Wie man sich das PGP-Verfahren nutzbar macht
Verschlüsselung für alle
Der Ruf nach unkomplizierten Verschlüsselungstechnologien wird immer lauter. Der mobile User von heute wird sich mehr und mehr über die Sicherheitslücken der von ihm genutzten Dienste bewusst. Angefangen bei Messengern wie Whatsapp, über Telefonkonferenzen via Skype bis hin zur guten alten E-Mail – die Gefahr, bei der Nutzung digitaler Kommunikationsmöglichkeiten ausspioniert zu werden, ist da.
Kein Wunder also, dass Angebote wie der Messenger "Threema" wachsende Nutzerzahlen verbuchen können. Sie verfügen über eine integrierte Ende-zu-Ende-Verschlüsselung, die Dritten das Mitlesen von privaten Nachrichten unmöglich macht. Doch bei den E-Mail-Diensten fehlt solch ein Angebot nach wie vor. Wer sich hier eine 100-prozentige Verschlüsselung wünscht, muss andere Wege gehen.
Die Nachrichten zeigen es jeden Tag: Sichere Kommunikation auf digitalem Weg ist keine Selbstverständlichkeit mehr, sondern Bedarf des Einsatzes eines jeden Nutzers. Besonders die in Massenanwendungen genutzte Verschlüsselung kann den Usern nicht garantieren, dass sie vor Datenspionage gefeit sind. Nachrichtendienste und Sicherheitsbehörden knacken die Codes solcher Technologien mit Leichtigkeit und lesen in Klarschrift mit. Betroffen sind dabei in erster Linie VPN-Verbindungen, ebenso wie die Verschlüsselungsprotokolle SSL, TLS und SSH.
Auch wenn man den Argumenten folgen wollte, dass Verschlüsselung für Regierungsstellen und Sicherheitsdienste zur Bekämpfung der international tätigen Terrorismus-Gruppierungen zugänglich sein müssen, wird dieses Wissen samt den Methoden und Werkzeugen früher oder später ans Tageslicht kommen und für cyber-kriminelle Angriffe genutzt werden.
Zentrale Schlüsselstellen sind die Sicherheitslücken
Nicht die Geheimdienste alleine sind für das Bekanntwerden der Sicherheitslücken verantwortlich. Maßgeblich beteiligt sind dritte Stellen, die in der Massenanwendung für die Verwaltung von Schlüsseln und die Bereitstellung von Zertifikaten zuständig sind. Diese Schlüsselstellen bieten eine hervorragende Angriffsfläche für Hacker und liefern den Nährboden für unkontrollierbare Kriminalität im World Wide Web. Doch gibt es eine Möglichkeit, diesen Schwachpunkt zu umgehen: Dezentralisierung. User müssen die Verwaltung ihrer Schlüssel und Zertifikate selbst in der Hand haben und eigenständig entscheiden, wer an ihre Schlüssel gelangt und wer nicht. Damit ist die Gefährdung über große Provider vom Tisch, erst wenn das eigene Verfahren eine Sicherheitslücke aufweist, geht Gefahr von außen aus.
Doch auf welche Verschlüsselungstechnik sollte man als privater Anwender setzen? Zu viele sind bereits durch NSA und Co. geknackt worden. Dennoch gibt es Standards, an denen sich selbst Geheimdienste und Profihacker die Zähne ausbeißen. Dazu gehört das mehr als 20 Jahre alte PGP-Verfahren. Diese Verschlüsselungs-Technologie basiert auf der Nutzung von Einwegfunktionen zur Berechnung von Schlüsselpaaren, die als Private- und Public-Keys bezeichnet werden. Für die Kommunikation zwischen A und B benutzt B zum Verschlüsseln den Public-Key von A. Mit seinem eigenen Private-Key kann A die Informationen von B lesen. Dabei können sich beide Anwender sicher sein, dass aus dem veröffentlichten Public-Key keine Rückschlüsse auf den zugehörigen Private-Key gezogen werden können.
- Verschlüsselung für alle
- PGP – zuverlässig, weil kompliziert
Lesen Sie mehr zum Thema
