12. Chaos Communication Congress '95

PGP für AnfängerInnen

Bei internationaler elektronischer Kommunikation kann in keiner Weise kontrolliert werden, durch welche Hände die "Post" geht. Deshalb ist es empfehlenswert, seine private Post zu verschlüsseln. Das Verschlüsselungsprogramm PGP (Pretty Good Privacy) steht in dem Ruf, sicher, aber kompliziert zu sein.

Wie PGP funktioniert und wie es zur Verschlüsselung von eigenen Mails benutzt werden kann, darum ging es im Workshop "PGP für AnfängerInnen", der beim diesjährigen Chaos Communication Congress in Hamburg stattfand.

Der Code von PGP ist mit Hilfe eines Computers rechnerisch leicht zu knacken, da der Verschlüsselungsweg allgemein bekannt ist - die Entschlüsselung würdejedoch so lange dauern, daß das Ergebnis, wenn es vorliegt, nicht mehr aktuell wäre. Die komplizierte Handhabung von PGP ist in den letzten Jahre durch die seine Einbindung in gängige Programme immer weiter erleichtert worden.

1993 kam das Programm ins internationale Gerede, als gegen seinen Erfinder Philip Zimmermann ein Verfahren wegen angeblich illegalem Export des Programms - einige der Algorithmen, die PGP benutzt, fallen unter das US-Waffenexportgesetz - begann. Der Export der neueren Versionen aus den USA ist verboten, ältere sind jedoch in Deutschland leicht zu bekommen und übrigens auch vollkommen legal.

Der Mathematikstudent Christopher Creutzig, der zusammen mit Abel Deuring das Handbuch zu PGP ins Deutsche übersetzte, erläuterte in seinem Vortrag die Unterschiede zwischen konventioneller und Public-Key-Verschlüsselung, die PGP benutzt.

Bei der Verschlüsselung arbeitet PGP nach dem sogenannten Hybrid-Verfahren. Dabei werden die Nachrichten nach dem in der Schweiz entwickelten IDEA (International Data Encryption Algorithm) verschlüsselt. Zur Verschlüsselung der Schlüssel wiederum benutzt das Programm das in den 70er Jahren entwickelte, assymmetrische RSA-Verfahren.

Bei der konventioneller Verschlüsselung wie IDEA gibt es ein gemeinsames Paßwort für Absender und Empfänger der Nachricht. Beim Public-Key-Verfahren, das PGP verwendet, hat dagegen jeder zwei Schlüssel. Der Empfänger schickt seinen öffentlichen Schlüssel an den Absender, damit dieser die Nachricht damit verschlüsseln kann. Lesen kann die Nachricht nur der Empfänger, und zwar nur mit seinem privaten Schlüssel. Hier besteht natürlich die Gefahr, daß Schlüssel gefälscht werden. Irgendjemand könnte einen Schlüssel unter dem Namen eines anderen in Umlauf bringen und sich damit Einblick in dessen Post verschaffen. Um dies zu vermeiden, kann man aber den "Fingerprint" des Schlüssels, einer Art "Kurzform", telefonisch vergleichen.

Um zu verhindern, daß der Absender einfach einen falschen Namen unter die Mail setzt, gibt es die Möglichkeit der digitalen Unterschrift. Die Mail wird mit dem privaten Schlüssel signiert und kann mit dem dazugehörigen öffentlichen Schlüssel überprüft werden. Da eine solche Unterschrift nur mit dem eigenen privaten Schlüssel erzeugt werden kann, läßt sich ihre Authentizität jederzeit überprüfen.

Auch Schlüssel können signiert werden. Mit der eigenen Unterschrift unter einen öffentlichen Schlüssel einer anderen wird bestätigt, daß dieser Schlüssel tatsächlich zu der Person gehört, deren Name in der Adreßangabe des Schlüssels steht.

PGP ist in Deutschland erhältlich z.B in der

//BIONIC-Mailbox

Nummer: 0521-68000

Login: PGP

Kein Passwort!