PC Magazin Classic XXL Deutschlands sicherster PC (Vorschau)
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
PERSONAL COMPUTING<br />
zertifiziert. So entsteht ein Web-of-Trust,<br />
ein Netzwerk des Vertrauens. Es gibt keine<br />
übergeordnete Zertifizierungsinstanz,<br />
schließt sie aber nicht aus. So bietet etwa<br />
das deutsche Forschungsnetz Zertifikate<br />
für PGP an. GnuPG ist einfach in Gebrauch<br />
zu nehmen. Installieren Sie das Programm<br />
Gpg4Win von unserer Heft-DVD. Es enthält<br />
mehrere Programmelemente, um Schlüssel<br />
zu erzeugen und zu verwalten.<br />
Die eigentliche Kernkomponente GnuPG<br />
wird in jedem Fall installiert. Zum Verwalten<br />
der Schlüssel gibt es Kleopatra und Gnu<br />
Privacy Assistant (GPA). GpgOL dient als Erweiterung<br />
zur Verschlüsselung in Outlook<br />
2003 und 2007, GpgEX zur Dateiverschlüsselung<br />
im Windows Explorer. Falls Sie noch<br />
kein Mailprogramm haben, können Sie das<br />
Open-Source-Programm Claws-Mail mit integrierter<br />
Verschlüsselungsfunktionen verwenden.<br />
Nach der Installation werden Sie sofort aufgefordert,<br />
ein erstes Zertifikat in drei Schritten<br />
zu erzeugen. Dabei handelt es sich nicht<br />
um ein S/MIME-Zertifikat im oben beschriebenen<br />
Sinn, sondern um ein Schlüsselpaar.<br />
Dazu geben Sie Ihren Namen, auf welche<br />
E-Mail-Adresse es sich beziehen soll und<br />
zuletzt ein Kennwort an. Fertig!<br />
Den öffentlichen Schlüssel des Zertifikats<br />
können Sie jetzt jedem aushändigen. Eine<br />
gute Möglichkeit ist, es als Standardanhang<br />
an jede E-Mail anzuhängen, damit es eine<br />
möglichst weite Verbreitung findet. So können<br />
Ihre E-Mail-Partner zukünftig nicht sagen,<br />
sie hätten die privaten Informationen<br />
nicht verschlüsseln können.<br />
Deutsche Mail<br />
Ein Versuch, den Amtsbrief abzuschaffen<br />
und dazu sichere und verlässliche E-Mail-<br />
Kommunikation, vor allem mit und für Behörden<br />
zu schaffen, ist die De-Mail mit dem<br />
dazugehörigen Gesetz. Es schreibt vor, dass<br />
die Übermittlung zwischen dem Sender<br />
und dem Empfänger genau geregelten und<br />
amtlich geprüften Regeln zu entsprechen<br />
hat – natürlich nur in Deutschland (siehe<br />
Kasten De-Mail). Bisher hat diese Art der E-<br />
Mail aber noch keine Verbreitung erfahren.<br />
Vielleicht bekommen die meisten Deutschen<br />
ihren Strafzettel doch lieber noch mit<br />
der Briefpost.<br />
Einen anderen Weg schlägt der Berliner<br />
Provider Posteo mit dem Verfahren DANE<br />
ein. Bei DANE hinterlegt ein Mail-Anbieter<br />
den digitalen Fingerabdruck seines SSL-<br />
Zertifikats im Domain Name System, dem<br />
Adressbuch des World Wide Web. Die Angaben<br />
sind mit dem neuen Standard DNSSEC<br />
www.pc-magazin.de <strong>PC</strong> <strong>Magazin</strong> 8/2014<br />
Wir können prinzipiell Closed Source Software<br />
nicht systematisch überprüfen und<br />
deswegen können und werden dort jede Menge<br />
gravierende Fehler schlummern.<br />
Interview mit Werner Koch<br />
Werner Koch, Hauptentwickler von GnuPG<br />
Werner Koch, Hauptentwickler von GnuPG, über Sicherheit und Open Source Software.<br />
Sie haben das freie Verschlüsselungsprogramm GnuPG entwickelt. Es gab bereits<br />
PGP von Phil Zimmermann. Warum?<br />
Werner Koch: Es gibt zwei Gründe: Der wichtigste war seinerseits, dass PGP in der<br />
Version 2 den patentierten Algorithmus IDEA sowie den in den USA patentierten Algorithmus<br />
RSA verwendet. PGP konnte in den USA nicht eingesetzt werden, ohne die<br />
Patente zu verletzen. Der zweite und heute – angesichts der NSA/GCHQ-Enthüllungen<br />
– um so wichtigere Grund ist, dass PGP keine Freie Software (Open Source) ist und deswegen<br />
für freie Betriebsysteme, wie Linux, nicht sinnvoll einzusetzen war. Nur Freie<br />
Software kann sicherstellen, dass keine absichtlichen Hintertüren eingebaut sind.<br />
GnuPG steht unter der GNU General Public License. Der Quellcode kann eingesehen<br />
und beliebig verändert werden. Jeder, der sich dafür geeignet hält, kann also<br />
am Quellcode mitwirken. Wie wird der Code auf seine Qualität überprüft? Worin<br />
sehen Sie den Vorteil?<br />
Werner Koch: Nun ja, man sollte sich nicht vorstellen, dass jeder so einfach mitmachen<br />
kann. Es gibt hier keine festen Regeln, sondern es entwickelt sich im Laufe der<br />
Zeit eine Gruppe von Leuten, die sinnvolle Beiträge für ein Projekt leisten und dann in<br />
den Code aufgenommen werden. Praktisch immer gibt es eine kleine Anzahl von Entwicklern,<br />
die über die Aufnahme von solchen Beiträgen entscheiden. Beispielsweise<br />
machen das Linus Torvalds für den Linux Kernel und ich für GnuPG. Wichtig ist, dass<br />
die Entwicklung in der Öffentlichkeit geschieht. Bei aktiven und wichtigen Projekten<br />
werden die Änderungen am Quelltext von vielen anderen Entwicklern beobachtet.<br />
Ferner stellen wir heute technisch sicher, dass es nicht möglich ist, heimlich Teile des<br />
Codes zu verändern. Dazu werden Ketten von kryptographischen Prüfsummen und<br />
auch durch GnuPG erzeugte digitale Signaturen benutzt.<br />
Open Source Software nimmt für sich in Anspruch, einen höheren Sicherheitsgrad<br />
zu erreichen, weil jedermann in den Quellcode Einblick nehmen könne. Gilt<br />
das Argument nach Hardbleed noch?<br />
Werner Koch: Der Fall Heartbleed hat zweierlei gezeigt: Auch wenn es zwei Jahre gedauert<br />
hat: Die Software wurde einer Überprüfung unterzogen, und der Fehler wurde<br />
gefunden. Ohne Open Source wäre das so nicht möglich gewesen. Wir können prinzipiell<br />
Closed Source Software nicht systematisch überprüfen und deswegen können<br />
und werden dort jeden Menge gravierende Fehler schlummern.<br />
signiert. Sie vergleichen die Angaben mit<br />
dem SSL-Zertifikat, das sie während des<br />
Verbindungsaufbaus von der Gegenstelle<br />
erhalten haben. Nur wenn beides übereinstimmt,<br />
bauen sie eine verschlüsselte Verbindung<br />
auf.<br />
Posteo hat die Prioritäten klar gesetzt: Verwendet<br />
ein Provider DANE, versendet das<br />
Unternehmen seine Mails an diese Anbieter<br />
nur noch über verschlüsselte Verbindungen.<br />
Bei anderen Providern versucht<br />
Posteo eine SSL-Verbindung herzustellen.<br />
Nur im Ausnahmefall überträgt der E-Mail-<br />
Anbieter seine Nachrichten im Klartext.<br />
DANE bietet einen sicheren Weg, die Echtheit<br />
eines absendenden Servers vor jedem<br />
Verbindungsaufbau automatisch zu prüfen.<br />
E-Mail-Server, aktuelle E-Mail-Programme<br />
und Browser benötigen derzeit noch ein<br />
kleines Add-on, mit dessen Hilfe sie den<br />
Fingerabdruck des Zertifikats von dem zuständigen<br />
DNSSEC-Server abrufen können.<br />
Zukünftige Versionen hätten die Funktion<br />
dann bereits implementiert.<br />
whs<br />
61