Dokumente und Mails mit PGP schützen

Jevgeni Trombovetski, 123RF

Privates schützen

Viele haben PGP/GPG schon einmal ausprobiert. Nicht so bekannt ist aber, was sich unter der Haube verbirgt und welches Sicherheitslevel sich mit welcher Option tatsächlich ergibt. Dieser Artikel gibt einen tieferen Einblick.
ADMIN 11/13 stellt die besten Lösungen vor und klärt, ob Browser-Plugins, Anonymisierer sowie Verschlüsselung wirklich helfen. Weitere Themen: Small ... (mehr)

Pretty Good Privacy (PGP) erlaubt das kryptografische Unterschreiben und das Ver- und Entschlüsseln von Dokumenten. Ersteres dient der Sicherung der Identität, letzteres der Sicherung der Vertraulichkeit. Dabei wird der OpenPGP-Standard benutzt, der eine Kombination aus herkömmlichen und Public-Key-Verfahren einsetzt. PGP selbst – als Produkt der PGP Corporation – ist keine GPL-Software. Der OpenPGP-Standard ist dagegen nicht proprietär. Die wichtigste Open-Source-Implementierung von OpenPGP ist GnuPG (GPG) [1].

Warum Public-Key-Kryptografie?

Die Grundidee der Public-Key-Kryptografie ist, dass zuerst ein Verschlüsselungsprozess den lesbaren Text chiffriert und anschließend ein Entschlüsselungsprozess das Ganze wieder in eine lesbare Form zurückverwandelt. Zum Verschlüsseln wird ein Algorithmus und ein Schlüssel gebraucht.

Ein ganz einfaches Beispiel für einen Verschlüsselungs-Algorithmus ist der sogenannte Cäsar-Code, bei dem jeder Buchstabe um eine feste Distanz verschoben wird: Aus »A« wir »D« aus »B« wird »E« und so weiter. Den Algorithmus könnte man so beschreiben: »Verschiebe jeden Buchstaben X um den Schlüsselwert 3« .

Dieses Verfahren ist natürlich sehr leicht zu brechen und als ernsthaftes Verschlüsselungsverfahren nicht zu gebrauchen, doch es verdeutlicht das Grundprinzip: Der Empfänger braucht wieder den zuvor benutzten Schlüssel und den Algorithmus. Und hier stößt man auf ein Problem: Wie soll man den Empfänger mit diesen Daten versorgen? Man kann sie nicht verschlüsseln, denn er hätte nichts in der Hand, womit er sie entschlüsseln könnte. Sendet man sie aber unverschlüsselt, könnten sie von Unbefugten abgefangen werden.

Die Lösung für dieses Problem ist die Public-Key-Kryptografie. Sie verwendet einen öffentlichen Schlüssel zum Verschlüsseln der Nachricht und einen anderen, privaten Schlüssel für das Entschlüsseln. Dabei ist es unmöglich den privaten Schlüssel aus dem öffentlichen abzuleiten. Deshalb kann man den öffentlichen Schlüssel unbesorgt überall verteilen. Der private Schlüssel wird dagegen niemals und mit niemandem geteilt.

So funktioniert GPG

Wenn man eine Nachricht mit GPG verschlüsselt, passiert das Folgende:

  • Der Text wird komprimiert, denn das reduziert die Muster, die man im Klartext finden könnte, und erschwert so Angriffe.
  • Es wird ein zufälliger Session-Key erzeugt.
  • Mit diesem Session-Key wird die Nachricht verschlüsselt.
  • Danach wird wiederum der Session-Key mit dem öffentlichen Schlüssel des Empfängers verschlüsselt (nicht die Nachricht selbst).

Nachricht und Session Key gelangen verschlüsselt gemeinsam zum Empfänger. Bei ihm passiert das Folgende:

  • Er entschlüsselt mit seinem geheimen, privaten Schlüssel den Session-Key.
  • Danach entschlüsselt er mit dem Session-Key die Nachricht.
  • Schließlich wird die Nachricht wieder dekomprimiert.

Nun liegt die Nachricht wieder in lesbarer Form vor. Die zugrunde liegende Mathematik ist nicht Gegenstand dieses Artikels. Wer deren Details studieren möchte, findet ein nachvollziehbares Beispiel unter [2].

comments powered by Disqus

Artikel der Woche

Support-Ende von SMBv1

Mit dem aktuellen Update für Windows 10 und Windows Server 2016 steht eine Änderung ins Haus, die gerade für Benutzer älterer Linux-Distributionen große Auswirkungen hat. Nachdem Microsoft es über viele Jahre schon angekündigt hat, entfernt der Konzern mit dem aktuellen Update-Release den Support für das SMB-Protokoll 1. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Linux-Backup

Welche Backup-Lösung setzen Sie für Linux im professionellen Umfeld ein?

  • keine
  • eigene Scripts
  • rsnapshot
  • rdiff-backup
  • Bacula
  • Bareos
  • Borg
  • Duplicity
  • Amanda
  • Burp
  • Clonezilla
  • Acronis
  • Arkeia
  • SEP sesam
  • Veeam
  • Redo Backup
  • Relax-and-Recover
  • andere kommerzielle Software
  • andere Open-Source-Software

Google+

Ausgabe /2017

Microsite