Internet

Signieren und verifizieren

Jeder, der eine E-Mail-Adresse hat, und das ist heute fast jeder, kennt die Probleme mit unaufgeforderter Werbung und anderem Müll, Spam, Scam, Hoaxes, Phishing und Identitätsdiebstahl. Letztere Erscheinungen sind nicht zu unterschätzende Angriffe. Aber kaum jemand signiert oder verschlüsselt seine Mails, nicht einmal Mitglieder von Berufsgruppen, die durchaus zumindest gelegentlich vertrauliche Nachrichten per E-Mail austauschen (z.B. Ärzte, Anwälte, Lehrer). Dabei gibt es inzwischen Werkzeuge, welche die Verwendung asymmetrischer Schlüssel für Signieren oder Verschlüsseln auf Basis des Standards OpenPGP stark vereinfachen.[1] OpenPGP ist eine quelloffene Variante des Protokolls PGP (Pretty Good Privacy), deren Spezifikation u.a. von dessen Erfinder Phil Zimmermann formuliert wurde. Das Open-Source-Projekt GnuPG (GNU Privacy Guard) veröffentlichte die erste Version seiner Implementierung des Protokolls Ende 1999. Auf GnuPG basieren wiederum Werkzeuge, welche die Verwendung seiner Funktionen in E-Mail-Programmen erleichtern, z.B. EnigMail für die E-Mail-Programme Thunderbird und SeaMonkey (für Linux, verschiedene Unix-Varianten, u.a. Mac OS X, sowie für Windows) oder GPGMail für Apple Mail, Teil der Tool-Suite GPGTools für Mac OS X.

Die asymmetrische Verschlüsselung kann auch benutzt werden, um Nachrichten zu signieren – ohne den Inhalt zu verschlüsseln. Dabei wird eine Prüfsumme berechnet, die nur vom Besitzer des privaten Schlüssels erstellt werden kann. Der Empfänger kann den öffentlichen Schlüssel von einem Schlüssel-Server (key server)[2] herunterladen, um die Signatur – die Prüfsumme – zu verifizieren. Wenn am signierten Text etwas verändert wurde, stimmt die Prüfsumme nicht mehr. Während es bei Verschlüsselung um Vertraulichkeit geht, werden durch Signieren Urheberschaft und Integrität einer E-Mail verifizierbar.[3] Ob Signieren und Verschlüsseln: Wichtig ist in jedem Fall, dass der private Schlüssel nicht in fremde Hände gelangt. Der öffentliche Schlüssel muss dagegen dem Empfänger der Nachricht vorliegen. Deshalb wird er im Allgemeinen auf einem öffentlich zugänglichen Schlüssel-Server hinterlegt, wo sich jeder den Schlüssel herunterladen kann.

1. Ein asymmetrisches Verschlüsselungssystem wie OpenPGP ist ein kryptografisches Verfahren, bei dem jede kommunizierende Partei ein Schlüsselpaar besitzt, das aus einem geheimen Schlüssel (private key) und einem öffentlichen Schlüssel (public key) besteht. Bei Verschlüsselung einer Nachricht von A an B verwendet A seinen eigenen privaten Schlüssel und den öffentlichen Schlüssel von B, der allein die Nachricht mit seinem privaten Schlüssel entschlüsseln kann. Da die Signatur einer Nachricht dagegen ohne Berücksichtigung des Empfängers nur mit dem privaten Schlüssel von A berechnet wird, genügt bei signierten unverschlüsselten Nachrichten der öffentliche Schlüssel von A, um die Signatur verifizieren zu können.
2. Der älteste ist keyserver.pgp.com, der Schlüssel-Server der PGP Corporation (die inzwischen von der Symantec Corporation übernommen wurde).
3. Auch beim Versand von sogenannten Online-Briefen über einen Dienst wie etwa De-Mail ist es übrigens durchaus ratsam – wenn es um Verschlüsselung vertraulicher Inhalte geht – zusätzlich OpenPGP zu verwenden, um die Daten zu verschlüsseln.

13. September 2011 von Kai Yves Linden
Kategorien: Internet | Schlagwörter: , , | Kommentare deaktiviert für Signieren und verifizieren