Schlüsselfrage

Daten zu verschlüsseln gelingt ungefähr genauso einfach, wie ein Geheimnis für sich zu behalten. Schwierigkeiten gibt es erst, wenn Sie versuchen, die chiffrierten Daten an eine andere Person zu übermitteln, ohne dabei die Verschlüsselungsmethode preiszugeben.

Seit rund 30 Jahren existiert eine einfache, allerdings noch immer als Stiefkind behandelte Antwort auf das Problem: Sie heißt Pretty Good Privacy oder kurz PGP, beruht auf einem asymmetrischen Schlüsselpaar und macht es damit einem Angreifer sehr schwer, die Botschaften zu knacken. Die Open-Source-Variante nennt sich GNU Privacy Guard (GnuPG, OpenPGP oder GPG) und gehört zum Standardumfang jeder Linux-Distribution.

GNU Privacy Guard

Wie das Vorbild selbst arbeitet auch GPG mit einem Schlüsselpaar, das aus einem öffentlichen und einem privaten Schlüssel besteht. Um jemandem eine verschlüsselte Datei oder Botschaft zu senden, benötigen Sie nur den öffentlichen Schlüssel des Empfängers, für das Entschlüsseln nutzen Sie Ihren privaten Teil des Schlüsselpaars. Am einfachsten merken Sie sich die Funktionsweise von GPG/PGP über einen Briefkasten mit zwei Fächern. Das eine Fach nimmt Nachrichten für Sie auf: Der passende Schlüssel dazu hängt für jedermann zugänglich am Briefkasten. Nach dem Schließen fällt der Brief ins zweite Fach, dessen Schlüssel nur Sie bei sich tragen.

Wie bei den meisten Linux-Programmen gibt es GPG als Kommandozeilentool und dazu mehrere grafische Frontends. Schlüssel und Einstellungen liegen einheitlich in Ihrem Home-Verzeichnis unter ~/.gnupg. Achten Sie darauf, dieses Verzeichnis bei einem Backup mitzusichern, da Sie ohne den privaten Schlüssel an die von Ihnen mit dem Schlüssel abgesicherten Daten nicht mehr herankommen. Wie Sie auf der Kommandozeile mit GPG arbeiten, verrät man gpg. Dieser Artikel stellt die grafischen Frontends KGPG und Seahorse vor.

Schlüsselpaar erstellen

Bevor Sie Ihre persönlichen Daten verschlüsseln oder jemanden Ihnen geheime Daten übermitteln kann, benötigen Sie ein Schlüsselpaar. Unter KDE starten Sie dazu KGPG und folgen den Anweisungen des Assistenten (Abbildung 1). Er sucht nach vorhandenen Schlüsseln und startet automatisch einen Dialog zum Anlegen eines neuen Schlüsselpaars, falls das Tool keinen Schlüssel findet.

Abbildung 1: Der Assistent von KGPG hilft Ihnen beim Erstellen oder Importieren von Schlüsseln.

Gnome-Nutzer starten das Programm Seahorse. Bei beiden Programmen legen Sie über [Strg]+[N] einen neuen Schlüssel an. Da Seahorse neben GPG-Schlüsseln auch SSH-Keys verwaltet, entscheiden Sie in einem ersten Schritt, welche Art Schlüssel Sie anlegen möchten (Abbildung 2).

Abbildung 2: Seahorse verwaltet auch SSH-Schlüssel, für GPG benötigen Sie diese nicht.

Um das Schlüsselpaar zu erzeugen, geben Sie Ihren Namen und ein E-Mail-Adresse an. Achten Sie hier darauf, diejenige Mailadresse anzugeben, die Sie wirklich als Absenderadresse benutzen, da GPG diese Information im Schlüssel speichert. Gibt es keinen bestimmten Grund, sollten Sie kein Ablaufdatum festlegen: Abgelaufene, aber noch benutzte Schlüssel erwecken wenig Vertrauen.

KGPG wählt als Standard einen per El Gamal gesicherten, 1024 Bit langen DSA-Schlüssel. Seahorse setzt auf den gleichen Algorithmus, aber 2048 Bit Länge (zu finden über Erweiterte Optionen). Als Algorithmus steht daneben auch RSA zur Auswahl. Egal welche der zwei Methoden Sie wählen: Mit einer Schlüssellänge von 4096 Bit sind Sie auf der absolut sicheren Seite – vorausgesetzt, Sie wählen kein zu einfaches Passwort.

Nach einem Klick auf OK beziehungsweise Erstellen erscheint die Passwortabfrage. Die Sicherheit der verschlüsselten Daten steht und fällt mit dem Passwort. Bei einem zu kurzen Passwort gelingt oft eine Brute-Force-Attacke, da nützt der beste Algorithmus nichts. Wählen Sie hingegen eine Kombination aus Zahlen und Buchstaben in unorthodoxer Schreibweise, wie zum Beispiel GehE1mE5pA55WoRt (mit den Ziffer "1" und "5" für I respektive S), schützt das Ihre Daten bei einer Schlüssellänge von 4096 Bit nach aktuellem Wissenstand ein Leben lang. Der Computer benötigt zum Erstellen des Schlüssels je nach CPU und Systemlast einige Minuten. KGPG und Seahorse zeigen danach den neuen Schlüssel an (Abbildung 3).

Abbildung 3: KGPG (unten) zeigt sehr schön, dass sich innerhalb des 1024-Bit-DSA-Schlüssels noch ein mit 4096-Bit gesicherter El-Gamal-Key verbirgt. Im Hintergrund (oben) die Schlüsselanzeige von Seahorse.