Sicher kommunizieren mit PGP
Die E-Mail hat sich als Medium für die geschäftliche Kommunikation längst durchgesetzt. Die Korrespondenz ist schnell und unkompliziert. Es können Anhänge verschickt oder mehrere Empfänger gleichzeitig adressiert werden. Aber ist diese Form der Kommunikation auch sicher? Eher nicht - jedenfalls, wenn man sich nur auf die üblichen Mail-Programme verlässt.
Wer Daten sicher über das Internet senden will, muss diese verschlüsseln. HTTPS sorgt für einen sicheren Transport der Daten, gewährleistet aber nicht, dass nur der richtige Empfänger die Daten öffnen kann. Sie werden damit nach der Zustellung auch für Unbefugte zugänglich und lesbar. Um insbesondere sensible Daten zu schützen, hilft eine Verschlüsselung von Dateien und E-Mails mit PGP.
Wer Daten sicher über das Internet senden will, muss diese verschlüsseln. HTTPS sorgt für einen sicheren Transport der Daten, gewährleistet aber nicht, dass nur der richtige Empfänger die Daten öffnen kann. Sie werden damit nach der Zustellung auch für Unbefugte zugänglich und lesbar. Um insbesondere sensible Daten zu schützen, hilft eine Verschlüsselung von Dateien und E-Mails mit PGP.
Asymmetrisches Verfahren für mehr Sicherheit
PGP steht für „Pretty good Privacy“ und ist ein Verfahren zur Verschlüsselung und zum Unterschreiben von Daten. Wie der Name sagt, soll eine „ziemlich gute Privatsphäre“ gewahrt werden, indem die Daten geschützt und die Identität des Absenders verifiziert wird. PGP verwendet dazu ein asymmetrisches Verfahren mit zwei verschiedenen Schlüsseln: einen öffentlichen und einen privaten. Der öffentliche PGP-Schlüssel ist allgemein zugänglich und dient ausschließlich zum Verschlüsseln, der private befindet sich im eigenen Besitz und dient zum Entschlüsseln.
Die Verschlüsselung in der Theorie
Die Klartextnachricht und mögliche Dateianhänge werden nun mit dem zufällig generierten Session Key symmetrisch zum Geheimtext verschlüsselt. Da es sich um einen zufällig erstellten einmaligen Schlüssel handelt, muss dieser dem Empfänger mitgeteilt werden. Dazu wird der Session Key mit dem öffentlichen Schlüssel des Empfängers asymmetrisch verschlüsselt und der verschlüsselten Nachricht vorangestellt.
Diese Art der PGP-Verschlüsselung ist nicht nur auf E-Mails und Dateien beschränkt, auch das Signieren ist möglich. Die Signatur ist wie ein digitaler Fingerabdruck und hilft dabei, die Echtheit der Nachricht zu garantieren, Dadurch wird sichergestellt, dass sie 1. vom behaupteten Absender ist (Authentizität) und 2. nicht verändert wurde (Integrität).
Um PGP im Alltag anzuwenden, sind folgende Schritte erforderlich:
- Schritt 1: Die passende PGP-Software auswählen und installieren
Am Anfang steht die Suche nach einer geeigneten PGP-Software, die sowohl mit dem genutzten Betriebssystem als auch mit dem verwendeten E-Mail-Programm kompatibel sein muss. - Schritt 2: Schlüsselpaar erzeugen
Der private Schlüssel wird im eigenen System archiviert, während der öffentliche per Mail an befreundete Kontakte weitergeleitet wird oder irgendwo abrufbar ist. Zudem müssen die involvierten Kontakte ihrerseits ebenfalls die PGP-Verschlüsselung nutzen und den öffentlichen Key importiert haben. - Schritt 3: Passwortschutz des privaten Schlüssels
Der private Schlüssel sollte mit einem ein Zugangs-Password geschützt werden, um unerwünschten Zugriff zu verhindern, falls er in fremde Hände fällt. Auch bei diesem Passwort sollten die üblichen Anforderungen an sichere Passwörter angewendet werden (Groß-/Kleinschreibung, Zahlen, Sonderzeichen usw.) - Schritt 4: PGP anwenden
Wenn die ersten Schritte erfolgt sind, ist der Versand einer verschlüsselten E-Mail unkompliziert. Die E-Mail wird wie gewohnt geschrieben und mit dem Anklicken des PGP-Buttons verschlüsselt. Das Programm sucht automatisch in einer Art „Schlüsselbund“ mit den Schlüsseln der bekannten Personen nach dem jeweiligen öffentlichen Schlüssel des Empfängers.
Auch wenn die Verschlüsselung in der Theorie etwas kompliziert erscheinen mag, ist PGP in der Anwendung sehr einfach und erhöht die Sicherheit mit wenig Aufwand. Wenn Sie Fragen zu geeigneten PGP-Programmen oder der Anwendung allgemein haben, dann sprechen Sie Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! an.