nadir start
 
initiativ periodika Archiv adressbuch kampagnen suche aktuell
Online seit:
Mon Jan  1 02:48:40 1996
 



next up previous contents
Next: Generelle Tips Up: Software Previous: Crosspoint

PGP

Neben XP ist empfehlenswert, die Programme PGP und XP-PGP zu besorgen. Dies sind sichere Public-Key-Verschlüsselungsprogramme.

Ein Public-Key-System basiert darauf, dass zwei verschiedene Schlüssel (Passwörter) benutzt werden. Dass eine zum Ver-, das andere zum Entschlüsseln der mail. Das Verfahren ist auf dem RSA-Algorithmus aufgebaut, mit dessen Hilfe sich ein komplizierter mathematische Zusammenhang zwischen den beiden Schlüsseln herstellen lässt.

Der eine Schlüssel, der zum Verschlüsseln verwendet wird, ist der sogenannte 'Public-Key'. Mit ihm ist es möglich, einen Text so zu verschlüsseln, dass er später mit dem 'Secret-Key' wieder entschlüsselt werden kann.

Den Public-Key kann man nun bedenkenlos herausgeben, seinen Freunden schicken, veröffentlichen. Denn mit ihm können Texte nur verschlüsselt werden, aber ohne den dazugehörigen Secretkey nie wieder entschlüsselt. Und den Secretkey behält man bei sich zu Hause. Es besteht keine Notwendigkeit, ihn jemals irgendjemandem mitzuteilen.

Public- und Secret-Key bilden ein zueinandergehöriges Pärchen und bestehen aus zwei zueinandergehörigen sehr langen Zahlen, die bei der ersten Erzeugung des persönlichen Schlüssels generiert werden.

Bei diesem System müssen also keine Passwörter mehr ausgetaucht werden, und niemand kann den geheimen Schlüssel mitschneiden. Jeder kann sich eine Liste von den PublicKeys aller seiner Bekannten machen und mit den jeweiligen Schlüsseln die mails an die betreffenden Leute sicher codieren. Und nur der jeweilige Bekannte, dem der zum Verschlüsseln verwendete PublicKey gehört hat, kann die damit verschlüsselte mail wieder lesbar machen.

Und mensch muss sich noch nicht einmal kennen, um abhörsicher mitein- ander kommunizieren zu können: Man muss nur irgendwoher den PublicKey des anderen bekommen, zum Beispiel aus einer öffentlichen Datenbank.

Es gibt noch weitere Einsatzgebiete für des PublicKey-Verfahren: die elektronische Unterschrift. Denn mit meinem SecretKey kann ich eine Art Quersumme aus einem Dokument bilden, anhand derer jeder, der meinen PublicKey kennt, die Authentizität meiner 'elektronischen Unterschrift' (Signature) erkennen kann. Er kann nämlich mittels meines PublicKeys feststellen, dass diese Quersumme des Dokuments nur von jemandem gebildet werden konnte, der den zu diesem PublicKey gehörigen SecretKey kannte.

Vorraussetzung dafür ist natürlich, dass ich sicher bin, dass der mir vorliegende PublicKey auch wirklich von der betreffenden Person stammt, die ich ihm zuordne. Dass ist die Gefahr bei öffentlichen Datenbanken, die Public-Keys verteilen. Hier könnten gefälschte Keys lauern, die gar nicht von der betreffenden Person stammen, von der sie zu stammen scheinen. Ich muss also dem Betreiber einer solchen Datenbank trauen, oder ich muss mir den PublicKey persönlich überreichen lassen. Oder ich kann mir den PublicKey von einem Dritten, der sich wiederum sicher ist, dass der Publickey echt ist, und dessen Publickey ich aus verlässlicher Quelle habe, signieren lassen. Zum Glück gibt es aber noch eine einfachere Methode: Aus jedem PublicKey lässt sich eine kurze Quersumme bilden, der sogenannte 'Figerprint' eines PublicKeys. Diese kann man zB per Telefon mit dem Eigentümer abgleichen. Wenn sie stimmt, ist auch der PublicKey unverfälscht.

PGP ist 'das' gängige PublicKey-Verschlüsselungsprogramm. Es ist für fast alle Betriebssysteme erhältlich. Der besondere Vorteil ist, dass es im Sourcecode erhältlich ist und daher nicht auf dem Prinzip 'Sicherheit durch Verstecken' beruht, dass eine recht schwaches Sicherheitsprinzip durch Geheimhaltung zu schützen versucht, sondern all seine Programmroutinen offenlegt und trotzdem nicht zu knacken ist, obwohl jeder weiss, wie es funktioniert. Auf diese Weise wird auch recht zuverlässig verhindert, dass irgendjemand geheime Hintertüren einbaut: Denn wenn der Code offenliegt, dann wird irgendwer im grossen Internet diese sehr wahrscheinlich ausmachen.

PGP ist an vielen Stellen erhältlich - zB im Softwarearchiv der CL-HH unter /programme/msdos/dfue. Die aktuelle Version ist 2.3.



next up previous contents
Next: Generelle Tips Up: Software Previous: Crosspoint



generated in 1994 at silas.nadir.ORG