… und auch anderen „Fieslingen„. Bisher galt das Signieren von E-Mails mittels GPG-Signatur wohl eher in das Repertoire von Geeks und Computerfuzzis. Das Signieren kann aber unheimlich praktisch sein, um sich vor Veränderungen in E-Mails zu schützen. Wie ich auf kernel.panic! erfahren habe, soll die Bundesregierung in der Lage sein, E-Mails von Freunden und Bekannten zu modifizieren, um so die Spionage-Software der Regierung auf dem Computer zu installieren.1

Für mich, der sich mit der Materie des GPGs schon vertraut gemacht hat, sind Apelle wie: „Signiert eure Mails!“ selbstverständlich, aber für Personen die sich mit der Materie des Computers nicht mehr befassen als E-Mails zu schreiben und Briefe zu tippen, wissen vielleicht nicht sofort, was es mit dem GPG-Signaturen auf sich hat. Daher hier ein Versuch den Mechanismus zu beschreiben.2

GPG – Das Prinzip

Das Prinzip des GNU Privacy Guard basiert auf der Idee von zwei Schlüsseln, dem so genannten Schlüsselpaar. Es gibt einen geheimen Schlüssel, der sich nur in Besitz des Eigentümers befinden sollte und einen öffentlichen Schlüssel, der in Besitz aller sein sollte, mit denen man kommunizieren möchte. Möchte man nun eine Nachricht signieren, dann schickt man quasi die Daten durch den geheimen Schlüssel und mit Hilfe des dazugehörigen Passworts wird eine Prüfsumme erstellt. Die Prüfsumme ist also eine eindeutige Datenmenge die sowohl durch die Nachricht, den geheimen Schlüssel und dem Passwort erstellt wird. Diese entstandene Datenmenge ist die eigentliche Signatur.

Derjenige der die Nachricht inkl. der Signatur erhält kann mit Hilfe des öffentlichen Schlüssels feststellen, ob die Nachricht wirklich von dem Empfänger stammt. Sollte die Nachricht unterwegs verändert worden sein, dann wird festgestellt, dass die Prüfsumme nicht richtig sein kann und somit ist man in der Lage E-Mails zu entdecken, deren Inhalt auf dem Weg zum Empfänger verändert wurden. Sollte sich also der Bundestrojaner eingeschlichen haben, stimmt die Prüfsumme nicht mehr und man sieht das etwas nicht stimmt und kann nun Rücksprache mit den Versender der E-Mail halten.

Verschlüsselung

Ein ähnliches Prinzip  wird auch bei der Verschlüsselung der Daten genutzt. Hier wird die Nachricht mit Hilfe des öffentlichen Schlüssels verschlüsselt und kann nur wieder entschlüsselt werden, wenn man in Besitz des geheimen Schlüssels und dem dazugehörigen Passworts ist.

Vorteile vom Einsatz von GPG

1. Man sieht wer der wirkliche Absender der Nachricht ist und fällt so nicht auf Fehlinformationen rein.
2. Man erkennt ob eine E-Mail unterwegs bearbeitet wurde oder nicht.
3. Man kann Nachrichten so verschlüsseln, dass sie nur vom Empfänger wieder entschlüsselbar, also lesbar sind.

Da das Prinzip des Ganzen nun klar geworden ist (so hoffe ich 😉 ), empfehle ich weiterführende Literatur:

• GPG auf Wikipedia
• Deutsche GnuPG Anleitung
• GPG auf dem Wiki von ubuntuusers.de

Fragen und Unklarheiten einfach in die Kommentare…

1. Wenn hier einer Stasi-Methoden unterstellen möchte, so kann er das gerne tun. Ich werde mich zu solchen Äußerungen nicht hinreißen lassen, da ich der Meinung bin, dass solche Verfahren die Methoden des Ministeriums Staatssicherheit um ein vielfaches übertreffen. [↩]
2. Ich bitte über kleine Ungenauigkeiten und Vernachlässigungen hinwegzusehen, da es sich hier nicht um eine fachliche Auseinandersetzung mit dem Thema handelt, sondern um eine reduzierte Fassung des Sachverhaltes um das Verfahren zu veranschaulichen. [↩]

Wie ich bereits in dem Artikel über die Instant Messenger geschrieben habe, kann es unter Umständen wichtig sein, sich doch mal das Kleingedruckte in den Nutzungbedingungen von geschlossener Software anzuschauen. Aber was nun die Runde macht, setzt dem Fass die Krone auf. Das supertolle, hochgelobte und total hippe Tool Skype spioniert seine Benutzer aus – naja, jedenfalls hat es den Anschein. In den Foren von Skype stellte jemand die Frage auf, wieso Skype Daten auf der ganzen Festplatte ausliest?! Die Spekulationen sind immens, aber eine Stellungnahme von der Skype-Seite gab es bislang nicht. Ein Schelm der böses dabei denkt.

Die Empfehlungen für ein Verhalten der Benutzer ist eigentlich ganz einfach: Nutzt keine geschlossene Software. Klar kann ein solches Verhalten auch bei OpenSourceSoftware implementiert werden, aber man kann sich sicher sein, dass die Community ein solches Verhalten relativ schnell spitz kriegt und revidieren würde.

Weitere Links zum Thema

• Spioniert Skype uns aus?
• Skype Linux Reads Password and Firefox Profile
• Forebeitrag auf Ubuntuusers.de