dieser falschen Datumseinstellung ihre Schlüsselbestätigungen und Unterschriften zu erzeugen. So kann diese unehrliche Benutzerin es so erscheinen lassen, als habe sie eine Unterschrift viel früher oder später geleistet, als es tatsächlich der Fall ist, oder als habe sie ihr Paar von öffentlichem und geheimem Schlüssel zu einem anderen Zeitpunkt generiert. Dies kann von juristischem oder finanziellem Nutzen sein. Beispielsweise kann dadurch ein Schlupfloch entstehen, um eine Unterschrift nicht anerkennen zu müssen.
Abhilfe bieten könnten allgemein vertrauenswürdige Institutionen oder Notare, die notariell beglaubigte Unterschriften mit einer vertrauenswürdigen Zeitangabe machen können. Derartige Zeitstempeldienste finden Sie u.a. unter http://www.itconsult.co.uk/stamper.htm. Nach dem neuen Signaturgesetz können derartige Zeitstempeldienste durchaus auch in Deutschland rechtskräftige Bestätigungen ausstellen - allerdings nicht direkt mit PGP. Näheres zum SigG finden Sie in Abschnitt 6.4.
Wenn Sie auf die Verwendung der Techniken nach SigG verzichten können, setzt die Idee der Zeitstempeldienste nicht notwendigerweise eine zentrale Institution voraus. Unter Umständen kann jeder vertrauenswürdige Vermittler oder eine unbeteiligte dritte Person diese Aufgabe wahrnehmen, ähnlich öffentlich bestellten Notaren. (Natürlich kann diese Funktion auch von einem echten Notar übernommen werden.) Die Bestätigung eines öffentlichen Schlüssels könnte von dem "Notar" unterschrieben werden. Der "Notar" könnte über solche Bestätigungen Protokoll führen. Das Protokoll wäre öffentlich einsehbar. Rechtskraft könnte eine derartige Unterschrift durch eine gegenseitige Vereinbarung zweier Personen erlangen, ihre Signaturen gegenseitig anzuerkennen.
Ein weiteres potentielles Sicherheitsproblem entsteht durch die Art und Weise, wie bei den meisten Betriebssystemen Dateien gelöscht werden. Wenn man eine Klartext-Datei verschlüsselt und danach löscht, löscht das Betriebssystem die Daten nicht physikalisch. Es markiert nur diejenigen Datenblöcke der Festplatte oder Diskette als "gelöscht", die den Inhalt der "gelöschten" Datei enthalten, so daß sie für die Speicherung anderer Daten freigegeben werden. Das ist das gleiche, als würde man vertrauliche Papiere einfach zum Altpapier legen, anstatt sie von einem Reißwolf kleinhäckseln zu lassen. Die Blöcke auf der Festplatte enthalten nach wie vor die originalen vertraulichen Daten und werden vielleicht in naher oder ferner Zukunft durch neue Daten überschrieben. Wenn ein Angreifer diese "gelöschten" Datenblöcke kurz nach ihrer Freigabe liest, hat er einige Aussicht, den kompletten Klartext zu erhalten.
Genau dies, die Wiederherstellung einer schon vor langem gelöschten Datei, kann sogar ganz unabsichtlich passieren, wenn aus irgend einem Grund etwas mit der Festplatte schief geht und wichtige Dateien gelöscht oder beschädigt sind. Die übliche Rettungsmaßnahme besteht darin, ein Dateiwiederherstellungsprogramm die Dateien reparieren zu lassen. Hierbei werden häufig auch alte, schon vor dem Unfall gelöschte Dateien wieder ausgegraben. Auf diese Art können auch vertrauliche Daten wieder ans Tageslicht kommen, von denen man annahm, daß sie für immer gelöscht seien. Folglich können diese Daten von jedem gelesen werden, der Zugriff auf die betrffende Diskette oder Festplatte hat.
Darüber hinaus legen die meisten Textverarbeitungen Sicherungskopien an und erzeugen häufig auch aus technischen Gründen eine oder mehrere temporäre Dateien, die den gesamten Text oder Teile davon enthalten. Diese Dateien werden vom Textverarbeitungsprogramm automatisch gelöscht - aber eben nur in dem Sinne, daß die Blöcke auf der Festplatte oder Diskette für ein Überschreiben freigegeben werden. Der Text selbst steht nach wie vor in diesen Blöcken.
Hierzu eine wahre Begebenheit: Eine Freundin von Phil Zimmermann, verheiratet und Mutter kleiner Kinder, hatte eine kurze und nicht sehr ernstzunehmende Liebesaffäre. Sie schrieb ihrem Liebhaber auf dem Computer einen Brief, und nachdem sie den Brief abschickte, löschte sie die Datei. Nachdem die Affäre schon vorbei war, ging die Diskette kaputt, auf der der Brief gespeichert war. Weil die Diskette einige andere wichtige Daten enthielt, bat sie ihren Ehemann, die Diskette zu reparieren. Der ließ die Diskette von einem Datenwiederherstellungsprogramm bearbeiten, wobei neben den von seiner Frau benötigten Dateien auch der besagte Brief wieder zu Tage kam, was eine Kette tragischer Ereignisse auslöste.
Um zu verhindern, daß der Klartext irgendwann einmal ausgegraben wird,
gibt es nur den einen Weg, die "gelöschten" Daten auch wirklich zu
überschreiben. Solange man nicht wirklich sicher weiß, daß die
freigegebenen Blöcke der Festplatte oder Diskette sehr schnell wieder
mit anderen Daten überschrieben werden, muß man selbst dafür sorgen,
daß die Klartext-Datei und die temporären Dateien, die das
Textverarbeitungsprogramm angelegt hat, wirklich überschrieben werden.
Die PGP-Versionen 2.6.x kennen die Option -w, bei deren
Verwendung die Klartextdatei mit pseudozufälligen Werten überschrieben
wird. PGP 5.5.3i und PGP 6.0i haben ebenfalls eine entsprechende
Option. Wenn Ihr Betriebssystem eine Datei beim Überschreiben nicht
an einen anderen Ort der Festplatte legt, sind Sie damit gegen
das Wiederherstellen der Dateien durch "Otto
Normalverbraucher" geschützt. Wenn Ihr Betriebssystem Dateien
wandern läßt oder Sie sich Gedanken über sonstige temporäre Dateien
machen, sollten Sie ein passendes Utility verwenden, das sämtliche
Textfragmente, ob aus der "richtigen" Klartext-Datei oder aus
temporären Dateien, löscht, indem es alle freien Blöcke einer
Festplatte oder Diskette überschreibt. Sie finden derartige Tools auf
der beiliegenden CD im Verzeichnis cfs.
Eine weitere Stelle, an der bei den meisten Betriebssystemen "Textspuren" verbleiben können, sind die "swap files" (auch Auslagerungsdateien genannt) bzw. Swap-Partitionen: Wenn ein Programm mehr Speicher benötigt, als real im Computer vorhanden ist, wird ein Teil des Hauptspeicherinhalts in diese Auslagerungsdatei bzw. -partition "ausgelagert", so daß der Hauptspeicher gewissermaßen auf die Festplatte "verlängert" wird. Auch in dieser Auslagerungsdatei können Teile eines Textes stehen. MS-DOS kennt keine Auslagerungsdateien - endlich mal ein Vorteil dieses Betriebssystems, wenn auch nur im Hinblick auf "Spurensicherheit". Aber schon Microsoft Windows benutzt eine Auslagerungsdatei, und zwar nicht zu knapp. Die Swap-Dateien/Partitionen lassen sich im Allgemeinen nur überschreiben, wenn das System gerade nicht läuft. GnuPG und auch (mit einem Patch) PGP 2.6.2i verhindern das Ausswappen sensitiver Daten auf den meisten Unix-Varianten, dafür müssen sie allerdings "setuid root" installiert sein.
Selbst wenn man den Klartext auf der Festplatte oder Diskette überschreibt, kann ein technisch gut ausgestatteter Angreifer die Daten wiedergewinnen. Geringe magnetische Spuren der Originaldaten bleiben auch nach einem Überschreiben auf der Festplatte oder Diskette. Diese Spuren können unter Umständen mittels spezieller Hardware gelesen werden. Sollten Sie sich ernsthaft Gedanken darüber machen, ob ein Geheimdienst Ihre Daten noch lesen kann, sei hier nur angemerkt, daß beispielsweise die NSA u.a. US-Patent Nr. US5264794 besitzt, in dem beschrieben ist, wie man ein Rasterelektronenmikroskop umbaut, so daß es statt der Oberfläche die Restmagnetisierung einer Festplatte abtastet - kurz gesagt: Wenn ein Geheimdienst an Ihre Daten nicht herankommt, machen die Leute ihren Job nicht bzw. nicht gut genug. PGP zu verwenden, hilft allerdings, daß die Überwachung aufwendiger wird und Geheimdienste nicht routinemäßig alle Bürger ihres (oder eines anderen) Staates überwachen können.
Eine andere Angriffsmöglichkeit könnte ein speziell entwickelter Virus oder Wurm sein, der PGP oder das Betriebssystem infiziert. Dieser hypothetische Virus könnte so entworfen sein, daß er das Mantra, den geheimen Schlüssel oder den entschlüsselten Klartext "mithört" und unbemerkt in eine Datei schreibt oder über ein Netzwerk zum Autoren des Virus schickt. Er könnte auch das Verhalten von PGP so ändern, daß Unterschriften nicht richtig geprüft werden. So ein Angriff ist einfacher und billiger als ein kryptanalytischer Angriff.
Schutz hiergegen fällt unter das allgemeine Thema des Schutzes gegen Viren. Es gibt einige relativ brauchbare kommerzielle und freie Anti-Virus-Produkte, und es gibt "Hygienemaßnahmen", deren Beachtung das Risiko einer Virusinfektion erheblich reduzieren kann. Eine umfassende Abhandlung dieses Themas würde den Rahmen dieses Buches sprengen. PGP selbst hat keinerlei inneren Schutz gegen Viren, es geht davon aus, daß der Rechner, auf dem es benutzt wird, eine "vertrauenswürdige Umgebung" ist. Ein Fall ist bereits bekannt geworden, in dem eine Word-Datei, in der Usernamen und Paßworte für gewisse WWW-Seiten zu finden waren , ein Makrovirus enthielt, der nach privaten Schlüsselringen sucht und diese an einen fremden Rechner schickte. Es ist zu hoffen, daß alle entsprechenden Viren schnell erkannt werden und daß eine entsprechende Warnung schnell viele Leute erreicht.
Ein ähnlicher Angriff könnte eine geschickte Imitation von PGP sein, die sich im Wesentlichen wie PGP verhält, aber nicht so arbeitet, wie anzunehmen wäre. Beispielsweise könnte diese Imitation absichtlich dahingehend verstümmelt sein, daß Unterschriften nicht mehr korrekt geprüft werden, so daß gefälschte Schlüssel nicht mehr erkannt werden können.
Eine solche Version von PGP - ein "Trojanisches Pferd" - kann ein Angreifer verhältnismäßig einfach erstellen, weil der Quellcode von PGP weit verbreitet ist. Hierzu müßte er nur den Quellcode dahingehend manipulieren, daß eine Imitation von PGP entsteht, die zwar echt aussieht, jedoch nur die Anweisungen ihres teuflischen Meisters ausführt. Dieses "Trojanische Pferd" im PGP-Mantel könnte weit verteilt werden, mit dem Anschein, es käme von Philip Zimmermann bzw. PGP Inc. Wie hinterhältig.
Die allgemeine Verfügbarkeit des Quellcodes von PGP hat aber auch einen anderen, vertrauensschaffenden Aspekt: Die entsprechenden Programmierkenntnisse vorausgesetzt, ist es nur noch eine Frage des Fleißes, den Quelltext auf obskure Stellen durchzusehen. Außerdem kann man das Programm neu übersetzen und sich so eine eigene Arbeitsversion erstellen. Der im nächsten Absatz erwähnte Vergleich mehrerer PGP-Versionen aus unterschiedlichen Bezugsquellen sollte aber zumindest für die selbst erstellte Version vorsichtig interpretiert werden: Selbst wenn der gleiche Compiler verwendet wird, besteht immer noch die Möglichkeit, daß die eigene PGP-Version mit der Compiler-Version 12.34a1 übersetzt wird, während das Entwicklerteam Version 12.34b3 verwendet hat. Unterschiede in den PGP-Versionen bedeuten deshalb nicht gleich das Schlimmste. Auf der anderen Seite heißt das aber auch, daß ein neu übersetztes PGP andere Benutzer verunsichern kann. Deshalb sollte man normalerweise besser die Originalversion weitergeben. Bei Versionen ab 5.0 ist es - das sei hier der Deutlichkeit halber noch einmal angemerkt - nicht gestattet, Änderungen am Quelltext oder geänderte Quelltexte oder aus geänderten Quelltexten kompilierte Versionen weiterzugeben.
Man sollte sich die Mühe machen, PGP von einer zuverlässigen
Bezugsquelle zu erhalten, was auch immer das heißen mag. Oder man besorgt sich PGP
von mehreren unabhängigen Quellen und vergleicht die einzelnen
Versionen mit einem geeigneten Programm, z.B. diff
oder cmp, oder auch einer vertrauenswürdige
PGP-Version, beispielsweise durch Erstellen einer abgetrennten
Signatur für eine Datei und Prüfen der Unterschrift mit der anderen
Datei - vergessen Sie nur nicht, die Datei mit der Unterschrift
anschließend zu löschen, um sie nicht versehentlich zu verbreiten.
Mit Hilfe digitaler Unterschriften ergeben sich weitere Möglichkeiten festzustellen, ob an PGP herumgepfuscht wurde. Wenn eine Person, der man vertraut, eine digitale Unterschrift für die Datei mit dem ausführbaren PGP-Programm leistet und damit garantiert, daß die Datei zum Zeitpunkt der Unterschrift nicht infiziert oder anderweitig verfälscht ist, kann man einigermaßen sicher sein, eine brauchbare Kopie zu haben. Mit Hilfe einer älteren, vertrauenswürdigen Version von PGP kann die Unterschrift für die neue, zunächst zweifelhafte Version kontrolliert werden. Dieser Test setzt natürlich voraus, daß der für die Kontrolle der Unterschrift verwendete öffentliche Schlüssel und seine Eigentümerin einen hohen Grad an Vertrauen hat und daß bereits ein vertrauenswürdiges PGP installiert ist.
Einige der bisher besprochenen Sicherheitsprobleme bestehen auch ohne
daß ein Angreifer unmittelbaren Zugang zu dem Computer hat,
auf dem die geheimzuhaltenden Daten gespeichert sind. Ein direkter
Zugriff auf den Computer oder ausgedruckte Texte ist auch denkbar
durch Einbruch, Durchsuchen des Mülls, eine
unerwartete, evtl. auch unbegründete Hausdurchsuchung,
Bestechung, Erpressung oder
Bespitzelung. Von einigen dieser Angriffe
dürften insbesondere politische Basisorganisationen und ähnliche
Gruppierungen betroffen sein, die weitgehend auf
ehrenamtliche Mitarbeit angewiesen
sind. Die Presse hat einiges darüber berichtet, daß das FBI
im Rahmen seines COINTELPRO-Programms mit Einbruch,
Infiltration und illegalen Wanzen gegen
Antikriegs- und Bürgerrechtsgruppen gearbeitet hat. In Deutschland
ist es eine bekannte Tatsache, daß der Verfassungsschutz seit
den Gründungszeiten die rechts- und linksextremen Netzwerke
"Thule" und "Spinnennetz" nicht nur überwacht,
sondern sogar aktiv mit aufgebaut hat. Nicht zu vergessen: Die
Watergate-Affäre. Natürlich gibt es auch
"positive" Beispiele, wie die allgemeine Telephonüberwachung, mit
der deutsche Firmen enttarnt wurden, die Chemiewaffenfabriken nach
Lybien verkaufen wollten.
Die Verwendung eines Verschlüsselungsprogramms kann ein trügerisches, einschläferndes Gefühl der Sicherheit entstehen lassen. Kryptographische Techniken schützen Daten aber nur solange, wie sie verschlüsselt sind. Löcher in der unmittelbaren physischen Sicherheit können nach wie vor Klartextdaten und geschriebene oder gesprochene Information offenlegen. Diese Art von Angriffen ist einfacher und billiger als ein kryptanalytischer Angriff auf PGP.
Die folgende Diskussion mag maßlos paranoid erscheinen, aber so eine Einstellung ist für eine fundierte Auseinandersetzung mit möglichen Angriffen durchaus angemessen. Wenn Sie von den in diesem Abschnitt besprochenen Angriffen bedroht zu sein glauben, sollten Sie den Absatz am Ende beachten.
Eine andere Angriffsmöglichkeit für einen gut ausgerüsteten Gegner ist die Auswertung der elektromagnetischen Strahlung, die ein Computer aussendet. Ein solcher Angriff ist zwar teuer und arbeitsintensiv, aber wahrscheinlich immer noch billiger als eine richtige Kryptanalyse. Ein entsprechend ausgerüsteter Kleinbus könnte in der Nähe des abzuhörenden Computers geparkt sein und jeden Tastendruck und jeden Bildschirminhalt aufzeichnen. Das würde alle Paßworte, Nachrichten usw. offenlegen. Abwehren läßt sich dieser Angriff durch eine geeignete Abschirmung des Computers, des Zubehörs (Drucker usw.) und gegebenenfalls der Netzwerk-Verkabelung. Alternativ kann auch der Raum als solcher abgeschirmt werden, in dem der Rechner steht, beispielsweise durch ein geerdetes Kupferdrahtnetz unter der Tapete und dem Teppich. Eine solche Abschirmung ist unter dem Begriff "sturmsicher" bekannt, und wird von einigen Regierungsbehörden und Rüstungsfirmen eingesetzt. Es gibt Firmen, die diese Abschirmungen anbieten, allerdings ist der Kauf möglicherweise genehmigungspflichtig. Woher das wohl kommt?
Wer allerdings der Meinung ist, derartig ausfeilten Angriffen ausgesetzt zu sein, sollte sich ohnehin mit einem professionellen Sicherheitsberater in Verbindung setzen.
PGP wurde ursprünglich für (Einplatz-)MS-DOS-Computer entworfen, zu denen nur eine Person (unmittelbaren) Zugang hat. Wenn Sie PGP zu Hause auf Ihrem privaten PC benutzen und solange niemand einbricht oder die elektromagnetischen Signale des PCs auswertet, sind die Klartext-Dateien und die geheimen Schlüssel wahrscheinlich sicher. Sicherheitslücken bei Anschluß an das Internet sind eine ganz andere Frage, insbesondere wenn Sie Back Orifice, DeepThroat, NetSphere, GateCrasher, Portal of Doom, GirlFriend, Hack'a'Tack, EvilFTP, phAse Zero, SubSeven oder dergleichen (das sind Windows-Programme, die anderen Menschen gestatten, Ihren Windows 95/98/NT-Rechner per Internet komplett fernzusteuern, Tasteneingaben mitzulesen, Dateien zu lesen und zu ändern o.ä.) installieren. Wenn ein Angreifer die Sicherheit Ihres Rechners umgehen kann, ist PGP machtlos.
Aber mittlerweile werden zunehmend vernetzte Rechner eingesetzt und
die Verbreitung von Multi-User-Systemen wie Unix, Linux oder
Windows NT nimmt ebenfalls zu. Einen Rechner mit mehreren Personen zu
benutzen, erhöht das Risiko, daß Klartext-Dateien, Schlüssel oder
Paßworte von Unbefugten gelesen werden. Der Systemverwalter oder ein versierter
Eindringling kann die Klartext-Dateien lesen und unter Umständen
auch mittels spezieller Software heimlich die
Tastatureingaben und
Bildschirmausgaben mitlesen. Auf vielen Unix-Systemen kann jede
Benutzerin mit dem Kommando ps einiges an Informationen über
die Prozesse der anderen Benutzer erhalten, beispielsweise alle
Umgebungsvariablen und die
gesamte Aufrufzeile. Das tatsächliche
Sicherheitsrisiko hängt von der jeweiligen Situation ab. Ein
Mehrbenutzer-Rechner kann sicher sein, wenn man allen Benutzern traut
und wenn die Sicherheitsmechanismen ausreichen, um Eindringlingen
standzuhalten, oder auch, wenn es ganz einfach keine hinreichend
interessierten potentiellen Eindringlinge gibt. Manche Systeme sind
schon dadurch sicher, daß sie von nur einer Person benutzt werden -
es gibt bereits Notebooks und Palmtops, die mit Unix arbeiten. PGP
vollkommen von der Benutzung unter Unix auszuschließen, wäre unsinnig.
Dasselbe gilt für Windows 95/98/NT.
PGP ist nicht dafür gedacht, Daten zu schützen, die als Klartext auf einem schlecht geschützten oder "aufgeflogenen" Rechner vorhanden sind. Ebensowenig kann es einen Eindringling davon abhalten, einen geheimen Schlüssel während seiner Benutzung mitzulesen. Diese Risiken muß man sich gerade für Mehrbenutzer-Rechner klarmachen und die Erwartungen an PGP und das eigene Verhalten darauf abstimmen. Aber vielleicht hat die Leserin doch die Möglichkeit, PGP auf einem "isolierten", also nicht an ein Netzwerk angeschlossenen Ein-Platz-PC zu verwenden, der unter ihrer unmittelbaren physischen Kontrolle ist. Auf diese Weise setzen wir PGP nach Möglichkeit ein, und dazu raten wir auch.
Selbst wenn ein Angreifer nicht in der Lage ist, den Inhalt der verschlüsselten Nachrichten zu lesen, hat er immer noch die Möglichkeit, brauchbare Informationen daraus zu gewinnen, woher Nachrichten kommen, an wen sie gehen, wie lang sie sind oder wann sie geschrieben wurden. Dies entspricht der Auswertung von Telephonverbindungen, ohne daß die einzelnen Gespräche abgehört werden, beispielsweise aufgrund eines im Altpapier gefundenen Einzelgesprächsnachweises. Das ist mit "Statistik von Nachrichtenverbindungen" ("traffic analysis") gemeint.
PGP schützt hiervor nicht. Dieses Problem können Sie nur auf der Ebene angehen, auf der Ihre Nachrichten versandt werden, und damit hat PGP zunächst einmal nichts zu tun. Es gibt aber Ansätze, dieses Problem zu lösen, beispielsweise die (meist auf PGP aufbauenden) Remailer oder auch mixmaster, ein deutlich aufwendigeres Verfahren.
Unter diesem Begriff verstehen wir Programme, die (PGP-verschlüsselte) Nachrichten entgegennehmen, sie entschlüsseln und an eine im verschlüsselten Text angegebene Adresse weiterversenden. Eine Liste derartiger Remailer mit aktuellen Statistiken über Zuverlässigkeit und Geschwindigkeit finden Sie unter http://drule.org/remailer/ oder auch http://www.anon.efga.org/.
Eine Nachricht an einen Remailer vom hier besprochenen Typ (der
"cypherpunk type-I" genannt wird) hat folgenden Aufbau:
Ein Beispiel:
:: Anon-To: ct@ct.heise.de,ccc@ccc.de,foebud@foebud.org ## Subject: Bedenkliches internes Memorandum bei XYZ-Software GmbH Sehr geehrte Damen und Herren, anbei ein Memorandum, das mich heute erreichte. Bitte haben Sie dafür Verständnis, daß ich meine Arbeitsstelle nicht riskieren möchte und Ihnen daher keine Antwortadresse nennen kann. ...
Diese Nachricht könnten Sie so an einen der Remailer schicken - aber dann wäre der Inhalt für jeden zu lesen. Die Remailer haben daher eigene PGP-Schlüssel, mit denen Sie die Nachrichten verschlüsseln sollten. In diesem Fall empfiehlt es sich (bei manchen Remailern muß es gemacht werden), vor den verschlüsselten Text die Zeilen '::' und 'Encrypted: PGP' zu setzen. Beispielsweise an remailer@foebud.org sieht der Anfang einer entsprechend verschlüsselten Nachricht so aus:
:: Encrypted: PGP -----BEGIN PGP MESSAGE----- Version: 2.6.3ia hIwCmjyrXLROh0cBBADYbWUfytdwaaPQsJ/xljWaXAoUPlGJDpFjvxzVgtbARVq2 d+XunemKNxguE29BsFZYZ0LOGAqyWyNpXovtbR1VcrZo1JWsvXW2FXSazvRGLkYI ...
Empfehlenswerter wäre es natürlich, mehrere Remailer in dieser Weise hintereinanderzuhängen. Das Vorgehen hierfür ist Folgendes:
Deutlich komplexer gestalten sich die sogenannten "mixmaster". Das ist ein System von Remailern, die eine zu versendende Nachricht anonymisieren, in Blöcke ungefähr konstanter Größe aufteilen, diese Blöcke auf beinahe zufälligen Wegen zu einem End-Remailer senden und von dort die Nachricht an den Empfänger versenden. Zusätzlich werden durch die mixmaster Datenblöcke erzeugt und versandt, die keinen Inhalt enthalten und irgendwo einfach wieder verschwinden. Eine erfolgreiche Analyse, wer eine Nachricht auf diesem Weg an wen sendet, würde ein Zusammenarbeiten aller Betreiber der beteiligten mixmaster-Programme erfordern, und selbst dann wäre es nicht einfach.
Um Nachrichten mit mixmaster zu versenden, müssen Sie zunächst das Programm selbst installieren. Sie finden die nötigen Dateien auf der beiliegenden CD im Verzeichnis Remailer. Unter MS-DOS können Sie Mixmaster im Zusammenspiel mit Private Idaho verwenden. Nach der Installation können Sie einfach mix aufrufen und haben dann die Möglichkeit, mit m eine Nachricht zu versenden. Die erscheinenden Menüs dürften im Wesentlichen selbsterklärend sein, eine genauere Anleitung würde den Rahmen dieses Handbuchs sprengen.
Ein kryptanalytischer Angriff könnte von einem Geheimdienst durchgeführt werden, der über ein ausreichendes Arsenal von Mathematikern und Supercomputertechnologie verfügt. Dieser Angreifer könnte beispielsweise einen RSA-Schlüssel unter Verwendung eines bahnbrechenden neuen, geheimgehaltenen Algorithmus für die Primfaktorzerlegung knacken.
Das ist denkbar, aber man sollte nicht vergessen, daß die US-Regierung dem RSA-Algorithmus soweit vertraut, daß mit ihm (nach Aussage Ron Rivests, einem der Erfinder des RSA-Algorithmus) Kernwaffen gesichert werden. Laut einem Artikel im Spektrum der Wissenschaft wird auch RSA verwendet, um die Nachrichten der automatisierten Überwachungssanlagen für Nuklearversuche, die die USA und die GUS wechelseitig in ihrem Hoheitsgebiet stationiert haben, zu signieren - sicherlich ein Anwendungsgebiet für digitale Signaturen ohne Verschlüsselung, denn die Stationen sollen ja nur die erlaubten Daten senden, diese sollen aber nicht manipuliert werden können. Im zivilen Bereich gibt es seit 1978 intensive, aber bislang erfolglose, Versuche, RSA zu knacken.
Möglicherweise hat eine Regierung auch geheimgehaltene Methoden, mit
denen IDEA oder ein anderer der bei PGP verwendeten konventionellen
Verschlüsselungsalgorithmen geknackt werden kann. Das wäre der
zweitschlimmste Alptraum eines jeden Kryptographen.
In der praktischen Kryptographie gibt es keine Garantie für absolute
Sicherheit.
Doch nach wie vor ist etwas Optimismus gerechtfertigt. Die bei PGP eingesetzten Algorithmen gehören zu den am besten analysierten Verfahren in der öffentlich zugänglichen Literatur und halten bislang allen bekannten Angriffen stand.
Aber selbst wenn einer der Algorithmen die eine oder andere subtile Schwachstelle haben sollte, komprimiert PGP den Klartext vor der Verschlüsselung, was die von einer solchen Schwachstelle ausgehende Gefährdung um einiges reduzieren dürfte - komprimierte Daten haben weniger Struktur, was einen Angriff schwieriger macht. Der für das Knacken erforderliche Rechenaufwand dürfte in den meisten Fällen um einiges höher sein als der Wert der entschlüsselten Nachricht.
Wenn man in einer Situation ist, in der die Furcht vor so einem Angriff größten Kalibers berechtigt ist, wäre es an der Zeit, die Dienste einer Sicherheitsberaterin in Anspruch zu nehmen, die auf die jeweilige Situation zugeschnittene Lösungen anbieten kann.
Kurz gesagt, ein Gegner kann mühelos, sogar routinemäßig Datenkommunikation abhören, es sei denn, die Daten sind gut kryptographisch geschützt. Wenn man PGP verwendet und die erforderlichen Vorsichtsmaßnahmen beachtet, muß ein Angreifer erheblich mehr Arbeit und Kosten aufbringen, um in die Privatsphäre einzubrechen.
Wenn man sich vor einfachen Angriffen schützt und annehmen kann, daß man nicht einem entschlossenen und sehr gut ausgestatteten Angreifer gegenübersteht, dann dürfte die Verwendung von PGP sicher sein. PGP sorgt für eine prima geschützte Privatsphäre.