PrivacyTools.io

GPG/PGP-basierte Verschlüsselung & Authentifizierung für E-Mails

GPG/PGP-basierte Verschlüsselung & Authentifizierung für E-Mails

Eine der anderen Sachen, die dir wahrscheinlich aufgefallen ist, als ich sie angesprochen habe, sind Unternehmen, die bereit sind, ihren PGP-Schlüssel für Kunden zu teilen, damit diese E-Mail + PGP zur Kommunikation mit dem Support nutzen können. Lass uns zuerst den Unterschied zwischen PGP und GPG angehen. PGP steht für Pretty Good Privacy und wurde 1991 von Phil Zimmerman entwickelt. GPG steht für Gnu Privacy Guard, eine angepasste Version davon, die 1999 veröffentlicht wurde. Und OpenPGP ist der Standard, mit dem beide Softwareprogramme konform sind. Wenn Leute also über GPG-Schlüssel sprechen, sind das technisch gesehen immer noch PGP-Schlüssel, aber solche, die von einem GPG-Programm wie GPG Keychain für OSX abgeleitet sind. Auf meiner Website habe ich meinen Schlüssel als G/PGP aufgeführt, weil es ein PGP-Schlüssel ist, der die GPG-Software nutzt.

RSA ist die Grundlage zum Generieren eines privaten und eines öffentlichen Schlüssels, die für einen Nutzer einzigartig sind. Diese Schlüssel könnte man mit 2 Puzzleteilen vergleichen, die jeweils so groß wie ein Fußballfeld sind und Hunderttausende kleiner Kerben entlang jeder Seite enthalten. Der öffentliche und der private Schlüssel, die generiert werden, sind die einzigen 2 Puzzleteile, die zueinander passen.

Typischerweise werden PGP-Schlüssel sowohl dafür verwendet, sicher in verschlüsselter Form zu kommunizieren, als auch zum Signieren von Nachrichten, deren Echtheit überprüft werden kann. Einmal generiert, verteilt man seinen öffentlichen Schlüssel und sendet ihn an Schlüsselserver im Internet, die ihn zum Abruf durch andere speichern. Dein privater Schlüssel hingegen, der durch eine lange Passphrase geschützt ist, wird privat gehalten und sollte niemals öffentlich verteilt werden. Sobald dein öffentlicher Schlüssel verteilt wurde, können Leute ihn nutzen, um Nachrichten an dich zu verschlüsseln, die nur durch deinen privaten Schlüssel entschlüsselt werden können. Du könntest auch eine Nachricht signieren, was sie vor Veränderung schützen würde. Nutzer könnten dann die Nachricht nehmen und deinen öffentlichen Schlüssel verwenden, um die Echtheit der Nachricht zu überprüfen. Würde auch nur ein Leerzeichen entfernt, würde die Nachricht nicht korrekt verifizieren und die Empfänger oder das Publikum der Nachricht wüssten, dass sie verändert wurde. Das ist besonders nützlich bei sicherheitsrelevanten Nachrichten von einem Unternehmen/einer Website, etwa beim Signieren von Benachrichtigungen und Updates, um zu bestätigen, dass der Website-Betreiber derjenige ist, der diese Nachrichten veröffentlicht, und nicht ein Hacker oder eine Regierungsstelle.

Vor Kurzem habe ich ProtonMail Plus gekauft, was bedeutete, meinen Domainnamen mit ProtonMail zu verknüpfen, sodass er über deren Server geleitet wurde. Das bedeutete allerdings, dass die E-Mail, die ich zu meinem primären PGP-Schlüssel hinzugefügt hatte, nicht die E-Mail war, die ich an die Öffentlichkeit weitergab. Dasselbe Postfach, eine andere E-Mail. Schau dir meine Methode an, um zu einem neuen Schlüssel mit meiner neuen E-Mail zu wechseln und dabei trotzdem den Vertrauensvektor für diejenigen zu maximieren, die häufig mit mir kommunizierten oder einfach meinen alten PGP-Schlüssel gespeichert hatten. Ich sage nicht, dass das etwas wäre, das jeder tun müsste. Ich wollte jedoch sicherstellen, dass der Übergang zu einem neuen Schlüssel in keiner Weise als böswillig oder als Kompromittierung meiner Sicherheit fehlinterpretiert werden konnte.

Wenn du eine Einzelperson innerhalb dieser Kategorie bist, würde ich sagen, dass es ratsam ist, die Generierung dieses Schlüssels auf einem System durchzuführen, bei dem die Netzwerkverbindung deaktiviert ist, wobei dein GPG-Programm der Wahl per Firewall so abgeschottet ist, dass alle Verbindungen zu und von Schlüsselservern blockiert werden. Das Letzte, was du brauchst, ist ein Programm mit Hintertür, das deinen privaten Schlüssel ohne dein Wissen böswillig irgendwohin hochlädt. Ja, dein privater Schlüssel sollte ein sehr starkes Passwort haben, das ihn vor solchen Angriffen schützt, aber er sollte auch nicht “so einfach” zu stehlen sein. Dein GPG-Programm muss keinen Schlüsselabruf oder ähnliches durchführen, da das Importieren mit Kopieren/Einfügen einfach ist, also gibt es keinen Grund, ihm überhaupt Zugriff auf das Internet zu gewähren.