Verschlüsselung und Signatur von E-Mail und anderen Daten

Es besteht, die Möglichkeit E-Mails und Dateien mit Hilfe von Zusatzprogrammen zu verschlüsseln und/oder zu unterschreiben. Da es immer wieder vorkommt, dass gefälschte E-Mails im Umlauf sind, werden meine E-Mails seit längerem unterschrieben. Auch Dateien, die von mir stammen und deren Inhalt wichtig ist, werden unterschreiben, damit eine sicher sein kann, dass sie nicht verändert wurden.

Was ist OpenPGP?

OpenPGP ist ein Standard zur Verschlüsselung und Signatur von Daten. Erfunden wurde er um 1991 durch Phil Zimmermann, damit Menschen, insbesondere Menschenrechtsgruppen zueinander per E-Mail anonym und sicher verschlüsselt in Kontakt treten können. Dafür wurde er bis 1997 mit Klagen der US-Regierung überzogen, die eine Verbreitung der Verschlüsselung verhindern wollte, weil Zimmermann damit gegen Exportbeschränkungen bei Verschlüsselung verstieß. Diese Klagen konnte er jedoch abwehren.

Dass auch andere Staaten, selbst die BRD, deren Organisationen und Geheimdienste, sowie multinationale Konzerne gern Persönliches abgreifen, um daraus Kapital zu schlagen oder gar Profile für polizeiliche Aktionen zu sammeln, ist schon länger bekannt.

Mittlerweile sind Staaten mittlerweile soweit gegangen, angeblich aus Terrorabwehr und organisiertem Verbrechen, den Austausch von Daten und Mails zu scannen, selbst Zugriff auf Datenbanken wie bei Versicherungen, Krankenhäusern sind möglich.

Wer möchte, dass Ärzte ihre Mails über den seelischen oder körperlichen Zustand von Patienten unverschlüsselt an andere Kollegen senden, dass es alle beim Mailanbieter oder sostwo mitlesen könnten? Niemand. Sowas muss verhindert werden durch geeignete Mittel.

Jetzt gibt es Leute, die sagen sie hätten nichts zu verbergen, jeder dürfe ihre Daten und Mails lesen. Wirklich? Die Leute, die anderen nicht sagen wollen wieviel sie verdienen oder wievel Steuern sie zahlen? Die Leute mit Gardinen und Jalousien vor dem Fenster?
Die haben auch ihre schützenswerten Geheimnissen. Und das ist richtig und ok.

Daten und Mails müssen manchmal aus Sicherheitsgründen, aus Datenschutz oder einfach nur aus Sorge vor dem Ausschnüffeln persönlicher Inhalte durch Geheimdienste, Mailanbieter, Staat, sonstwelchen Organisationen oder Einzelpersonen verschlüsselt werden. Auch ist eine Signatur von Dateien oder E-Mails sinnvoll, damit wirklich gewährleistet ist, dass das E-Mail oder Dateien wirklich vom Absender kommt und die Inhalte nicht verändert wurden.

Verschlüsselung ist eine Notwendigkeit bis heute! Auch für Privatpersonen!

Also: OpenPGP nutzen!
Denn nur so können Geheimnisse gewahrt bleiben und sichergestellt werden, dass E-Mails nicht gefälscht oder verändert sind.

Und was die Geheimdienste anbelangt, die überall ihre Hintertüren sich einbauen lassen, der OpenPGP-Standard hat keine Hintertüren wie Phil Zimmerman versichert. Mit OpenPGP verschlüsselte Inhalte sind sicher und bislang unknackbar, jedenfalls wenn genügend lange Schlüssel verwendet werden. Bislang gibt es keinerlei Hochleistungsrechner, die lange Schlüssel knacken können, um so später verschlüsselte Inhalte zu entschlüsseln.

Was ist GnuPG und was ist PGP?

Das sind beides Programmsammlungen, deren Programme mit dem Standard OpenPGP signieren und verschlüsseln.

GnuPG (Gnu Privacy Guard, manchmal GPG genannt) ist eine Programmsammlung, bestehend aus pgp und gpgsm (für S/MIME); mit beiden Programmen kann man E-Mails und Dateien signieren (unterschreiben) und verschlüsseln kann. Es ist als freie Software erhältlich und zudem kostenlos. GnuPG kann auch mit Schlüsseln von PGP umgehen.

PGP (Pretty Good Privacy) ist eine Programmsammlung mit dem Dateien und E-Mails signiert/verschlüsselt werden können. Es ist ein kommerzielles Produkt. Ob und wie es ohne Lizenzgebühren und kostenlos genutzt werden darf, weiß ich nicht; deswegen bitte auf der PGP-Website nachsehen.
Es gibt zwar noch eine freie Version, die aber schon etwas älter ist und meines Wissens.

Gibt es auch GnuPG oder PGP für Mac, Linux oder andere Betriebssysteme?

GnuPG und PGP sind für (fast) jedes Betriebssystem erhältlich, selbst für Smartphones, und arbeiten mit vielen E-Mail-Programmen zusammen. Und was wichtig ist: die Programme gibt es auch in deutsch und weiteren Sprachen.

Wo erhalte ich GnuPG oder PGP?

Bei den verschiedenen Linux- und BSD-Versionen ist GnuPG oft standardmäßig mit dabei, installiert werden muss allenfalls eine Benutzeroberfläche, wenn nicht auf der Kommandozeile gearbeitet werden soll.
Für Windows und Macs OSX mussen bestimmte Programmpakete installiert werden.

In der Übersicht unten gibt es mehrere Links zu den Websites von GnuPG und PGP. Auf diesen Websites werden Sie dann einen Link auf den Download finden.

Wie ich lerne ich mit GnuPG oder PGP umzugehen?

Wer gern in Schulungen geht, findet bei Crypto für alle geeignete Schulungen, sowohl in Gruppen als auch für einzelne Personen. Diese Schulungen sind sogar kostenlos wie GnuPG auch!

Um den Umgang mit Verschlüsselung und sicherem Mailen in einem lockeren Umfeld näher kennen zu lernen, bieten sich sogenannte Cryptoparties an, auf der jede Person ungezwungen im Austausch mit Anderen lernt, Programme wie GnuPG oder PGP zu installieren, einzurichten und zu verwenden, und wie sicheres E-Mail funktioniert.

Solche Cryptoparties gibt es deutschlandweit, wo überhaupt und wann? Das ist in der Übersicht der Veranstaltungsorte für Cryptoparties zu finden.

Wo gibt es Infos zu GnuPG und PGP?

Eine kleine Übersicht mit Links zu Informationen über GnuPG und PGP finden Sie weiter unten.
Weitere Links können sicherlich über Google gefunden werden, indem Suchbegriffe wie PGP, GnuPG, Verschlüsselung eingegeben werden.

Wie kann ich die Verbreitung und Entwicklung GnuPG unterstützen und fördern?

Wer GnuPG für Windows (GPG4Win) unterstützen will, kann dies durch eine Geldspende oder Mitarbeit tun.

Wer allgemein die Verbreitung von Verschlüsselung mit OpenPGP für Alle fördern und unterstützen will, kann dies privat oder auch als Organisation/Unternehmen aktiv oder passiv tun.

Macht mit es lohnt sich!

Wozu sind diese seltsamen Schlüssel in PGP oder GPG gut?

Im wirklichen Leben kommt eine ohne Schlüssel nicht ins Haus von Freunden oder kann deren Schatulle mit den geheimen Schätzen öffnen. Im Internet, mit dem elektronischen Datenaustausch durch verschlüsselte E-Mail ist es ähnlich.

Schlüssel dienen dazu, dass Empfänger überprüfen können, ob Mails oder Dateien vom Absender stammen, und damit nur bestimmte Empfänger auf verschlüsselte Inhalte zugreifen können.

Damit auch mit dem Programm überprüft werden kann, ob die Inhalte wirklich vom Absender kommen, muss dessen öffentlicher Schlüssel und der Fingerabdruck des Schlüssels bekannt sein.

Diesen Schlüssel bezieht man einmalig, entweder persönlich oder durch Übersendung mit der Post (z. B. auf nicht veränderbaren Datenträgern wie CD), mit E-Mail, oder durch automatisches Abholen von einem Schlüsselserver auf den der Schlüssel durch den Absender früher veröffentlich wurde.

Ein öffentlicher Schlüssel hat ein bestimmtes Format.
Meiner sieht stark gekürzt (weil sonst ca. 100 Zeilen lang!) so aus:

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v2.0.21 (MingW32)
mQINBFI3S+gBEADxW1x+tK9cjS48CbLR2orSyNbUJCxyXxhMGnVtGdpZgaNsvTM4
1X/Ov4GyPAaxWfyhcyPHc4oz+qL4Yt74px9f9DX+DE7klB2PHmTh9Al/lsLXOa6A
VQzwlHa3nGfuWm7dhR8fp+vo+OqarQKSmP95CUqhVAAt7mftyyV1AV+JA33Ygf+g
....
koN7kq7EXszh1gM/CgKmTlOfxORsgWZ/n4PVvdF8T92jtk0ryCuYuKINSjB4E9PB
B7YGnB/0mBhgYEuDJIOo7cwlw/gpy5+RWR7yuOOMIRzarfaq3vAJrTo6p3xT5zdS
g1BrVyoDAQhhPI5KkfXsyxT4/E+HbATaLVHZ71m1itRMB8jrUWK8sQ==
=kJdn
-----END PGP PUBLIC KEY BLOCK-----

Wie der Schlüssel wirklich aussieht kann auf dem Schlüsselserver nachgesehen werden.

Den Fingerabdruck des Schlüssels erhält man, wenn der Sicherheitstandard sehr hoch sein soll vom Absender direkt erzählt/ausgedruckt oder durch Vergleich mit dem Fingerabdruck, der vom Schlüsselserver abgerufen werden kann.

Ein Fingerabdruck eines öffentlichen Schlüssels besteht aus einer Gruppe von Zahlen und Buchstaben.
Der meines Schlüssels sieht so aus:

A856 CB19 1371 BF21 E2F9 DC09 2692 18D0 92DD 50ED

Erst wenn man in GnuPG/PGP den Schlüssel der Absender importiert hat, kann man über den "Fingerprint" (Fingerabdruck) und den "Public Key" (öffentlicher Schlüssel) die Identität der Absender einer signierten E-Mail/Datei überprüfen. Ist der Schlüssel erst einmal importiert, wird der auf dem eigene Rechner gespeichert und kann immer wieder verwendet werden. Ein weiteres Holen des Schlüssels und Überprüfen des Fingerabdrucks ist nicht mehr nötig.

Man kann aus einem Fingerprint keineswegs den Schlüssel rekonstrieren sowie aus einem menschlichen Fingerabdruck eben auch kein Mensch erzeugt werden kann.

Weiteres ist den Anleitungen zu GnuPG und PGP zu entnehmen.

Was verwendet GwenDragon?

Ich verwende GnuPG auf Linux und Windows zur Signierung und Verschlüsselung sowohl von Mails als auch Dateien.

Meine aktuellen OpenPGP-Schlüssel (meiner Website) sind auch auf Keyservern zu finden.

Bin ich noch sicher vor dem Ausschüffeln durch Geheimdienste und Organisationen?

Es gibt diverse Programme und Betriebssysteme, die keine Hintertüren für Geheimdienste und Andere haben. Das ist auf der Website Prism break nachzusehen.

Allerdings werden staatliche und andere Schnüffler in interessante Rechner über Sicherheitslücken oder gar unbemerkt kurz in Wohnungen/Gebäude eindringen, und die anvisierten Rechner dann mit Spionagesoftware infizieren. Diese Spionagesoftware wird unbemerkt z. B. Tastendrücke protokollieren, Bildschirmausgaben speichern, Mails scannen, interessante Dateien löschen oder an andere Server senden. Wer Geheimdiensten oder staatlichen Organisationen zum Verdächtigen wird, hat als normaler Mensch kaum Mittel, sich zu wehren.


Linkliste zu GnuPG, PGP und Verschlüsselung

Links zu Verschlüsselung und Programmen
Information Link
Anleitungen
Anleitung zu GnuPG und PGP Raven Homepage
http://hp.kairaven.de/pgp/index.html
http://hp.kairaven.de/pgp/gpg/index.html

Handbuch zu GPG4Win
http://www.gpg4win.de/handbuecher/einsteiger.html

Howto und Handbuch zu GPG: http://www.gnupg.org/howtos/de/GPGMiniHowto.html
http://www.gnupg.org/gph/de/manual/index.html

Anleitung zu PGP HowToPGP
http://www.tools.bytehamster.com/HowToPGP

Landeszentrum für Datenschutz Schleswig-Holstein
http://www.datenschutzzentrum.de/selbstdatenschutz/pgp/index.htm

Anleitung zur PGP 6.5 (auch PGP 7)
http://www.helmbold.de/pgp/

Informationen zu OpenPGP http://www.openpgp-schulungen.de/kurzinfo/
http://www.openpgp-schulungen.de/fuer/alle/
Schulungen und Veranstaltungen
kostenlose OpenPGP-Schulungen http://www.openpgp-schulungen.de
Cryptoparties in Deutschland https://www.cryptoparty.in/location#germany
Crypto für alle http://www.crypto-fuer-alle.de
Heises Krypto-Kampagne c't - Krypto-Kampagne
http://www.heise.de/ct/pgpCA/pgp.shtml
Programme und Verschlüsselungsmethoden
Gnu Privacy Guard (GnuPG)
Linux, Windows, BSD, Linux, teilw. auch UNIX, VMS, PocketPC

Freie Verschlüsselungssoftware; kompatibel zu PGP
Tool für die Kommandozeile, Schlüssel auch auf Smartcards

http://www.gnupg.org/index.de.html
GPG4Win
Windows

Sichere E-Mail- und Datei-Verschlüsselung

GnuPG (Kommandozeile); Claws (Mailclient); GPA und Kleopatra (grafische Schlüsselverwaltung, Datei-, Smartcard- und Zwischenablage-Tools)

http://www.gpg4win.de
GPGShell – Tool für GnuPG
Windows

grafische Schlüsselverwaltung
Toolbar zum Ver-, Entschlüsseln und Signieren

http://www.jumaros.de/rsoft/index.html
WinPT
Windows

WinPT (grafisches Tool für Dateien, Text und Schlüsselverwaltung)

http://winpt.wald.intevation.org/download.html
GnuPG-Pack
Windows

WinPT; GPGrelay (Server zum Verschlüsseln/Signieren von Mails), GPA (Schlüsselverwaltung), Addons für Mailprogramme, GPG (Kommandozeile)

http://home.arcor.de/rose-indorf/
GnuPT – Gnu Privacy Tools
Windows
http://www.gnupt.de/site/index.php?lang=de
GPGTools
Mac OSX

GPG for Mail (Mail)
GPG Keychain (Schlüsselverwaltung)
GPG Services (Tool für Text, Dateien, Ordner)
MacGPG (Kommandozeile)

https://gpgtools.org
Informationen zu Pretty Good Privacy (PGP)
Download von PGP
versch. Betriebssysteme
The International PGP Home Page
http://www.pgpi.org
Informationen zu PGP und GnuPG Pretty Good Privacy: GnuPG/OpenPGP/PGP
http://www.rubin.ch/pgp/pgp.de.html
GnuPP – Gnu Privacy-Projekt

Im Rahmen der Aktion „Sicherheit im Internet“ des Bundesministeriums für Wirtschaft und Arbeit (BMWA) und des Bundesministeriums des Innern (BMI) wurde eine frei verfügbare, kostenlose Verschlüsselungssoftware entwickelt

http://www.gnupp.de

http://www.gnupg.de
http://www.gnupp.de/software.html

OpenPGP-Keyserver

Ein Webinterface zur allgemeinen Abfrage von Schlüsseln ist auf dem Key-Server keyserver.ubuntu.com zu finden.
Über Mailadressen verifizierte Schlüssel (=vertrauenswürdiger) sind auf keys.openpgp.org zu finden.
Ansonsten sind die Schlüssel auch über die Komandozeile mit GnuPG, PGP oder GPGShell abrufbar oder werden in diversen Mailprogrammen auch automatisch geholt.

Meine OpenPGP-Schlüssel

Mailadressen: info[at]gwendragon.de, gd[at]gwendragon.de, dev[at]gwendragon.de
Fingerprint: A856 CB19 1371 BF21 E2F9 DC09 2692 18D0 92DD 50ED
Schlüssel-ID: 0x269218D092DD50ED
Gültig bis: unbegrenzt
0x92DD50ED_pub.asc

Meine aktuellen Schlüssel sind über Web Key Directory (WKD) in diversen Mailprogrammen und auch mit GnuPG 2 von meiner Domain automatisch, wenn in diesen Programmen konfiguriert, abrufbar.
Weiterhin sind meine Schlüssel als ASCII-formatiere Schlüsseldatei über den obigen Link zur 0x92DD50ED_pub.asc hier auf meiner Webseite erhältlich.
Meine per Mail verifizierten Schlüssel können auch noch auf keys.openpgp.org abgerufen werden.