Sichere Mails? Was kann an Emails unsicher sein? Nun, die Antwort ist recht einfach: JA! Holt man seine Emails ungesichert vom Server des Providers ab, ist es für einen Angreifer ein leichtes Emails mitzulesen und abzufangen. Und dafür bedarf es nicht einmal großer Kunst. Darum sollten stets sichere Verbindungen, bzw. gesicherte Authentifizierung benutzt werden, wie zum Beispiel POPS IMAPS oder TLS oder SSL falls keine sicheren Dienste angeboten werden. Wer seine Kommunikation so sichert, ist schonmal auf einem guten Weg. Doch was soll ich dann mit Open PGP und was ist das überhaupt? Open PGP löst ein ganz anderes Problem bzw. Probleme: Woher weiss ich als Empfänger einer Nachricht, dass diese Nachricht nicht verfälscht wurde? Angenommen es soll ein Vertrag per Email verschickt werden, woher weiss ich, dass nicht ein böser Angreifer den Vertrag auf dem Weg zu mir verändert hat? Hier kommt PGP ins Spiel. PGP erzeugt aus der Nachricht eine unverfälschliche Checksumme und legt Tags um den geschriebenen Text. Wird die Nachricht nun auf dem Weg zum Empfänger geändert, stimmt die Signatur bzw. die Checksumme der Mail nicht mehr und ich kann von einer Fälschung ausgehen. Da zur Produktion der Checksumme immer ein privates Kennwort eingegeben werden muss, ist es einem Angreifer so gut wie unmöglich eine Nachricht zu fälschen und neu zu signieren. Eine Signatur schützt allerdings nicht vor unbefugtem Lesen. Sie stellt lediglich sicher, dass die Email vom richtigem Absender stammt.

Um sensible Daten vor unbefugten Mitlesern zu schützen bietet PGP die Email Encryption, also die Verschlüsselung der Email. Hierbei verschlüsselt der Sender die Email mit dem öffentlichen Schlüssel des Empfängers. (Später mehr zu öffentlichen und privaten Schlüsseln) Hierdurch ist nur derjenige in der Lage die Email zu entschlüsseln, der den passenden privaten Schlüssel zu dem jeweils öffentlichen besitzt. So bleibt der Inhalt der Mail vertraulich und nur der korrekte Empfänger kann sie öffnen. Wie klugen Lesern sicherlich aufgefallen ist, gibt es hier wieder das altbekannte Problem: Ist der Absender der Email korrekt? Denn der öffentliche Schlüssel ist, wie der Name schon sagt öffentlich und kann von jedermann eingesehen werden. Um dieses Problem zu lösen bedient man sich beider Methoden. Eine Mail, bei der die Identität des Senders und die Unverfäschtheit der Nachricht garantiert werden soll, schreibt man so: Zuerst wird die fertige Nachricht verschlüsselt, die verschlüsselte Nachricht wird mit dann vom Sender signiert. So kann der Empfänger sicher sein, dass die Nachricht unverfälscht vom richtigen Sender empfangen wurde.

Öffentliche und private Schlüssel

Bei der asymmetrischen Verschlüsselung spricht man von Public und Private Key oder öffentlichem und privatem Schlüssel. Dieses Schlüsselpaar wird einmal erzeugt und kann dann immer wieder genutzt werden. Allerdings sind die beiden ein Schlüsselpaar und hängen deswegen voneinander ab. Der öffentliche Schlüssel zb. kann an Emails angehangen werden auf speziellen Keyservern abgelegt werden oder ähnliches. Der öffentliche Schlüssel wird von Sendern benutzt um Mails an den Empfänger zu verschlüsseln, die der Empfänger nur mit seinem privaten Schlüssel entschlüsseln kann. Die Sicherheit dieses Systems liegt, wie in vielen anderen Cryptosystemen in der Mathematik, genauer gesagt im Faktorisierungsproblem. Um es einfach auszudrücken, das Problem möglichst viele bzw. die richtigen Faktoren zu einer Zahl zu finden. So lässt sich die Zahl 15 ausdrücken als 3*5 , 5*3, 2*7,5 , 7,5*2 , 3,75 * 4 usw. Wenn man nur die Zahl 15 sieht, kann man nicht eindeutig auf die beiden Faktoren schließen, aus denen sie gebildet wurde. Bei 15 mag das ganze Noch recht einfach sein, aber bei einer 128bit großen Zahl oder sogar noch größer wird es mit dem Rechnen bzw Raten nicht so leicht.

Bald gehts weiter mit Teil 2 PGP mit Thunderbird nutzen