pgp.jpgElektronische Visitenkarte und PGP-Public-Key
von Frank Wiegleb downloaden [5 K]
Datenschutz


INHALT

  1. Vorwort
  2. Fachbegriffe
  3. Symmetrische und asymmetrische Verschlüsselung
  4. Vor- und Nachteile asymmetrischer Verfahren
  5. PGP - Pretty Good Privacy
  6. Was macht PGP ?
  7. Wer benötigt PGP ?
  8. Was man über Paßwörter wissen sollte ...
  9. Bezugsmöglichkeiten und Support-Sites für PGP
  10. Visitenkarte und PGP-Public-Key von Dipl.-Med.F.Wiegleb
  11. Einfache symmetrische Verfahren

Vorwort

Wenn Sie elektronische Post versenden, - egal ob über das Internet, eine Mailbox oder auf einem Datenträger - , müssen Sie immer damit rechnen, dass auf dem Übertragungsweg von anderen Personen oder Institutionen unbefugt mitgelesen werden kann. Bei elektronischer Datenübertragung kann das Mitlesen mit sehr viel geringerem Aufwand als bei herkömmlichen Briefen erfolgen.
Schützen Sie daher Ihre Privatsphäre, Ihre Daten und natürlich auch personenbezogene Daten Ihrer Clienten oder Patienten, Mitarbeiter, Kunden, Lieferanten und sonstiger Ihnen nahestehender Personen durch einen elektronischen Briefumschlag! Versenden Sie niemals schutzbedürftige Daten über elektronische Medien, ohne sie zuvor durch ein geeignetes Verfahren vor dem Zugriff Unbefugter und vor einem Mißbrauch zu schützen. Vor einem Verlust elektronischer Daten können Sie sich nicht sichern! Unberechtigten Zugriff und Mißbrauch können Sie jedoch durch die Anwendung kryptografischer Verfahren (Datenverschlüsselung) abwenden.
Beachten Sie bitte, daß das Thema Datenschutz mit dem Teilbereich Verschlüsselung nicht ausreichend erklärt wird.Datenschutz beinhaltet natürlich darüberhinaus auch Fragen nach der Vermeidung von Datenverlusten durch technische Fehler und Computerviren. Später oder besser früher werden Sie sich auch mit diesem Thema befassen müssen. Sie finden dazu im Internet mehr ausführliche Seiten als Ihnen lieb sein wird.
An dieser Stelle verweise ich nur auf die zahlreichen Suchmaschinen im Netz:


  Links zu einigen Internet-Suchmaschinen
   WWW-Suche




Fachbegriffe

An dieser Stelle ist es nötig, einige Fachbegriffe zu klären:

  • Authentifikation: Feststellung, daß eine Nachricht wirklich von der Person stammt, von der sie zu stammen scheint
  • Algorithmus: eine Rechenvorschrift
  • Angriff: Versuch, verschlüsselte bzw. andersweitig nicht offen zugängliche Daten unerlaubt zu lesen oder zu kopieren.
  • Klartext: im kryptografischen Sprachgebrauch nicht nur Text im Sinne von lesbar sondern synonym für "unverschlüsselt"
  • Kryptoanalyse: Methoden und Verfahren, um chiffrierte Daten ohne Kenntnis des Schlüssels zu entschlüsseln
  • Kryptologie: Lehre von der Verschlüsselung
  • Kryptografie: praktische Anwendung der Kryptologie

    Am Ende dieses Kapitels verweise ich auf einige interessante Links. Dort wird der interessierte Leser weitere Hinweise zum Thema Kryptografie finden, die geeignet sind, ihm das Verständis und den praktischen Umgang mit kryptografischen Verfahren zu erleichtern. Diese Seite stellt lediglich einen Versuch dar, ihn für dieses außerordentlich wichtige Sachgebiet zu sensibilisieren.

    Der Begriff CODIEREN

    ... hat eineDoppelbedeutung und sollte daher nur sehr vorsichtig gebraucht werden. Einerseits wird er synonym für Verschlüsselung verwendet, andererseits hat er die Bedeutung "in einer bestimmten Form darstellen".
    Die elektronischen Zeichen einer Datei, die auf einem DOS-Pc erstellt wurde, haben auf einem UNIX-Computer eine ganz andere Bedeutung. Versucht ein DOS-Anwender einem befreundeten anderen DOS-Anwender eine Datei über das Internet zu senden, dann wird diese Datei u.U. über andere Computerplattformen geleitet (z.B. über die Unix- oder Windows-Server seines Providers). Die von DOS verwendeten elektronischen Zeichen würden dabei jedesmal verändert und schließlich unbrauchbar beim Empfänger ankommen. Deshalb überführt man die DOS-Programmzeichen in eine Form, die auch von einer anderen Computerplattform (Windows,Unix,Amiga,Mac etc.) gleichmaßen verwendet wird, weil dadurch keine Änderungen an der Datei vorgenommen werden. Der Empfänger muß am anderen Ende des Übertragungsweges lediglich die Datei wieder dekodieren, um sie verwenden zu können. Man bedient sich dazu eines sog. Kodierprogrammes. Obwohl ein Text nach dem Kodieren auch nicht ohne weiteres gelesen werden kann, bietet dieses Verfahren jedoch keine Sicherung vor unberechtigtem Zugriff, denn die von Kodierprogrammen verwendeten Algorithmen sind im Gegensatz zu kryptografischen Verfahren leicht zu knacken.

    Symmetrische und asymmetrische Verschlüsselung

    Wenn ich Ihnen eine Nachricht (Text oder beliebige andere Datei) senden möchte, die von niemanden außer dem beabsichtigten Empfänger gelesen werden soll, dann muß diese Nachricht durch ein Verschlüsselungsprogramm so bearbeitet werden, daß sich ein Unbefugter in diesem hoffnungslos komplizierten Zeichenwirrwarr nicht mehr durchfindet. Dazu benutzt man einen Schlüssel (Key), der zusammen mit der eigentlichen Nachricht vom kryptografischen Programm bearbeitet wird, um eine völlig neue Datei daraus zu erstellen. Möchte der Empfänger die Nachricht nun lesen, muß er dasselbe kryptografische Programm und genau den selben Schlüssel benutzen, um sie aus der verschlüsselten Datei berechnen und extrahieren zu können.
    Stellen Sie sich vor, Sie möchten Ihrer Freundin ungehinderten Zutritt zu Ihrer Wohnung gestatten. Dann müssen Sie ihr Ihren Wohnungsschlüssel überlassen oder zumindes eine genau Kopie davon. Verliert ein Schlüsselbesitzer seinen Key, dann hat auch der Finder Zutritt zu Ihrer Wohnung.
    Assymetrische Verfahren hingegen arbeiten nicht mit einem einzigen Schlüssel sondern einem Schlüsselpaar. Ein Schlüssel ist öffentlich (Public-Key) und kann an beliebige Personen verteilt werden. Der zweite Schlüssel ist streng geheim und befindet sich immer nur in Besitz des Schlüsselerzeugers.
    Idealerweise läßt sich der geheime Schlüssel nicht aus dem öffentlichen berechnen. Dadurch kann ich den öffentlichen Schlüssel nach Belieben verteilen und muß die Besitzer meines bzw. meiner öffentlichen Schlüssel nicht einmal persönlich kennen. Das heißt auch, daß ich zum Verteilen und zum Austausch öffentlicher Schlüssel keine sicheren Kanäle benötige. Ich kann meinen Public-Key einfach an eine beliebige eMail hängen.
    Ein Absender kann nun mit Hilfe seines assymetrischen Kryptografieprogrammes und meines öffentlichen Schlüssels eine verschlüsselte Mail an mich erstellen, und nur ich, als Empfänger, bin in der Lage diese Nachricht mit meinem Geheimschlüssel wieder zu dechiffrieren. Deshalb eignen sich asymmetrische Verfahren in besonderer Weise für einen vertrauensvollen eMail-Verkehr.

    Vorteile und Nachteile asymmetrischer Verfahren

    Vorteile
    Nachteile
    in der Regel sicherer als symmetrische Verfahren schwieriger zu erlernen; umfangreiche Kenntnisse erforderlich
    keine sicheren Kanäle für Schlüsselaustausch erforderlich Ver- u.Entschlüsselung in Abhängigkeit von der Sicherungsstufe etwas langsamer
    besonders für den Nachrichten-Austausch optimiert
    Erzeugung und Prüfung elektronischer Unterschriften weniger geeignet zur Sicherung der Festplatte
    Komprimierung vor Verschlüsselung 
    Prüfsummenberechnung (Virenschutz) 

    Das bekannteste asymmetrische VerfahrenPGPwird im folgenden kurz dargestellt und dem Leser vom Autor dieser Seite wärmstens empfohlen!

    PGP ist dabei kein reines asymmetrisches Verfahren sondern ein Hybridverfahren, bei dem ein sehr sicheres symmetrisches Verfahren mit einem ebenso sicheren asymmetrischen Verfahren gekoppelt wurde. Durch das schnelle symmetrische Arbeiten wird Rechenzeit gespart und durch das asymmetrische die Schlüsselübergabe vereinfacht.
    Über Einzelheiten informieren Sie sich bitte in der umfangreich zur Verfügung stehenden Literatur.

    PGP = Pretty Good Privacy ...   Recht gute Privatsphäre!

    Pretty Good Privacy [abgekürzt PGP] ist ein professionelles Verschlüsselungsprogramm für jedermann. Es ist Freeware und deshalb für Privatanwender kostenlos aus zahlreichen Mailboxen und von diversen Shareware-CDs zu beziehen. PGP wird mit einer ausführlichen englischen Anleitung geliefert; auch eine deutsche Dokumentation und diverse weitere Texte dazu gibt es bereits. Es gibt für nahezu jede Computerplattform Implementierungen, so daß der geheime Nachrichtenaustausch zwischen einem Mac-User, einem Windows- oder DOS-Nutzer genauso unkompliziert wie zwischen einem Unix- oder Amiga-User etc. funktioniert.

    Was macht PGP?

    PGP ...
    • ... verschlüsselt Texte und Binärdateien,
    • ... unterschreibt Texte und Binärdateien,
    • ... entschlüsselt Texte und Binärdateien,
    • ... prüft Unterschriften von Texten und Binärdateien,
    • ... packt Texte und Binärdateien beim Verschlüsseln,
    • ... wandelt 8-Bit-Binärdateien in 7-Bit-ASCII und
    • ... erzeugt, bearbeitet und verwaltet Schlüssel.

    Wer benötigt PGP?

    PGP benötigt man zur Verschlüsselung von Texten, Programmen bzw. Archiven, Sprach-, Sound- oder Bild-Dateien und ähnlichen Daten, die man per eMail verschicken möchte. Das Verschlüsseln soll ganz einfach verhindern, daß andere Personen als der Absender und der Empfänger diese Post lesen und verwenden können. Dabei ist es egal, ob der Zugriff auf diese Daten absichtlich oder versehentlich erfolgt .
    Ein weiterer Grund, PGP zu benutzen, ist die Möglichkeit, diese elektronischen Dokumente, öffentlichen Nachrichten und private Mails fälschungssicher signieren zu können. Der Empfänger ist mit Hilfe von PGP in der Lage, genau festzustellen, ob diese elektronische Post auch wirklich von Absender stammt, und ob sie ihn so erreicht, wie der Absender sie auf den Weg durch die Computernetze geschickt hat. Jedes nachträgliche versehentliche oder vorsätzliche Verändern eines Dokumentes oder einer Datei (und somit auch ein Virenbefall) können vom Empfänger sofort festgestellt werden und ermöglichen es ihm, umgehend Kontakt mit dem Absender aufzunehmen, um den Sachverhalt zu klären . Selbst die Änderung nur eines Zeichen (z.B. Buchstabe oder Leerzeichen) in der übermittelten Datei bzw. Mail würde von PGP signalisiert werden.
    PGP wird von Personen benötigt, die vertrauenswürdige und schutzbedürftige elektronische Daten erstellen oder bearbeiten , auf elektronischen Medien speichern oder verwalten und ggf. über Speichermedien bzw. über den elektronischen Datenaustausch (z.B. über das Internet) an andere Nutzer weitergeben und absolut darauf vertrauen müssen, daß Unbefugte keinen Zugriff auf den schutzbedürftigen Inhalt dieser Daten erlangen.
    Kryptografische Programme [Fachbegriff für Verschlüsselungsprogramme] haben nichts mit Geheimniskrämerei zu tun. Niemand macht sich Gedanken darüber, warum selbst kurze Nachrichten oft in einem Briefumschlag und nicht einfach auf einer Postkarte verschickt werden. Die Anwendung kryptografischer Verfahren wird spätestens dann zur Pflicht, wenn Personen, die zur Verschwiegenheit verpflichtet sind, Dokumente via eMail versenden wollen. Beim Verlust und erst recht bei Mißbrauch personengebundener Daten tragen Täter und Versender gleichermaßen die Schuld.
    Schützen Sie sich also durch die Anwendung starker kryptografischer Verfahren vor späteren zivil-, straf- oder berufrechtlichen Konsequenzen!

    Was man über Paßwörter wissen sollte ...

    Von der Güte eines Paßwortes (Schlüssels) hängt es ab, ob bzw. in welchem Zeitraum ein Angreifer die betreffenden Daten über einen sog. Brute-Force-Angriff 'knacken' kann.
    Im Prinzip werden bei einem solchen Angriff alle möglichen Paßwörter ausprobiert, bis das richtige gefunden ist. In der Praxis werden allerdings nicht stur alle Zeichenkombinationen ausprobiert, da unvorsichtige Anwendern in der Regel für einen reduzierten Schlüsselraum sorgen. Verwenden Sie z.B. als Paßwort ein leicht zu merkendes 'echtes' Wort (auch ein langes wie Hals-Nasen-Ohren-Arzt), so werden Sie schnell zum Opfer des sog. Wörterbuchangriffes, der die nötige Zeit zum Knacken erheblich reduzieren hilft.

    Beim Festlegen von Paßwörtern sollten Sie folgende Regeln beachten !

    1. Verwenden Sie möglichst lange Paßwörter, mindestens aber 8 Zeichen. Je länger Ihr Paßwort, desto schwieriger wird ein Brute-Force-Angriff.
    2. Verwenden Sie nicht nur normale Buchstaben (a,b,c etc.), sondern mischen Sie diese mit Zahlen (0,1,2 etc.) und Sonderzeichen ($,%,& etc.)
    3. Verwenden Sie keinesfalls reale Wörter, wie sie in einem Lexikon vorkommen. Auch Umstellungen wie 'Bohnhaf' statt 'Bahnhof' sind nicht empfehlenswert.
    4. Mischen Sie Groß- und Kleinschreibung.
    5. Verzichten Sie auf Paßwörter, die leicht zu tippen sind (z.B. qwer1234)!
    6. Verwenden Sie keine Zeichenmuster (z.B. aaaabbbb oder abababab).
    7. Notieren Sie Ihr Paßwort nicht in der Umgebung des Rechners. Wenn Sie es schon für den Notfall notieren, dann an einem Ort ohne jede Beziehung und am besten nicht im Klartext, sondern in Form einer 'Eselsbrücke'.
    8. Benutzen Sie niemals den eigenen Namen bzw. das eigene Geburtsdatum. Aber auch die Daten der Familienangehörigen sind tabu!

    Wo kann ich PGP beziehen?

  • Fragen Sie Freunde oder Bekannte nach dem Prpgramm
  • PGP wird regelmäßig auf den Computer-Zeitschriften beiliegenden CDs veröffentlich. In den Sonderheften zum Thema DATENSICHERHEIT wird es als bekanntestes und voll funktionsfähiges Freeware-Programm nie fehlen!

  • Aus einer Mailbox mit Terminal-Zugang
  • Die folgenden Mailboxen können besonders empfohlen werden:

    BIONIC (Bielefeld)
    Tel.:  0521/68000   (V.32bis)
           0521/171188  (V.34)
           0521/9680869 (ISDN)
    Login: PGP
    
    NEWSWIRE (Willich)
    Tel.:  02154/5011   (V.32bis)
           02154/87070  (V.34)
           02154/951900 (ISDN)
    Login: GAST
    Dort finden Sie nicht nur die jeweils aktuellste Version von PGP , sondern auch die Pakete für verschiedene Sprachversionen, Quelltexte und Hilfetexte für alle Rechnerplattformen.

  • im Internet
  • Geben Sie einmal auf einer der bekannten Suchmaschinen das Stichwort PGP ein!
    Mit Sicherheitheit wird man auch bei einer Archie-Suche fündig, zum Beispiel über diesen HTTP-Link eines deutschen Archie-Servers. Ansonsten benötigen Sie zur Suche via Archie einen speziellen Archie-Clienten und einen FTP-Clienten.Archie-Server überwachen regelmäßig den Dateibestand freier FTP-Server im Internet und weisen Ihnen auf eine Suchanfrage hin eine Download-Adresse für Ihr FTP-Programm nach.
    In der Regel wird soviel Aufwand aber nicht erforderlich sein, denn wenn Sie eine der zahlreichen Homepage, die PGP unterstützen aufsuchen, werden Sie sehr wahrscheinlich auch eine finden, von der Sie mit Hilfe Ihres Browsers das Programm direkt downloaden können. An dieser Stelle empfehle ich Ihnen einige bekannte PGP-Links.
    Support-Seiten zu PGP, insbesond. gute Anleitungen, finden Sie vor allem auf der Homepage von Kai Raven.


    SeitenanfangTop    WegweiserWegweiser    PraxisPraxis    PGPsitesPGP    PrivatPrivat    HomepageHome