Nutzt ihr PGP zur E-Mail-Verschlüsselung?

|

Ein großes Thema in diesem Jahr waren sicher die Skandale rund um Prism, Tempora, die NSA und den britischen Geheimdienst. Wir alle werden wohl mehr oder weniger überwacht, unsere elektronische Kommunikation abgehört und aufgezeichnet.

Seit 1991 gibt es mit PGP ein Verfahren, um E-Mails relativ sicher zu verschlüsseln. Ok, vor den Möglichkeiten der NSA schützt es sicher auch nicht, aber vor anderen neugierigen Augen schon. Denn schliesslich muss man E-Mails, die unverschlüsselt übertragen werden, eher mit Postkarten als mit Briefen vergleichen. Jeder kann unterwegs mitlesen.

PGP nutzt ein Public-Key-Verfahren, d.h., es gibt einen öffentlichen und einen privaten Schlüssel. Den öffentlichen gebe ich bekannt, und mit diesem können dann andere ihre E-Mails an mich verschlüsseln. Entschlüsseln kann ich diese Mails dann aber nur noch mit meinem privaten Schlüssel.

Ich selber habe zwar PGP installiert und für meine E-Mail-Adressen auch Schlüssel erzeugt, allerdings kenne ich so gut wie niemanden, der das auch macht. Das ist eigentlich schade, denn ich würde das Verschlüsseln schon gerne mehr nutzen.

Wie sieht das bei euch aus?
Was haltet ihr von PGP?
Nutzt ihr das oder eher nicht?
Und wenn nicht, warum nicht?

Eure Meinung würde mich interessieren!

[poll id=“8″]

Hier noch mein Public Key. Oder hier.

13 Gedanken zu “Nutzt ihr PGP zur E-Mail-Verschlüsselung?”

  1. Zum Public Key sollte man eigentlich auch den Fingerprint dazu schreiben. 😉

    „Ich selber habe zwar PGP installiert und für meine E-Mail-Adressen auch Schlüssel erzeugt, allerdings kenne ich so gut wie niemanden, der das auch macht.“

    Wenn ich das richtig lese und du von mehreren Schlüsseln (Plural) schreibst, dann scheinst du hier einen kleinen Fehler drin zu haben. Generell sollte ein PGP-Schlüssel einer Person zugeordnet sein. Ein einziger Schlüssel kann für mehrere E-Mail-Adressen genutzt werden, was man auch so machen sollte. Dann hat man nur einen Schlüssel, ein Passwort, ein gesichertes Widerrufszertifikat und kommt nicht durcheinander.
    Wenn ich auf dem Keyserver suche, dann finde ich von dir scheinbar sehr viele Schlüssel (http://pgp.mit.edu:11371/pks/lookup?search=Wolfgang+Wagner&op=index). Das ist aber eher verwirrend, weil man nicht genau weiß, welcher Schlüssel jetzt gültig ist bzw. wirklich zu deiner Person gehört.
    Hier ein Beispiel, wie das dann aussehen kann:
    http://pgp.mit.edu:11371/pks/lookup?op=vindex&search=0x04F4D01203B62C32

    Auch sollte man Schlüssel vermeiden, welche nicht zu einer natürlichen Person gehören (z.B. info@meinefirma.de) und die von mehreren Mitarbeitern genutzt werden. Das Problem: Wenn einer dieser Mitarbeiter das Unternehmen verlässt, dann ist man eigentlich gezwungen einen neuen Schlüssel zu erstellen. Schließlich kann man sich als Unternehmen nicht sicher sein, dass der Mitarbeiter den Schlüssel nicht auf einen eigenen USB-Stick kopiert hat.

    Das Argument, PGP nicht zu verwenden, weil es kaum jemand anderes verwendet, ist nicht wirklich nachvollziehbar. Viel mehr sehe ich die in der Pflicht, die PGP verstanden haben, es den anderen Noch-nicht-Nutzern nahezulegen und sie von den Vorteilen zu überzeugen.
    Bei Kunden bringe ich da immer gerne das Argument, dass Zugangsdaten, welche via unverschlüsselter E-Mail übertragen wurden, schon potentiell kompromittiert sind. Zusätzlich weise ich darauf hin, dass ich für keine Daten oder Informationen haftbar bin, welche so unsicher übertragen werden.
    Bei Kunden geht das mittlerweile recht gut mit PGP, aber was mich noch sehr stört ist, dass sich scheinbar manche Branchen vollkommen dagegen sperren, obwohl es dort mitunter den meisten Sinn ergeben würde. Das sind meiner Erfahrung nach Banken, Steuerberater, Finanzberater, Buchhalter, Notare etc.
    Obwohl in diesen Branchen ein Großteil der E-Mails als vertraulich einzustufen ist höre ich da das Argument, dass man schließlich Steuerberater ist und kein IT-Spezialist, der sich am Abend im CCC engagiert. Man kennt sich halt damit nicht aus und hat auch keine Lust dazu. Schließlich werden da keine vertraulichen Informationen des Steuerberaters, sondern nur des Kunden verschickt.

    Als letzter Punkt: Das Widerrufszertifikat
    Ist ein Schlüssel einmal auf den Keyserver hochgeladen, so lässt sich dieser NIE wieder löschen. Mit einem Widerrufszertifikat kann man einen Schlüssel als ungültig markieren, falls der eigene private Schlüssel mal in falsche Hände gelangen sollte oder man das Passwort doch mal vergessen hat.
    Zum eigenen privaten Schlüssel sollte also direkt ein solches Zertifikat erstellt und lokal als Sicherheitskopie abgelegt werden.

    • Mit den Schlüsseln pro Person/pro E-Mailadresse habe ich dann wohl tatsächlich einen Fehler gemacht. Allerdings gehören nicht alle diese Schlüssel, die du zu meinem Namen gefunden hast, auch tatsächlich mir 😉

      Andere zur Nutzung von PGP zu „bekehren“, ist manchmal leider nicht einfach, bisher habe ich niemanden überzeugen können. Aber vielleicht können sich ja manche in Folge der ganzen Überwachungsskandale doch mal überwinden.

      • Wenn es mir persönlich wichtig ist, dann helfe ich schon dabei. Allerdings fehlt tatsächlich noch eine DAU-sichere Anleitung. Die meisten Anleitungen sind zwar korrekt, aber relativ lang und detailreich. Da schreckt der DAU schon zurück, wenn er diesen ewig langen Text sieht.
        Ich dachte auch schon daran eine möglichst kurze Schritt-für-Schritt-Anleitung zu verfassen. Allerdings wird GPG auch ab einem gewissen Punkt zu komplex, um den Text kurz zu halten. Ein Beispiel sind Subkeys. Ich hatte den Fehler gemacht mir damals einen Subkey zu erstellen, der für alles verantwortlich ist. Besser ist es aber, wenn man einen Subkey zum signieren und einen anderen Subkey zum verschlüsseln verwendet.
        Bei Unternehmen gibt es dann die Problematik der „öffentlichen Ordner“ in z.B. Exchange, der dazu dient, dass auch Mitarbeiter die geschriebenen und empfangenen Mails eines anderen Mitarbeiters lesen und nachvollziehen können, selbst wenn dieser im Urlaub ist oder das Unternehmen verlassen hat. Mit PGP würden Mitarbeiter diese Mails allerdings nicht entschlüsseln können.
        Gerade für Unternehmen käme also noch eine relativ komplexe Workflow-Änderung ins Spiel, welche ebenfalls erklärt werden muss. Dafür habe ich persönlich noch keinen akzeptablen Lösungsansatz. Man könnte das ggfs. über Regeln im Mail-Client so einrichten, dass eine versendete Mail zusätzlich unverschlüsselt in Exchange abgelegt wird. Das scheint mir aber sehr aufwendig in der Konfiguration (besonders bei mehreren Arbeitsplätzen) zu sein.

    • „Zum Public Key sollte man eigentlich auch den Fingerprint dazu schreiben.“

      Das ist im allgemeinen völlig sinnlos und angesichts der Massen Halbwissender geradezu gefährlich. Fingerprintvergleiche mit Webseiten sind natürlich irgendwie albern. Wenn man den Fingerprint erwähnt, sollte man immer darauf hinweisen, dass die Leser sich den aus einer sicheren Quelle besorgen müssen, nicht von einer Webseite.

      „Das ist aber eher verwirrend, weil man nicht genau weiß, welcher Schlüssel jetzt gültig ist bzw. wirklich zu deiner Person gehört.“

      Das ist ein absurder „Vorwurf“, weil der Schlüssel sowieso verifiziert werden muss. Es ist im Gegenteil keine besonders gute Idee, einen Haufen Adressen in dasselbe Zertifikat zu stopfen:
      http://www.openpgp-schulungen.de/inhalte/einrichtung/teilnahme/#user-ids

      „Auch sollte man Schlüssel vermeiden, welche nicht zu einer natürlichen Person gehören“

      Aber auf jeden Fall sollte man auch unpersönliche Adressen sichern. Dafür gibt es Mailgateways. Außerdem kann man regelmäßig die Verschlüsselungsschlüssel austauschen.

      „Schließlich kann man sich als Unternehmen nicht sicher sein, dass der Mitarbeiter den Schlüssel nicht auf einen eigenen USB-Stick kopiert hat.“

      Wenn man als Unternehmen nicht einmal das hinkriegt, hat man viel größere Probleme als den Schlüssel für info@.

      “ Viel mehr sehe ich die in der Pflicht, die PGP verstanden haben, es den anderen Noch-nicht-Nutzern nahezulegen“

      Dafür:
      http://www.openpgp-schulungen.de/fuer/unterstuetzer/

      „Zum eigenen privaten Schlüssel sollte also direkt ein solches Zertifikat erstellt und lokal als Sicherheitskopie abgelegt werden.“

      Ein Widerrufszertifikat kann man auch später erzeugen. Wer meint, ein Widerrufszertifikat sicher verwahren zu können (das heißt: auch sicher vor Dritten, denn es kann ohne Passphrase missbraucht werden, um den Schlüssel dauerhaft ungültig zu machen!), der sollte auch ein Backup von (geheimem) Schlüssel und Passphrase verwahren können.

    • Dein Kommentar ist versehentlich als Spam eingestuft worden, deshalb antworte ich jetzt erst darauf. Sorry!

      Genau das ist ja das Problem. Das ist in der Masse noch nicht angekommen, viele glauben, PGP sei zu kompliziert, und viele kennen es wahrscheinlich überhaupt nicht und sind sich auch der Problematik überhaupt nicht bewusst.

    • Das passt ja perfekt. Mit deinem Schlüssel lässt sich sogar direkt das Net-of-Trust erklären, was es in dieser Form nur bei PGP und nicht etwa bei S/MIME gibt:
      Ingos Schlüssel wurde von Oliver Klee signiert. Zwar habe ich Ingo persönlich nie kennen gelernt und wir konnten uns nie gegenseitig verifizieren, aber die Tatsache, dass Oliver Klee seinen Schlüssel signiert hat, erlaubt es mir nun zu entscheiden, ob ich der Signatur von Oliver Klee traue.
      Da ich gemeinsam mit Oli eine Firma gegründet habe und wir uns regelmäßig sehen, kenne ich Oli so gut, dass ich ihm und seiner Signatur vertrauen kann. Damit kann ich für mich auch entscheiden, dass ich Ingos Schlüssel vertrauen kann.

    • Das ist merkwürdig formuliert. Wenn es um einen konkretes Zertifikat geht, wird man das im allgemeinen nicht auf einer Keysigningparty machen. Da geht man hin, um das Web of Trust für sich nutzbarer und sich selbst für andere darüber besser erreichbar zu machen. Aber mit den Leuten, die man da trifft, hat man ja typischerweise gerade nicht zu tun (sonst hätte man ihren Schlüssel normalerweise längst zertifiziert).

  2. Habe das Buch in einer knappen Stunde durchgehabt. Für Einsteiger, die sich bisher noch nicht mit der Materie beschäftigt haben, vielleicht ganz gut. Verständlich erklärt und mit Beispielen angereichert. Aber wie gesagt, nur für Einsteiger geeignet.

Schreibe einen Kommentar

TYPO3 9 LTS Videotraining

Das Videotraining zu TYPO3 9 LTS

Momentan in Vorbereitung

Klicke hier für weitere Infos zum neuen Videotraining!

close-link

YouTube aktivieren?

Auf dieser Seite gibt es mind. ein YouTube Video. Cookies für diese Website wurden abgelehnt. Dadurch können keine YouTube Videos mehr angezeigt werden, weil YouTube ohne Cookies und Tracking Mechanismen nicht funktioniert. Willst du YouTube dennoch freischalten?