Verschlüsselung in der Praxis: Ein Erfahrungsbericht

Alternativ von pixabay - tpsdaveCC0 by tpsdave via pixabay

Verschlüsselung ist wichtig. Sie schützt mich und meine E-Mail Korrespondenz vor ungewünschten „Mitlesern“.
Und wenn ich selber nichts zu verbergen habe, dann fallen diejenigen, die etwas zu verbergen haben nicht so auf, wenn ich es auch tue.
Aber wie macht man das? Schon die Theorie ist nicht gerade nutzerfreundlich. Es hat was mit Schlüsseln zu tun, sogar mit mehreren. Aber was macht man damit? Und woher kriege ich die Schlüssel? Muss ich jedes Mal neue Schlüssel erzeugen? Wo werden die gespeichert? Und wie geht das alles….. Viele Fragen auf die ich mir selber keine befriedigenden Antworten geben kann.
Der Anfang geht einfacher, wenn man ihn nicht alleine machen muss.
Daher bin ich zu Hauke Langing gegangen. Er veranstaltet PGP Schulungen. (http://www.openpgp-schulungen.de/).

PGP ist eine Verschlüsselungssoftware, („Pretty Good Privacy (PGP, deutsch sinngemäß „Ziemlich gute Privatsphäre“) die zur Verschlüsselung und zum Unterschreiben von Daten entwickelt wurde.
Die Voraussetzung zum Verschlüsseln ist eine eigene Mail-Adresse. Mit einer Webmail-Adresse wie Hotmail oder GMX funktioniert es in dieser Form nicht nicht.
Ich nutze Thunderbird und habe bereits eine eigene E-Mail Adresse. Zusätzlich habe ich neulich schon mal GPG4win, eine freie Software zum Verschlüsseln und Signieren von E-Mails, Dateien und Ordnern heruntergeladen und installiert. Die Vorbereitung ist also erfolgt.
Am Abend, beim Verein Individual Network Berlin (IN-Berlin) e.V. in der Lehrter Straße in Moabit wo die Schulung statt findet, soll ich mit ca. 6 weiteren Teilnehmern erst mal ganz viel weitere Zusatz- Software bzw. Plugins installieren. Klar das geht. Zusätzlich zum GPG4win brauche ich noch ein Thunderbird PlugIn: Enigmail integriert OpenPGP-Verschlüsselung und Authentifizierung in Thunderbird.
Um das Prinzip zu verstehen ist es sehr hilfreich, dass wir zunächst eine Verschlüsselung für ein Chat-Programm ausprobieren.
Auch hier erstmal Das Chatprogramm (den Instant Messenger) installieren. Dann auf einem sicheren Server (der vom CCC zur Verfügung gestellt wird) eine ID erstellen. (XMPP unterstützt die Funktion zur Nachrichtenübermittlung) Dann geht es schon los. Wir tragen „Freunde“ ein (wie bei Facebook) mit denen wir chatten wollen. In diesem Fall erst mal die im Raum anwesenden. Andere Personen, die das Programm verwenden, kenne ich auch nicht. Sehr schade.
Dann schreiben wir uns. Zunächst ist der Chat unverschlüsselt. Erst durch den Austausch vom System generierten Schlüsseln geht es in die nächste Sicherheitsstufe. Das wird durch die Installation eines Plug-Ins erreicht. (OTR -Off-the-Record Messaging ist ein Protokoll zur Verschlüsselung von Instant Messaging Nachrichten) Wenn ich dann noch die Identität meines Chat-Partners sicher authentifizieren kann (Durch den direkten Offline-Austausch unserer Fingerprints) habe ich es geschafft und bin ganz auf der sicheren Seite.

Was sind Fingerprints?
Jeder Schlüssel trägt einen Fingerprint. Es ist eine zufällige Zeichenfolge, die es nur einmal gibt und einen Schlüssel eindeutig kennzeichnet. Sie dient zur Echtheitsprüfung des Schlüssels.

Das war super als Warmup. Jetzt kann es mit der E-Mail Verschlüsselung losgehen.
Hier kommt dann allerdings die Sicherheit ins Spiel. Ein Schlüssel, der die Verbindung sichert ist nur so sicher wie der Rechner oder das System mit dem es erstellt wird. Rechner, die Zugang zum Internet haben sind es nicht. Windows-Rechner wie meiner auch nicht. Also bekommen wir eine CD mit einem Programm (Knoppix), das komplett ein neues Betriebssystem (Linux) auf meinem Rechner startet und damit dann einen sicheren Schlüssel generiert. Das ganze Prozedere muss ich mir (so sagt Hauke) auch gar nicht merken (sehr gut, ich wollte mir schon Sorgen machen).
Dann ist eigentlich alles ganz einfach. Oder auch nicht.
Die Verwaltung meines eigenen Schlüssels, und der meiner sicheren Kontaktpartner funktioniert nur eingeschränkt. Irgendwas ist beim Erzeugen des Schlüssels durcheinander geraten und nun muss ich mit Hilfe von Hauke Nachbesserungen vornehmen.
Auf der anderen Seite ist es ganz praktisch, dass es nicht sofort reibungslos funktioniert, da ich nun gezwungen bin immer wieder das Verfahren zu testen. Ich schaue mir die Einstellungen an und probiere die Benutzerregeln aus.
Das Verschlüsselungs-Programm dient einerseits dazu dem Empfänger der Mail durch eine Signatur die Authentizität des Verfassers zu garantieren. Andererseits ist der Schlüssel dafür da, den Inhalt zu verschlüsseln und sorgt gleichzeitig dafür, dass nur der Empfänger mit dem richtigen „Gegen-Schlüssel“ den Inhalt auch entschlüsseln und lesen kann.
Wenn ich eine E-Mail an meinen Kollegen verschicke, dann verschlüssele ich diese mit seinem öffentlichen Schlüssel. Dieser öffentliche Schlüssel ist nicht passwortgeschützt und kann immer und von jedem genutzt werden. Beim Empfang der E-Mail muss mein Kollege sein Passwort eingeben, damit er mit seinem zugehörigen privaten Schlüssel die E-Mail entschlüsseln kann.
Beim Signieren ist es genau umgekehrt: Wenn ich beim Absenden die E-Mail signiere, muss ich mein Passwort eingeben, damit ich mich mit meinem privaten Schlüssel authentifiziere. Beim Empfang der E-Mail kann er diese mit seinem öffentlichen Schlüssel prüfen. Hierfür muss er kein Passwort eingeben.
Fazit: Jeder gibt immer nur sein Passwort für seinen privaten Schlüssel ein.
Meinen öffentlicher Schlüssel, den meine Freunde sehen dürfen, um damit die von mir gesendete Nachricht öffnen zu können haben wir auf einen Keyserver (Schlüsselserver) hochgeladen. Dort ist er für alle verfügbar, die danach suchen.
Verschlüsselung und Authentifizierung sind also zwei unabhängige Aktionen. Dabei ergeben sich praktisch mehrere Möglichkeiten:  signiert+verschlüsselt,  unsigniert+verschlüsselt, signiert+unverschlüsselt.

Das Problem ist jetzt eigentlich nur die fehlende Praxis.
Ich habe zwei Freunde und einen Kollegen mit denen ich verschlüsselte Mails austausche. Und der eine sagte mir neulich, dass er meine Mails mobil leider nicht lesen kann. Logisch.
Die Ursache dafür sieht Hauke Laging in der Tatsache, dass die mobilen Anwendungen PGP/MIME noch nicht “können”. Sein Tipp: “Wenn jemand überwiegend mobil seine Mails liest, kannst Du in den Empfängerregeln festlegen, dass die Mails an diese Adresse als PGP/Inline rausgehen.”
Heißt das jetzt: gut gemeint, aber für die Praxis nicht zu gebrauchen?
Ich finde nicht. Der Anfang ist gemacht. Jetzt müssen die Überzeugungsarbeit und die Integration in die Praxis folgen. Wir sind auf dem Weg……

Hilfreiche Unterstützung bei der Integration von PGP bietet Hauke Laging:
http://www.openpgp-schulungen.de/fuer/unterstuetzer/

 

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht.

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>