Hooepage Cybersecuritv Cyberpace Menschen
Nachrichtendienste kybernetische Waffen Bildung
Verschlüsselung Allgemein A n a l y s e n Moderne Verfahren Klassische Verfahren Historie Organisationen Entschlüsselung Spezial  Entschlüssel. 
Org. der Verschlüsselsysteme Pseudo-Verschlüsselung Org. der Entschlüsselung Sicherheit - Politik Anwendungen Zeittafel Entschl. P o l i t i k "End - to - End"
klassische Verfahren

Geschichte

Substitution

Transposition

Playfair-Chiffre

Vigenère-Chiffre

Gronsfeld

Autokey Forward

Kasiski - Test

Chiffrierzylinder

Enigma

Patentschrift

D E S

Analyse

R S A

Security-Experten knackten RSA SecurID-Token in Minuten

A E S

GnuPG und PFG

Secure Hash Standard

Warnung : nur für unklassifizierte Informationen

Einsatz von GnuPG und PGP

 In Anlehnung an die nichttechnische PGP-FAQ40[PGPFAQ1], sowie an die Presseerklärung des BMWi [GNUPG1]40 soll hier ein Überblick über PGP und GnuPG gegeben werden.

Was ist PGP?

PGP (ausgeschrieben "Pretty Good Privacy" (ziemlich gute Privatsphäre)) ist ein Computerprogramm, das Daten verschlüsselt und entschlüsselt.

Philip Zimmermann schrieb das erste Programm. Phil -ein Held für viele Unterstützer des Datenschutzes- arbeitet als Sicherheitsexperte in Boulder, Colorado. Andere Programmierer aus der ganzen Welt haben an den nachfolgenden PGP Versionen und Benutzungsoberflächen mitgeholfen.

PGP benutzt das RSA23 Public-Key Verschlüsselungssystem. RSA wurde 1977 von seinen Erfindern vorgestellt: Ronald Rivest vom MIT, Adi Shamir vom Weizmann Institute in Israel und Leonard Adelman vom USC. Nach den Anfangsbuchstaben der Nachnamen dieser Leute wird es "RSA" genannt. PGP verwendet außerdem ein Verschlüsselungssystem namens IDEA welches 1990 von Xuejia Lai und James Massey entwickelt wurde.

Was ist GnuPG?

GnuPG ist eine von Werner Koch aus Düsseldorf entwickelte Verschlüsselungs-Software. GnuPG wird von Sicherheitsexperten in aller Welt als eines der derzeit besten Verschlüsselungssysteme anerkannt.

Das Besondere an GnuPG:

·         GnuPG implementiert den OpenPGP-Standard, der als Erweiterung von PGP den derzeitigen de-facto-Standard im Internet darstellt.

·         GnuPG ist ein offizielles GNU-Projekt und freie Software unter der GNU General Public License (GNU GPL).

Wer benutzt PGP bzw. GnuPG Verschlüsselung (oder andere RSA-basierte Systeme)?

Leute, die Wert auf ihre Privatsphäre legen; Politiker, die Wahlkampagnen durchstehen; Steuerzahler, die ihre Steuererklärung abspeichern; Ärtze, die Patientendaten schützen; Unternehmer, die Firmengeheimnisse wahren müssen; Journalisten, die ihre Informanten schützen, und Menschen, die Kontakte suchen, sind nur einige wenige der gesetzestreuen Bürger, die PGP benutzen, um ihre Dateien und eMail geheim zu halten.

Geschäftleute benutzen ebenfalls PGP. Stell Dir vor, Du bist ein Geschäftsführer und mußt per eMail einen Angestellten nach seinem Vorankommen befragen. Du könntest gesetzlich verpflichtet sein, diese eMails geheimzuhalten. Stell Dir vor, Du bist eine Verkäuferin und Du mußt mit Deiner Zentrale über ein öffentliches Computernetzwerk hinweg, Deine Kundenliste pflegen. Deine Firma und der Gesetzgeber kann fordern, daß diese Liste geheim bleibt. Dies sind nur einige wenige Gründe weswegen im Geschäftsleben Verschlüsselung zum Schutz der Kunden, der Angestellten und der Firmen selbst eingesetzt wird.

PGP hilft auch bei sicheren Finanzübertragungen. Bspw. die Electronic Frontier Foundations (EFF) benutzt PGP zur Verschlüsselung von Mitgliedernummern, so daß die Mitglieder per eMail ihre Beiträge bezahlen können.

Thomas G. Donlan, ein Redakteur bei Barron's (einer Finanzpublikation, die zum The Wall Street Journal gehört), schrieb ein ganzseitiges Editorial am 25.April 1994. Barron's übertitelte es mit "Privacy and Security: Computer Technology Opens Secrets, And Closes Them." (Datenschutz und Datensicherheit: Computertechnik öffnet Geheimnisse und verschließt sie)

Mr. Donlan schrieb (auszugsweise):

"RSA Data Security, the company founded by the three inventors, has hundreds of satisfied customers, including Microsoft, Apple, Novell, Sun, AT&T and Lotus. Versions of RSA are available for almost any personal computer or workstation, many of them built into the operating systems. Lotus Notes, the network communications system, automatically encrypts all it messages using RSA. Other companies have similar products designed around the same basic concept, and some versions are available for free on computer bulletin boards."


RSA Data Security, gegründet von den drei Erfindern, hat Hunderte von zufriedenen Kunden, zu denen auch Microsoft, Apple, Novell, Sun, AT&T und Lotus gehören. Implementationen von RSA stehen in fast jedem Personalcomputer oder Workstation zur Verfügung, oft ins Betriebssystem eingebaut. Lotus Notes, das Netzkommunikationssystem, verschlüsselt automatisch alle Nachrichten mit RSA. Andere Firmen haben vergleichbare Produkte, entwickelt nach dem gleichen Prinzip, und einige Versionen sind in Mailboxen frei verfügbar.

Donlan fährt fort:

"Without security, the Internet is little more than the world's biggest bulletin board. With security, it could become the information supermarket of the world. RSA lets people and banks feels secure putting their credit-card numbers on the public network. Although it still seems that computers created an age of snoopery, the age of privacy is at hand."


Ohne Sicherheit ist das Internet nicht viel mehr als die weltgrößte Mailbox. Mit Sicherheit kann es der Informationssupermarkt der Zukunft werden. RSA gestattet es Menschen und Banken, sich bei der Angabe der Kreditkartennummer im öffentlichen Netz sicher zu fühlen. Obwohl es noch den Anschein hat, daß Computer ein Zeitalter der Schnüffelei begannen, liegt das Zeitalter der Privatsphären vor uns.

Sind nicht Computer und eMail schon sicher?

Deine Computerdateien (ohne Verschlüsselung) können von jedem gelesen werden, der Zugriff auf Deinen Rechner hat. EMail ist notorisch unsicher. Die typische eMail wandert über viele Systeme. Die Personen, die diese Systeme betreiben, können Deine Nachrichten lesen, kopieren und speichern. Viele Mitbewerber und Voyeure sind hochmotiviert eMail abzufangen. Eine geschäftliche, offizielle oder persönliche Nachricht mit dem Computer zu versenden, ist weniger geschützt als das gleiche auf einer Postkarte zu verschicken. PGP ist ein sicherer "Briefumschlag", der Mitbewerber und Kriminelle abhält, Dir zu schaden.

Ich habe nichts zu verbergen. Wozu brauche ich Datenschutz?

Zeig mir einen Menschen, der keine Geheimnisse vor seiner Familie, seinen Nachbarn oder seinen Kollegen hat und ich zeige Dir jemanden, der entwerder ein ungewöhnlicher Exhibitionist oder ein unglaublicher Dummkopf ist.

Zeige mir eine Firma, die keine Firmengeheimnisse hat und ich zeige Dir ein Geschäft, das nicht läuft.

In einem Brief schrieb mir ein Student folgendes:

"I had a part-time job at a dry cleaner. One day I returned a diamond ring that I'd found in a man's coat pocket to his wife. Unfortunately, it was NOT her ring! It belonged to her husband's girlfriend. His wife was furious and divorced her husband over this incident. My boss told me: 'Return jewelry ONLY to the person whose clothes you found it in, and NEVER return underwear that you find in pockets!' Until that moment, I thought my boss was a finicky woman. But she taught me the need for PGP."


Ich hatte einem einen Teilzeitjob als Reinigungskraft. Eines Tages brachte ich einen Diamantring, den ich in einer Manteltasche eines Mannes gefunden hatte, seiner Frau zurück. Unglücklicherweise war es NICHT ihr Ring! Er gehörte der Freundin ihres Mannes. Seine Frau wurde fuchsteufelswild und ließ sich wegen dieses Vorkommnisses scheiden. Mein Chef sagte mir: 'Gib Juwelen NUR der Person zurück, in deren Sachen Du es fandest. Und gib NIEMALS Unterwäsche zurück, die Du in einer Tasche fandest.' Bis zu diesem Moment dachte ich, mein Chef wäre eine engstirnige Frau. Aber sie lehrte mich die Notwendigkeit von PGP.

Geheimhaltung, Diskretion, Vertraulichkeit und Besonnenheit sind die Markenzeichen dieser Zivilisation.

Ich habe gehört, die Polizei sage, daß Verschlüsselung verboten werden soll, weil Kriminelle sie zur Tarnung benutzen. Ist das wahr?

Das nächste Mal, wenn Du jemanden das erzählen hörst, frag ihn, ob er Thomas Jefferson verbieten möchte, den "Vater der amerikanischen Kryptographie", der die amerikanische Unabhängigkeitserklärung schrieb.

Viele Regierungen, Firmen und Gesetzeshüter benutzen Verschlüsselung um ihre Operationen zu verstecken. Ja, einige Kirminelle benutzen auch Verschlüsselung. Kriminelle benutzen aber häufiger Autos, Handschuhe und Masken, um zu entkommen.

PGP ist "Verschlüsselung für die Massen". Es gestattet dem gesetzestreuen Durchschnittbürger einige der Schutzmaßnahmen, die die Regierungen und Firmen für sich beanspruchen.

Wie arbeiten PGP und GnuPG?

PGP und GnuPG sind "öffentliche Schlüsselsysteme" (public key cryptography). Wenn Du PGP bzw. GnuPG das erste Mal startest, generiert es zwei "Schlüssel", die nur zu Dir gehören. Stell Dir diese Schlüssel wie ein Gegenstück zu den Schlüssel Deiner Tasche vor. Ein PGP-Schlüssel ist der geheime Schlüssel und bleibt auf Deinem Rechner. Der andere Schlüssel ist öffentlich. Du gibst diesen öffentlichen Schlüssel Deinen Gesprächspartnern. Hier ist ein Beispiel eines öffentlichen Schlüssels:

-----BEGIN PGP PUBLIC KEY BLOCK-----

Version: 2.7

 

mQA9Ai2wD2YAAAEBgJ18cV7rMAFv7P3eBd/cZayI8EEO6XGYkhEO9SLJOw+DFyHg

Px5o+IiR2A6Fh+HguQAFEbQZZGVtbyA8ZGVtb0B3ZWxsLnNmLmNhLnVzPokARQIF

EC2wD4yR2A6Fh+HguQEB3xcBfRTi3D/2qdU3TosScYMAHfgfUwCelbb6wikSxoF5

ees9DL9QMzPZXCioh42dEUXP0g==

=sw5W

-----END PGP PUBLIC KEY BLOCK-----

Stell Dir vor, der öffentliche Schlüssel gehört zu Dir und Du mailst ihn mir. Ich kann Deinen öffentlichen Schlüssel in meiner PGP Software speichern und benutze Deinen öffentlichn Schlüssel, eine Nachricht zu verschlüsseln, die nur Du lesen kannst. Einer der Vorteile von PGP ist, daß Du mir diesen Schlüssel geben kannst, wie Deine Telefonnummer. Wenn ich Deine Telefonnummer habe, kann ich Dich anrufen; aber ich kann Dein Telefon nicht abheben. Ähnlich ist es mit dem öffentlichen Schlüssel: Ich kann Dir eine Nachricht verschlüsseln; Ich kann sie aber nicht lesen.

Dieses Konzept des public-key Schlüssels kann anfangs etwas seltsam klingen. Trotzdem wird es völlig klar, sobald Du etwas mit PGP rumspielst.

Wie sicher ist PGP bzw. GnuPG? Schützt es mich wirklich?

Vielleicht kann die Regierung oder Deine Schwiegermutter PGP Nachrichten "knacken", indem sie Supercomputer oder Genialität einsetzt. Davon habe ich keine Ahnung. Drei Dinge sind jedoch sicher:

1.      Hervorragende Kryptoanalytiker und Computerexperten haben vergeblich versucht, PGP zu knacken.

2.      Wer auch immer nachweist, daß er PGP entENIGMA t hat, wird schnell zu Ruhm unter den Kryptographen kommen. Er wird viel Beifall ernten und eine Menge Geld angeboten bekommen.

3.      Die PGP Programmierer werden es sofort bekanntgeben.

Fast täglich verbreitet jemand eine Nachricht, wie "PGP durch Jugendlichen aus Omaha geknackt". Bezweifle diese Aussagen. Die Welt der Kryptographie zieht Paranoiker, Provokateure und Aliens in ihren Bann.

Bis heute hat niemand öffentlich vorgeführt, PGP überlistet oder geknackt zu haben.

Unterschied zwischen PGP und GnuPG

PGP ("Pretty Good Privacy") ist ein Produkt aus den USA und unterliegt der amerikanischen Gesetzgebung, beispielsweise den Exportbeschränkungen. Somit ist es in Europa nicht für alle Einsatzgebiete geeignet.

PGP wird zwar derzeit mit Quelltext ausgeliefert, aber dieser Quelltext ist nicht vollständig, und es gibt keine Garantie, daß dies auch in Zukunft so bleiben wird. PGP ist daher keine freie Software.

Desweiteren unterstützen aktuelle Versionen von PGP Optionen zur Einrichtung von Drittschlüsseln. Viele Anwender haben dadurch das Vertrauen in diese Software verloren.

GnuPG bietet de facto alle gängigen Verschlüsselunsmethoden an, die auch PGP bietet. GnuPG untersteht der GNU Public License (mehr Information im Internet unter http://www.gnu.org), dh.:

·         Jeder hat das Recht, freie Software nach eigenem Ermessen zu nutzen. Dies schließt kommerzielle Nutzung ausdrücklich ein.

·         Der Quelltext muß jedem Benutzer offengelegt sein.

·         Der Benutzer hat das Recht, die Software zu modifizieren und in modifizierter Form weiterzuverteilen. Diese steht dann automatisch auch unter der GNU Public License

 Diese Material wurde erarbeitet von einer Gruppe von Autoren, Aufstellung der Namen, sowie Rechte und Quellenangaben finden Sie unter diesem Link