PC Magazin Classic XXL Deutschlands sicherster PC (Vorschau)

PERSONAL COMPUTING
zertifiziert. So entsteht ein Web-of-Trust,
ein Netzwerk des Vertrauens. Es gibt keine
übergeordnete Zertifizierungsinstanz,
schließt sie aber nicht aus. So bietet etwa
das deutsche Forschungsnetz Zertifikate
für PGP an. GnuPG ist einfach in Gebrauch
zu nehmen. Installieren Sie das Programm
Gpg4Win von unserer Heft-DVD. Es enthält
mehrere Programmelemente, um Schlüssel
zu erzeugen und zu verwalten.
Die eigentliche Kernkomponente GnuPG
wird in jedem Fall installiert. Zum Verwalten
der Schlüssel gibt es Kleopatra und Gnu
Privacy Assistant (GPA). GpgOL dient als Erweiterung
zur Verschlüsselung in Outlook
2003 und 2007, GpgEX zur Dateiverschlüsselung
im Windows Explorer. Falls Sie noch
kein Mailprogramm haben, können Sie das
Open-Source-Programm Claws-Mail mit integrierter
Verschlüsselungsfunktionen verwenden.
Nach der Installation werden Sie sofort aufgefordert,
ein erstes Zertifikat in drei Schritten
zu erzeugen. Dabei handelt es sich nicht
um ein S/MIME-Zertifikat im oben beschriebenen
Sinn, sondern um ein Schlüsselpaar.
Dazu geben Sie Ihren Namen, auf welche
E-Mail-Adresse es sich beziehen soll und
zuletzt ein Kennwort an. Fertig!
Den öffentlichen Schlüssel des Zertifikats
können Sie jetzt jedem aushändigen. Eine
gute Möglichkeit ist, es als Standardanhang
an jede E-Mail anzuhängen, damit es eine
möglichst weite Verbreitung findet. So können
Ihre E-Mail-Partner zukünftig nicht sagen,
sie hätten die privaten Informationen
nicht verschlüsseln können.
Deutsche Mail
Ein Versuch, den Amtsbrief abzuschaffen
und dazu sichere und verlässliche E-Mail-
Kommunikation, vor allem mit und für Behörden
zu schaffen, ist die De-Mail mit dem
dazugehörigen Gesetz. Es schreibt vor, dass
die Übermittlung zwischen dem Sender
und dem Empfänger genau geregelten und
amtlich geprüften Regeln zu entsprechen
hat – natürlich nur in Deutschland (siehe
Kasten De-Mail). Bisher hat diese Art der E-
Mail aber noch keine Verbreitung erfahren.
Vielleicht bekommen die meisten Deutschen
ihren Strafzettel doch lieber noch mit
der Briefpost.
Einen anderen Weg schlägt der Berliner
Provider Posteo mit dem Verfahren DANE
ein. Bei DANE hinterlegt ein Mail-Anbieter
den digitalen Fingerabdruck seines SSL-
Zertifikats im Domain Name System, dem
Adressbuch des World Wide Web. Die Angaben
sind mit dem neuen Standard DNSSEC
www.pc-magazin.de PC Magazin 8/2014
Wir können prinzipiell Closed Source Software
nicht systematisch überprüfen und
deswegen können und werden dort jede Menge
gravierende Fehler schlummern.
Interview mit Werner Koch
Werner Koch, Hauptentwickler von GnuPG
Werner Koch, Hauptentwickler von GnuPG, über Sicherheit und Open Source Software.
Sie haben das freie Verschlüsselungsprogramm GnuPG entwickelt. Es gab bereits
PGP von Phil Zimmermann. Warum?
Werner Koch: Es gibt zwei Gründe: Der wichtigste war seinerseits, dass PGP in der
Version 2 den patentierten Algorithmus IDEA sowie den in den USA patentierten Algorithmus
RSA verwendet. PGP konnte in den USA nicht eingesetzt werden, ohne die
Patente zu verletzen. Der zweite und heute – angesichts der NSA/GCHQ-Enthüllungen
– um so wichtigere Grund ist, dass PGP keine Freie Software (Open Source) ist und deswegen
für freie Betriebsysteme, wie Linux, nicht sinnvoll einzusetzen war. Nur Freie
Software kann sicherstellen, dass keine absichtlichen Hintertüren eingebaut sind.
GnuPG steht unter der GNU General Public License. Der Quellcode kann eingesehen
und beliebig verändert werden. Jeder, der sich dafür geeignet hält, kann also
am Quellcode mitwirken. Wie wird der Code auf seine Qualität überprüft? Worin
sehen Sie den Vorteil?
Werner Koch: Nun ja, man sollte sich nicht vorstellen, dass jeder so einfach mitmachen
kann. Es gibt hier keine festen Regeln, sondern es entwickelt sich im Laufe der
Zeit eine Gruppe von Leuten, die sinnvolle Beiträge für ein Projekt leisten und dann in
den Code aufgenommen werden. Praktisch immer gibt es eine kleine Anzahl von Entwicklern,
die über die Aufnahme von solchen Beiträgen entscheiden. Beispielsweise
machen das Linus Torvalds für den Linux Kernel und ich für GnuPG. Wichtig ist, dass
die Entwicklung in der Öffentlichkeit geschieht. Bei aktiven und wichtigen Projekten
werden die Änderungen am Quelltext von vielen anderen Entwicklern beobachtet.
Ferner stellen wir heute technisch sicher, dass es nicht möglich ist, heimlich Teile des
Codes zu verändern. Dazu werden Ketten von kryptographischen Prüfsummen und
auch durch GnuPG erzeugte digitale Signaturen benutzt.
Open Source Software nimmt für sich in Anspruch, einen höheren Sicherheitsgrad
zu erreichen, weil jedermann in den Quellcode Einblick nehmen könne. Gilt
das Argument nach Hardbleed noch?
Werner Koch: Der Fall Heartbleed hat zweierlei gezeigt: Auch wenn es zwei Jahre gedauert
hat: Die Software wurde einer Überprüfung unterzogen, und der Fehler wurde
gefunden. Ohne Open Source wäre das so nicht möglich gewesen. Wir können prinzipiell
Closed Source Software nicht systematisch überprüfen und deswegen können
und werden dort jeden Menge gravierende Fehler schlummern.
signiert. Sie vergleichen die Angaben mit
dem SSL-Zertifikat, das sie während des
Verbindungsaufbaus von der Gegenstelle
erhalten haben. Nur wenn beides übereinstimmt,
bauen sie eine verschlüsselte Verbindung
auf.
Posteo hat die Prioritäten klar gesetzt: Verwendet
ein Provider DANE, versendet das
Unternehmen seine Mails an diese Anbieter
nur noch über verschlüsselte Verbindungen.
Bei anderen Providern versucht
Posteo eine SSL-Verbindung herzustellen.
Nur im Ausnahmefall überträgt der E-Mail-
Anbieter seine Nachrichten im Klartext.
DANE bietet einen sicheren Weg, die Echtheit
eines absendenden Servers vor jedem
Verbindungsaufbau automatisch zu prüfen.
E-Mail-Server, aktuelle E-Mail-Programme
und Browser benötigen derzeit noch ein
kleines Add-on, mit dessen Hilfe sie den
Fingerabdruck des Zertifikats von dem zuständigen
DNSSEC-Server abrufen können.
Zukünftige Versionen hätten die Funktion
dann bereits implementiert.
whs
61