 "Aufmacher")
Schlüsselerlebnis
Mails verschlüsseln mit GnuPG
E-Mails wandern unverschlüsselt von Server zu Server. Eine elektronische Nachricht, die Hans Mustermann aus München zu seinem Freund John Doe nach New York sendet, durchläuft viele Zwischenstationen. An jeder davon kann auch ein Dritter die Nachricht lesen.
Um dieses Problem zu lösen, entwickelte Phil Zimmermann im Jahr 1991 die Verschlüsselungssoftware Pretty Good Privacy (PGP), die sich schon bald einer hohen Beliebtheit erfreute. Eine mit PGP verschlüsselte E-Mail konnte nur der Empfänger lesen, der über den notwendigen Schlüssel verfügte.
PGP und GnuPG
Schon das Ur-PGP war keine klassische, kommerzielle Software: Zu nicht kommerziellen Zwecken durfte man es kostenlos verwenden, der Quellcode lag offen. Die kommerzielle Verwertung übernahm die Firma Viacrypt, später PGP Incorporated. Die übernahm 1997 der Software-Anbieter Network Associates, schaffte es jedoch nicht, das Programm erfolgreich im Markt zu etablieren. 2002 kaufte die neu gegründete PGP Corporation die PGP-Produkte und deren geistiges Eigentum von Network Associates zurück.
Auch bei der nichtkommerziellen Verwendung schlug PGP einige Kapriolen. Aufgrund des verwendeten Verschlüsselungsverfahrens RSA stufte die US-Regierung 1993 PGP als "Kriegswaffe" ein und verbot den Export. Um PGP auch Anwendern außerhalb der USA weiter zugänglich zu machen, veröffentlichte Zimmermann den Quellcode kurzerhand als 6000 Seiten starkes Buch in zwölf Bänden. Die wurden in Europa von 70 Freiwilligen per Einscannen wieder in elektronische Form gebracht. Diese Praxis fand erst sechs Jahre später ihr Ende, nachdem die USA die Beschränkungen gelockert hatten.
Um zum einen jedem Anwender eine Möglichkeit zu geben, das Verschlüsselungsverfahren zu nutzen und zum anderen interessierten Entwicklern die Software zu öffnen, entstand 1998 der IETF-Standard OpenPGP (RFC2440). Der erste Vertreter des Verfahrens war GnuPG. Das weit verbreitete Programm findet sich auf den Installationsmedien aller gängigen Linux- Distributionen, alle wichtigen E-Mail-Clients kommen mit GnuPG zurecht. Daher ist es nicht mehr notwendig, Nachrichten über die Kommandozeile zu verschlüsseln.
Grundlagen
Möchten Sie einem anderen Anwender eine verschlüsselte Nachricht zukommen lassen, müssen sowohl Sie als auch der Empfänger GnuPG verwenden. Beide Anwender erstellen je zwei Schlüssel, man spricht auch von einem Schlüsselpaar. Jedes Paar besteht aus einem öffentlichen und einem privaten Schlüssel. Ihren öffentliche Schlüssel ("public key") muss jeder kennen, der Ihnen verschlüsselte Nachrichten senden können soll. Um das Verfahren zu vereinfachen, legen Sie diesen Schlüssel am besten auf einem öffentlichen Keyserver ab (siehe Kasten "Schlüssel verteilen"). Den privaten Schlüssel ("private key") dagegen darf niemand außer Ihnen selbst kennen; er verbleibt bei Ihnen.
Beim Versand einer vertraulichen Nachricht kodieren Sie diese mit dem öffentlichen Schlüssel des Empfängers. Der erledigt das Dekodieren dann mit seinem privaten privaten Schlüssel. Der Public Key wirkt quasi wie ein offenes Vorhängeschloss: Haben Sie erst einmal eine Nachricht damit "verschlossen", bekommt nur der Besitzer des passenden Schlüssels – also des entsprechenden Private Keys – sie wieder "auf".
Schlüssel verteilen
Ihre öffentliche Schlüssel müssen Sie mit Ihren Nachrichtenpartnern austauschen. Das könnten Sie theoretisch per E-Mail erledigen, was bei sehr vielen Kontakten aber recht aufwendig wäre. Die Lösung: Sie legen Ihren Schlüssel auf einen Keyserver ab. Das geschieht mit:
$ gpg --send-keys
Viele Schlüsselverwaltungsprogramme unterstützen das Veröffentlichen eines Schlüssels auf einem Keyserver und stellen auch gleich unterschiedliche Server zur Auswahl. Sie müssen sich nur noch für einen davon entscheiden. Der Befehl lädt alle aktiven, auf Ihrem Rechner befindlichen öffentlichen Schlüssel auf den Server – also auch die Ihrer Nachrichtenpartner.
Bei KGpg wählen Sie Datei | Schlüsselserver. Im Reiter Export suchen Sie sich einen Keyserver aus. Da die verschiedenen Keyserver miteinander kommunizieren und ihre Inhalte synchronisieren, spielt es letztlich kaum eine Rolle, für welchen Server Sie sich entscheiden. Der Befehl @LI $ gpg --recv-keys Schlüsselnummer
lädt der Schlüssel mit der angegebenen Nummer auf Ihren Rechner. Mit dem folgenden Befehl aktualisieren Sie die Schlüssel auf Ihrem System:
$ gpg --refresh-keys
So stehen auch Schlüssel mit neuen Signaturen zur Verfügung. Mit KGpg geben Sie eine ID oder einen Textstring ein. Diesen sucht das Programm dann auf dem Keyserver. Passende Schlüssel zeigt KGpg an und gibt Ihnen Gelegenheit zum Import. Sie finden diese Möglichkeit unter Datei | Schlüsselserver, wo Sie im Dialog den Reiter Import auswählen.
Einem Freund empfehlen
