PGP

[ Home | Spezial GnuPG+WinPT ]

_LOGO_

Sichere E-Mail, Datensicherheit und Datenschutz mit PGP


Inhalt:

  1. Notwendigkeit: Vertraulichkeit
  2. Veranlassung: Identität / E-Signatur
  3. Spionage, Verschlüsselung
  4. Technisches zu PGP
  5. Programm Quellen (Download) und URL`s
  6. Einige unserer öffentlichen PGP Schlüssel__
  7. Neuigkeiten
  8. qualifizierte elektronische Signatur (QES) gem. SigG+SigV

7.) Neuigkeiten

Diverse ´freemailer´ spionieren in E-Mails um Markterhebungen zu tätigen und Werbung einzublenden! Möchten Sie mit WerbeMüll vollgeschüttet werden? Möchten sie, dass ihre Mails mit Werbung "angereichert" werden? (=> "SPAM", Werbemüll, Werbung). Wenn nicht, dann ein Grund mehr um PGP einzusetzen.
#PGP ist kompatibel zu § 127 BGB.
PGP kann zur Erzeugung, Prüfung und Verarbeitung als "fortgeschrittenes Zertifikat" gemäß Signaturgesetz SigG und für "fortgeschrittene elektronische Signaturen" verwendet werden.
#Die Behauptung der Firma ?-Trust (Tochter des ex"Staatsunternehmen" Bundesdruckerei), daß PGP (Pretty Good Privacy) eine geringe Sicherheit bietet ist zu ignorieren. Weil es unwahr ist und der Behauptungszweck klarer komerzieller und **_zensiert_** Natur ist.

  1. _ http://www.cdt.org/crypto/ _
  2. _ http://en.wikipedia.org/wiki/Industrial_espionage _
  3. USA: PRISM: Direktzugriff der US-Geheimdienste auf Microsoft, Google, Facebook&Co.: Gestern noch "Verschwörungstheorie" _heute_Gewissheit!
  4. Spezial GnuPG+WinPT

1.) Notwendigkeit: Vertraulichkeit

E-Mail ist bequem, schnell und spart Arbeit (-> Preise, Angebotstexte der Lieferanten etc.). Eine E-Mail ist aber wie eine Postkarte, jeder der an diese herankommt kann sie lesen (Postbote, überfüllter Briefkasten). Ein "Disclaimer" hilt dabei nicht. E-Mails kann jeder in ihrer Firma (bei gemeinsamer EDV-Infrastruktur auch innerhalb Gewerbegebiet oder Technologiezentrum), der EDV-Support, die Beschäftigten des Internetproviders und die Geheimdienste (-> "alte Schlapphüte") unbemerkt abhorchen. Der Überwachungsstaat Lobbyist Herr S. (angeblich Christ) ist dabei auf deutsche Computer Spitzel-Programme zu installieren. Siehe auch Abschaffung der Bürgerrechte/Freiheit durch BKA/FBI Virus.
Jetzt werden Sie denken, aber das macht doch keiner. Hinweis: Jede E-Mail wird automatisch von US und europäischen Geheimdiensten abgehört! Und die normale Geschäftspost senden Sie doch auch in einem geschlossenen Briefumschlag! Warum? Damit Niemand diese, ohne ein (unbemerktes) Öffnen, lesen kann.
Im Privaten: Persönliche Post oder Gespräche führen Sie/Du doch auch so, daß keiner den Inhalt mitbekommen soll oder? Der Liebesbrief und Kummerkasten wird nicht auf dem Marktplatz aufgehangen oder mit dem Megaphon öffentlich gemacht. Eine "Standard" E-Mail ist aber eine Veröffentlichung (an Unbekannte Leser, und man bemerkt es nicht).
Dazu verwendet man im Internet Verschlüsselungsverfahren (Kryptisierung). Nur der Adressat (oder Du selbst) kann diese E-Post lesen.


2.) Veranlassung: Identität / E-Signatur

Weiterhin ist es sehr leicht möglich E-Mails zu fälschen! Sie denken eine Bestellung von einem guten Geschäftspartner erhalten zu haben, und legen gleich los. Dann stellt sich heraus, daß er gar nichts bestellt hat! Oder: Sie erhalten eine E-Mail vom Projektleiter Ihres Kunden mit einer Verschiebung des Termines zur Baubesprechung. Natürlich kurz vor dem alten Termin. Daraufhin reisen Sie einen Tag später einige 100km zum Kunden. Der ist natürlich sehr begeistert über Ihre Pünktlichkeit! Vielleicht ein "Scherz" eines verärgerten Wettbewerbers?
Mit der digitalen Signatur ist die Identität des Absenders verifizier- und determinierbar (elektronische Unterschrift). Die Rechtsverbindlichkeit ist hergestellt, auch kann Ihnen kein Schaden durch gefälschte E-Mails entstehen, da die geheimen Schlüssel zum signieren nur dem Absender*1 (=Eigentümer) vorliegen. Sie können Ihren PGP-Schlüssel auch von einer CA zertifizieren lassen.
Bundestrojaner: Staats-Trojaner, staatstrojaner-report23.pdf


3.) Spionage, Verschlüsselung

# Bedenken sie bitte auch, daß Geheimdienste aus Ländern in denen die offiziellen Menschen- und Völkerrechte mißachtet werden E-Mails belauschen. Einige Geheimdienste bzw. deren Mitarbeiter kooperieren auch mit Wirtschaftsunternehmen (-> Wirtschaftsspionage), dies ist gar nicht so selten. Somit können/werden harmlose Schriftwechsel mündiger Bürger oder Umweltschützer zum kriminalisieren und terrorisieren benutzt. Dagegen kann Verschlüsselung in der "Breite" helfen.
#Unkritische E-Mails können nach wie vor unverschlüsselt übertragen werden, wenn keine besonders vertraulichen Informationen enthalten sind, bzw. ein Schaden z.B. durch Wirtschaftsspionage nicht zu erwarten oder eher unwahrscheinlich ist.
#Angebote, Preise und Projektdokumentationen sind meistens schützenswürdig, der Wettbewerb ist hart.
#Sie sind ein international tätiges Unternehmen? Dann ist das Thema Industriespionage für Sie ein Muß-Thema!
keiner:Echelon-Spionagesystem:[Info 1][Info 2]
Weitere Informationen:BSI/BMWI[BSI-2]Sie merken es nicht, aber es gibt sie. Mehr unter Technisches zu PGP.
#Strategische "Papiere", Personaldaten oder interne Forschungsberichte sollten auch vertraulich behandelt werden. Auch im IntraNet können alle Daten, solange dort kein SSL (Webserver per https) oder IPSec eingesetzt ist, leicht belauscht werden. Dazu ist lediglich der physische Zugang zum Computernetzwerk und ein "Sniffer"-Programm nötig. Weiteres wird Ihnen sicherlich Ihr Datenschutzbeauftragter berichten können. P.S.: Bei manchen Firmen müssen sogar bei Beratungen die Funktelefone abgegeben werden, weil diese leicht manipuliert als "Wanze" benutzt werden können. Siehe auch großer Lauschangriff.
#Unbedingt möchte ich noch anmerken, daß der Einsatz von Kryptisierungstechniken rechtlich zulässig ist! Das Briefgeheimnis ist in der BRD sogar durch das Grundgesetz geschützt!["Gelbe Post" (Satire)]
Weitere Informationen:
Hintergründe von Phil Zimmermann
datenschutzzentrum.de


4.) Technisches zu PGP

PGP (Pretty Good Privacy - recht gute Privatsphäre) ist eine Gruppe von Computer-Programmen zur Verschlüsselung und Signierung von Dokumenten und Dateien. PGP ist im Prinzip ein Standard. Es sind sogar kostenlose Programmversionen verfügbar. PGP ist sehr sicher, zuverlässig und auch bei sehr vielen Nutzern verbreitet. PGP kann auch mit dem CA-Prinzip betrieben werden!
Das Prinzip beruht auf die Verwendung eines Schlüsselpaares. Der private Schlüssel dient zur Dechiffrierung, und der öffentlichen Schlüssel zur Chiffrierung. Im Detail: Zur Verschlüsselung wird der öffentliche Schlüssel des Adressaten benutzt. Zur Entschlüsselung, welche nur durch den Adressat*1 möglich ist, wird der private Schlüssel des Adressaten benötigt. Zur Signierung wird der private Schlüssel benötigt. Empfohlen werden mindestens RSA Schlüssel mit 1024 Bit Länge und IDEA Cipher (RSA ist mittlerweile Lizenzfrei verfügbar).
Tipp: Da Sie als Absender die verschlüsselte E-Mail (an einen Anderen) selbst nicht mehr entschlüsseln können, empfiehlt es sich vor dem Verschlüsseln und Absenden eine unverschlüsselte Kopie "lokal" abzulegen. Besser ist es natürlich die Nachricht zusätzlich mit dem eigenen Schlüssel zu bearbeiten. Wie dies funktioniert, richtet sich nach Ihrem E-Mailsystem (Bsp. für [Novell GroupWise 5.5] oder [Netscape Communicator 4.7].
P.S.: Gute E-Mail Systeme legen die Daten (im LAN) generell verschlüsselt ab, so z.B. Novell GroupWise (ist auch gegen "MS"-Viren und dem MS-Windows CON-Bug unempfindlich). Siehe auch [E-Mail Datenformate].

#Sehr wichtig ist die Sicherstellung der Authentizität der Schlüssel. Dazu erfragen Sie bitte per Telefon die "Fingerprints" unserer öffentlichen Schlüssel. Schließlich ist es ja möglich unsere "Internetseite" zu "hacken" und gefälschte Schlüssel und falsche Fingerprints zu hinterlegen oder Ihnen eine gefälschte E-Mail zuzusenden! Parallel erhalten Sie unsere PGP-Fingerprints auch per Fax, Papier-Briefpost oder per Key-Server. Durch die zeitnahe Parallelität des Datenvergleiches ist eine Fälschung praktisch ausgeschlossen.

#Bitte nur RSA Schlüssel <= 4096 Bit und IDEA Cipher (Keine Cast/tripleDES/DES Cipher) im "V3-Format" zusenden, so daß eine Kompatibilität zu, dem von uns eingesetzten, PGP 2.6.3 gegeben ist. Bei Nutzung von PGP 5/6 ("V4-Format") muß der Public-Key ohne die PGP6-Features exportiert werden. Ggf. muss ein neuer Key mit IDEA Cipher erstellt werden, da oft CAST voreingestellt ist. Wir setzen PGP 2.6.3ig mit RSA-Schlüssel der Länge 1024, 2048 oder 4096 Bit ein.

#*1: Schutz der privaten Schlüssel: Damit wirklich nur Sie selbst die an Sie gerichteten Nachrichten dechiffrieren und lesen können, müssen die privaten Schlüssel vor dem Zugriff durch Dritte geschützt sein. Vermutlich kennen Sie dies bereits vom "Online-Banking". PGP setzt als erste Stufe ein sogenanntes Mantra (Passphrase, Password) ein. Jeder Schlüssel in Ihrem privaten Schlüsselbund kann ein eigenes Mantra haben.
Wie man das Mantra wählt steht u.a. dort: [Mantra1][Mantra2]
Mindestanforderung: mindestens 8 Zeichen lang, Ziffern 0-9 Buchstaben a-z -_. (Minus, Unterstrich, Punkt). Für manche Systeme sollte nicht verwendet werden: Leerzeichen, Großschreibung, Umlaute/Sonderzeichen. Klar ist, daß Sie sich das Kennwort gut merken und nirgends notieren (es sei denn sie bewahren es stark verschlüsselt auf (PGP)). Handelsübliche "Organizer/Datenbanken" sind nicht geeignet! Auch nicht wenn diese Kennwortschutz (ungleich Verschlüsselung) realisieren (leicht zu `knacken`). Ungeeignet sind offensichtliche Passworte, Namen der Kinder oder Geburtsdaten. Auch keine Zitate. Am besten kreative sinnlose KurzSprüche mit Ziffern und o.g. Zeichen kombinieren.

#Vergleich mit S/MIME: PGP ist schon länger und bei mehr Nutzer verbreitet. S/MIME hat derzeit eine geringere Portabilität als PGP. Auch ist die Nutzbarkeit und Verschlüsselungsstärke schlechter als die von PGP. Ein weiterer großer Vorteil von PGP gegenüber S/MIME ist die Unabhängigkeit (auch Kosteneinsparung!) von offiziellen "Trustcentern" oder "Certification Authoritys (CA)". Vorgenannte Institutionen würden Ihnen gegen Entgeldzahlung Ihre "privaten" und öffentlichen Schlüssel generieren und optionell zertifizieren. Allerdings sind Ihre "privaten" S/MIME Schlüssel dann nicht mehr privat, weil die CA bzw. das Trustcenter prinzipiell Ihre Mails lesen kann! Mit PGP erledigen Sie dies schnell, kostenlos und sicher selbst! Unterzeichnen können Sie Ihre Schlüssel, zur Vertrauenserhöhung, von jedem PGP Anwender der Ihnen "sympathisch" ist. Auch gab es (und gibt es?) Bestrebungen in S/MIME-Systeme (insbesondere MS-Windows) einen "Drittschlüssel" einzubauen. Damit konnten Institutionen trotz Verschlüsselung Ihre E-Mails Belauschen! Siehe auch NSA-Key.
#Linkliste:[HMI][FORBA][SELFHTML][FZ-Jülich][Mantra][6.5.x/Kurz] u.a..
Wir danken den Autoren der verlinkten Informationsseiten sowie den Programmieren von PGP und Envelope. (Wenngleich es für die verschiedenen Computerprogramme und Anwendungsfälle Abweichungen und zeitliche Änderungen geben wird. Jeder Anwender muß daher selbst prüfen was für Ihn zutrifft.) Möglicherweise distanzieren wir uns auch (aus formaljuristischer Sicht) von einigen Links.;-);-(


5.) Programm Quellen (Download) und URL`s

Ich empfehle die Installation von PGP 2.6.3ig (DOS mit Windowsoberfläche "Envelope"). Durch die entsprechende Auswahl der Schlüssel (z.B. 1024 Bit RSA) können alle Systeme kompatibel miteinander arbeiten. Siehe auch GNU PGP (= GPG, GnuPG), OpenPGP.
Weitere Programme: http://www.pgpi.org/download/
http://www.pgpi.org/products/pgp/versions/freeware/win32/6.5.8/
oder:
http://www.symantec.com/de/de/command-line
http://www.symantec.com/de/de/encryption-desktop-pro/
oder für sonstiges MS-Windows:
http://www.heise.de/software/download/gpg_mail/74690
http://www.heise.de/software/download/cryptutil/72591
CryptoPhone?
http://www.heise.de/security/dienste/Download-Seite-473433.html
oder für Apple MAC, OS X:
http://www.heise.de/software/download/macgpg/14689
http://www.heise.de/software/download/gpg_mail/74690
http://www.heise.de/software/download/cryptutil/72591

Wenn Sie Interesse an einer vorgefertigten PGP-Distribution haben kontaktieren Sie uns einfach. Das System besteht aus einer PGP-DOS Version und Envelope für Windows. Sie erstellen im Dialog Ihr eigenes Schlüsselpaar und können mit der Arbeit beginnen. Die Zusammenstellung wird auf einer 1,44MB Diskette ausgeliefert. Wir verlangen lediglich eine Selbstkostenerstattung von 50,- EUR (netto). Wenn sie mit dem Zusatzprogramm Envelope (englisch) zufrieden sind, oder es benutzen, müssen sie an den Autor Lizenzgebühren von cirka 13 bzw. 20,50 EUR zahlen. Mithin eine preiswerte Angelegenheit (schon Ihr betrieblicher EDV Kollege braucht für das Nachdenken mehr).

Suche PGP Schlüssel, Online-Datenbank (Ihre FireWall muß Port 80 und ggf. 11371 durchlassen)
# Quelle.1, # Quelle.2, # Quelle.3, # Quelle.4, # ?:Quelle.5-?.
# Quelle.6, # Quelle.7, # Quelle.8,
?: 0xDAE52D25 PGP-Key Suche nach der ID-Nummer (Es sind nicht alle Public-Key`s tatsächlich veröffentlicht.)
PGP 2.6.3.i (DOS) [1] [263-2]_??
Envelope (Windows-Oberfläche zur DOS-PGP Bedienung)
internationale PGP Seite (Amiga, MS-Windows, Macintosh, Linux, PalmOS, Unix, u.a.)
Mehr zu: "Was ist PGP?"
Spezial GnuPG+WinPT


6.) Einige unserer öffentlichen PGP Schlüssel


8.) qualifizierte elektronische Signatur gem. SigG+SigV

(X.509, S/MIME):
S/MIME Unsere Adressen für den elektronischen Geschäftsverkehr hierfür erfragen Sie bitte telefonisch.


[ Home ]
**xxx Thomas Budich **