LinuxUser Abhörsicher surfen (Vorschau)
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Schwerpunkt<br />
Mails verschlüsseln<br />
Schlüssel besitzt einen Fingerabdruck<br />
aus zehn vierstelligen Hexadezimalzahlen.<br />
Da es technisch nicht möglich ist,<br />
gezielt einen Schlüssel mit einem bestimmten<br />
Fingerabdruck zu erzeugen,<br />
bürgt dieser für die Authentizität.<br />
Vor dem Versand sicherheitskritischer<br />
Mails sollten Sie bei der ersten Kontaktaufnahme<br />
mit dem Kommunikationspartner<br />
telefonieren und den Fingerabdruck<br />
seines OpenPGP-Schlüssels mit<br />
ihm abgleichen. Es nützt Angreifern<br />
nichts, die Korrespondenz beim telefonischen<br />
Schlüsselvergleich abzuhören, solange<br />
sie den Inhalt der Kommunikation<br />
nicht manipulieren können. Danach darf<br />
der Schlüssel für weitere Nachrichten als<br />
vertrauenswürdig gelten.<br />
Das zweite Verfahren, die Authentizität<br />
eines Schlüssels zu gewährleisten, ist<br />
das Signieren von Schlüsseln durch Dritte,<br />
die durch eine solche Unterschrift mit<br />
2 Beim Man-in-the-Middle-Angriff schiebt ein Angreifer dem Sender einen gefälschten<br />
öffentlichen Schlüssel unter (schwarz-grün) und fängt die Mail ab. Er entschlüsselt sie mit<br />
seinem eigenen zum untergeschobenen passenden privaten Schlüssel (schwarz-rot) und<br />
verschlüsselt sie sofort erneut mit dem authentischen öffentlichen Schlüssel (grün). Der<br />
Adressat sieht nur die mit dem richtigen Schlüssel chiffrierte Nachricht.<br />
Ihrem eigenen Open-PGP-Schlüssel dafür<br />
bürgen, dass ein Schlüssel tatsächlich<br />
einer Person mit dem darin genannten<br />
Namen gehört.<br />
Unterschriften helfen wegen der<br />
Fälschbarkeit auch der beglaubigenden<br />
Schlüssel nur weiter, wenn Sie diese anhand<br />
der Fingerabdrücke Ihnen als vertrauenswürdig<br />
bekannten Personen zuordnen<br />
können. Technisch garantiert das<br />
Unterschriftsverfahren nämlich nur, dass<br />
sich bestimmte Fingerabdrücke nicht<br />
gezielt erzeugen lassen, sodass diese<br />
den Besitz eines bestimmten privaten<br />
Schlüssels nachweisen.<br />
Drei Schritte zum Ziel<br />
Um verschlüsselt via OpenPGP/GnuPG<br />
per E-Mail zu kommunizieren, gilt es,<br />
sowohl für den Versender als auch den<br />
Empfänger folgende Vorbereitungen zu<br />
treffen:<br />
• das Erzeugen eines Schlüsselpaares,<br />
• den Tausch der öffentlichen Schlüssel,<br />
• den Import des öffentlichen Schlüssels<br />
des Partners in den eigenen<br />
Schlüsselring.<br />
Als Thunderbird-Anwender installieren<br />
Sie für den Einsatz von GnuPG die Erweiterung<br />
Enigmail û über den Addon-<br />
Manager der Software (Extras | Add-ons |<br />
Add-ons Suchen). Danach erscheint der<br />
Eintrag OpenPGP in der Menüleiste, der<br />
alle Verschlüsselungs- und Signierfunktionen<br />
steuert. In KMail ist die GPG-<br />
Funktion bereits fest eingebaut: Sie erreichen<br />
sie über Extras | Zertifikatsverwaltung.<br />
Beide Programme stellen eine GUI<br />
für die im Folgenden beschriebenen<br />
Konsolenbefehle bereit.<br />
Der Befehl gpg ‐‐gen‐key erzeugt ein<br />
neues Schlüsselpaar. Das Tool fragt nach<br />
Schlüsseltyp und -länge. Die gegenwärtig<br />
in Bezug auf Kompatibilität und Sicherheit<br />
empfohlen Optionen (RSA/RSA,<br />
2048-Bit) bestätigen Sie mit [Eingabe].<br />
Nun legen Sie die Gültigkeitsdauer des<br />
Schlüssels fest. Anfänger sollten hier<br />
nicht die Voreinstellung 0 = Schlüssel verfällt<br />
nie wählen, denn ein veröffentlichter<br />
Public Key, dessen privaten Schlüssel<br />
Sie verloren haben, lässt sich nicht mehr<br />
von den Keyservern zurückholen.<br />
38 www.linux-user.de<br />
09.2013