Archiv

IT-Sicherheit
Mailverschlüsselung leicht gemacht

Der Vorsatz, die eigene Kommunikation im Internet zu verschlüsseln, ist schnell getroffen. Doch selbst wenn die nötigen Krypto-Programme installiert sind, nutzt man sie letztendlich doch eher selten - zu umständlich. Ein neues Projekt verfolgt den Ansatz, dass mitunter komplizierte Software von anderer Software bedient wird.

Von Keywan Tonekaboni |
    In einem engen Veranstaltungsraum suchen junge Hacker und bürgerliche Mitfünfziger einen Platz. Eingeladen haben die Datenschützer vom Verein Digital Courage. Knapp 40 Besucher sind gekommen. Sie wollen vom Hacker Volker Birk erfahren, wie sie sicher und trotzdem auch einfach im Internet kommunizieren können. Denn Volker Birk will mit einer Handvoll Mitstreiter das bekannte PGP, Pretty Good Privacy – also übersetzt recht gute Privatsphäre-, weiterentwickeln zu Pretty Easy Privacy, kurz PEP.
    "PEP ist keine Krypto-Software, sondern es ist eine 'Ich hab schon Krypto-Software, aber möchte, dass PEP sie für mich bedient'-Software. Und das ist das Prinzip: PEP bedient Krypto-Software, die gängig ist und dann muss man sie als Benutzer nicht mehr bedienen, sondern kann sich bedienen lassen."
    Volker Birk setzt mit PEP auf bereits vorhandene Verschlüsselungssoftware wie eben PGP auf. Er demonstriert das an einer Erweiterung, die er für das verbreitete E-Mail-Programm Outlook entwickelt hat. Bei der Installation stellen sich, anders als bei PGP, keine Fragen. Weder nach einem Verschlüsselungs-Typ, noch nach vorhandenen Schlüsseln oder ob man neue erzeugen möchte – auch nicht nach einem Passwort.
    Trotzdem wird die Testmail, die Volker Birk jetzt verschickt, verschlüsselt. Denn PEP hat im Hintergrund PGP gleich mit installiert und alle Einstellungen selbst durchgeführt. Der Benutzer muss sich auch nicht damit plagen, dass PGP zwei Schlüssel und den Zugang zu einem Schlüsselverzeichnis, einem Keyserver, benötigt. Das alles macht PEP laut Volker Birk von alleine.
    "Wenn ein Schlüssel da ist, der ordentlich ist, dann wird dieser verwendet und wenn eben kein ordentlicher Schlüssel da ist, dann wird automatisch ein neues Schlüsselpaar erzeugt. Und weil ich eine Adresse eingegeben habe, die man auf einem Keyserver findet, weiß das System: 'Oh, das ist ein PGP Nutzer, mit dem kann ich PGP machen'. Und macht das auch sofort. Einfach mal so. Das macht PEP nämlich immer: PEP wählt immer den in dieser Situation sichersten Weg."
    Ist durch einen zu schwachen Schlüssel nur eine unsichere Übertragungsmethode möglich, nutzt PEP diese trotzdem. Denn schlecht verschlüsselt ist immer noch besser als gar nicht verschlüsselt. Eine Farbe – Grau, Gelb oder Grün – signalisiert die Qualität der Verschlüsselung, wobei eine unsichere Methode grau bleibt. Gelb bedeutet, dass kein technisches Angriffsverfahren dagegen bekannt ist, welches diese E-Mail entschlüsseln könnte. Und grün?
    "Grün bedeutet, ich hab manuell geprüft, dass ich auch in Wirklichkeit mit der Person elektronisch kommuniziere, mit der ich auch kommunizieren wollte und mit der ich auch sonst vielleicht einmal telefoniere oder sie auch durchaus mal treffe."
    Die Überprüfung der Schlüssel soll weniger umständlich werden
    Nur wenn man den grünen Status erreichen möchte, muss man selbst aktiv werden. PEP erzeugt dann Losungsworte zur Validierung. Pretty Good Privacy setzt auf ein dezentrales "Web of Trust": Ich beglaubige die öffentlichen Schlüssel meiner Freunde und Bekannten, und die bestätigen umgekehrt die Echtheit meines Schlüssels. Sehe ich die Signatur eines Freundes in einem fremden Schlüssel, so vertraue ich auch diesem. Mit dem "Web of Trust" offenbare ich aber auch meinen eigenen Bekanntenkreis. Vor allem aber ist die Überprüfung der Schlüssel umständlich. PEP hakt genau hier ein.
    Volker Birk:
    "Das finden wir alles schwierig, zu schwierig: Deshalb wird es auch oft nicht gemacht und wir haben uns überlegt, eigentlich reicht es, wenn man sich gegenseitig fünf Wörter aus seiner eigenen Muttersprache am Telefon sagt. Am Telefon deshalb, weil man dann den Eindruck hat, ob das wirklich die Person ist, mit der man sprechen wollte. Und fünf Worte deshalb, weil das meistens kryptographisch ausreicht, um sicher genug zu sein, dass man checken kann, ob die Person, mit der ich gerade telefoniere auch die Person ist, mit der ich gerade elektronisch Nachrichten austausche. Denn man will prüfen, dass es nämlich keinen sogenannten 'Man in the Middle' gibt."
    Volker Birk sprüht in seinem Vortrag vor Ideen, Haktivismus und Visionen. Im Publikum aber bleibt an diesem Tag die Ratlosigkeit in einigen Gesichtern bestehen.