Bedeutung von PGP (Pretty Good Privacy)

Abstract

Der Austausch digitaler Informationen ist ein wesentlicher Teil unserer Gesellschaft geworden. Zudem ist Information heute eine wertvolle Ressource. Aufgrund der hohen Transparenz des Datenverkehrs via Internet ist Datenschutz für viele doppelt wichtig geworden. Privat-Unternehmen, Ärzte, Anwälte sowie Privat-Personen sind heute ebenfalls wie Banken, der Staat, das Militär auf eine schnelle Kommunikation, wie sie in digitaler Form via Internet möglich ist, angewiesen. Dies, um Entscheide treffen zu können usw.

Es besteht reges Interesse daran, dass nur der Empfänger die Nachricht zu lesen bekommt, respektive dass die Privatsphäre geschützt bleibt. Philip Zimmermann hat mit der Erfindung von Pretty Good Privacy, kurz PGP, eine Möglichkeit geschaffen, mit welcher selbst Computerlaien ihre Daten, welche über Netze kommuniziert werden, schützen können. So hat jedermann die Möglichkeit seine Privatsphäre, den Daten- und Meinungsaustausch sowie Geschäftsabwicklungen zu schützen. Diese Arbeit gibt einen Überblick über PGP. Die Funktionsweise und die Sicherheit werden vertieft betrachtet und es wird aufgezeigt, wie PGP das Schlüsselmanagement anpackt. Sie diskutiert Angriffsszenarien und zeigt Möglichkeiten auf, diese abzuwehren oder zu verhindern. In einer Schlussdiskussion wird der Frage nachgegangen, wie sinnvoll es ist, starke Verschlüsselung, wie sie

PGP verwendet, für die breite Masse zugänglich zu machen. Weiter werden die Schattenseiten

aufgezeigt, welche sich dadurch ergeben. Aufgrund von Gesprächen mit Leuten des eidg. Datenschutzes und dessen Computersicherheitsexperten bin ich zum Entschluss gekommen, dass es falsch wäre, Verschlüsselungsmöglichkeiten wie PGP einzuschränken oder gar zu verbieten.

Druck- und Copyrightinformation

© Dezember 2002 Philipp Angstmann. Alle Rechte vorbehalten. Kein Teil der Dokumentation darf ohne schriftliche Genehmigung des Autors in irgendeiner Form (Fotokopie, Mikrofilm oder ein anderes mechanisches oder elektronisches Verfahren), auch nicht für Zwecke der Unterrichtsgestaltung, reproduziert oder unter Verwendung elektronischer Systeme verarbeitet, vervielfältigt oder verbreitet werden.

Wichtige Hinweise

Diese Dokumentation verfolgt keinerlei kommerzielle Zwecke, sämtliche Produkte- und Firmennamen werden lediglich zu Auswertungs- und Analysezwecken genannt. Der Autor weist darauf hin, dass die in der Dokumentation verwendeten Markennamen der jeweiligen Firmen im Allgemeinen marken- oder patentrechtlichem Schutz unterliegen.

In dieser Arbeit wird die eigene Betrachtungsweise geschildert. Der Autor erhebt keinen Anspruch auf die einzig richtige Interpretation und übernimmt für die Richtigkeit der Resultate keine Garantie.

Inhaltsverzeichnis

1  Einleitung  1

1.1  Allgemeine Einleitung  1

1.2  Vorgehen Methodik  1

2  PGP  2

2.1  Einleitung  2

2.2  Die Geschichte von PGP  2

2.3  Portrait und Zweck von PGP  3

2.4  Gründe zur Nutzung von PGP  3

2.5  Die Funktionsweise von PGP  3

2.5.1  Das Prinzip  3

2.5.2  Graphische Darstellung der Ver- und Entschlüsselung mit PGP  4

2.5.3  Was PGP alles einfacher macht  5

2.5.4  Die Schlüsselvergabe und Schlüsselerzeugung  5

2.5.5  Konkretes Beispiel  6

2.6  Das Schlüsselmanagement von PGP  7

2.6.1  Konzepte zur Signierung von Schlüssel  8

2.6.2  Bedeutung des Schlüsselkonzepts  8

2.6.3  Verwaltung des eigenen Schlüsselbundes  9

3  Sicherheit von PGP  10

3.1  Angriffsmöglichkeiten  10

3.1.1  Fälschung öffentlicher Schlüssel  10

3.1.2  Nicht richtig gelöschte Dateien Lücken in der physischen Sicherheit  10

3.1.3  Viren und Trojanische Pferde  10

3.1.4  Statistik von Nachrichtenverbindungen (traffic analysis)  10

3.1.5  Kryptoanalyse  11

3.1.6  Key-Logger  11

3.1.7  Sturmangriffe (tempest attacks)  11

3.2  Sicherheit  11

4  Schlussdiskussion  12

4.1  Bedeutung von PGP  12

4.1.1  PGP in der breiten Masse Vor- und Nachteile  12

4.1.2  Sinn des freien Einsatzes von PGP eine Anaylse  12

4.2  Aktuelles  13

4.3  (Offene Fragen )Vertiefungsmöglichkeiten  14

  A Literaturverzeichnisse  15

  A 1 Spezifisches Literaturverzeichnis  15

  A 2 Unspezifisches Literaturverzeichnis  15

  A 2 1 Allgemeines Literaturverzeichnis  15

  A 2 2 Literatur aus dem Internet  15

  A 2 Bilderverzeichnis  16

  B Glossar  17

Seminar Computersicherheit Bedeutung von PGP

1 Einleitung

1.1 Allgemeine Einleitung

Heute stellt Information eine der wertvollsten Waren dar. Der Austausch digitaler Informationen ist ein wesentlicher Teil unserer Gesellschaft geworden. Täglich werden Millionen von E-Mails verschickt. Das Internet stellt dafür die Infrastruktur bereit. Um die Information auf ihrer Reise um den Globus vor unbefugter Einsicht bewahren zu können, ist es wichtig, dass sie geschützt werden kann. Die Kryptographie spielt dabei die entscheidende Rolle. Sie liefert die Schlüssel und Schlösser um Information vor dritten zu sichern.

Lange Zeit war die Verschlüsselung vor allem der Obrigkeit und dem Militär vorbehalten. Heute erleichtert sie ebenfalls den Geschäftsverkehr und morgen werden sich die Durchschnittsbürger der Kryptographie bedienen.

Mit der Entwicklung der Public-Key-Kryptographie, im Besonderen des RSA-Verfahrens, haben die Kryptographen einen klaren Vorteil im Kampf gegen die Kryptoanalysten errungen. RSA liefert Schlösser, die fast nicht mehr zu knacken sind. Zumindest nicht innert vernünftiger Zeit.

1.2 Vorgehen / Methodik

Da mich mathematische Rätsel, darin eingeschlossen jene der Kryptographie, schon vor diesem Seminar begeisterten, hatte ich bereits einen gewissen Background. Aufgrund eines Brainstormings entschied ich, mich zuerst mit der Geschichte von PGP und dessen Erfinder, Phil Zimmermann, zu befassen (siehe Allgemeines Literaturverzeichnis). Basierend auf diesen ersten Nachforschungen wurde ich mir der politischen Brisanz der Verschlüsselung bewusst und mir war klar, dass ich die Sache noch von einer anderen Seite her aufrollen muss. Ich überlegte mir welche Stelle ideal sein könnte. Bevor ich aber zum Telefonhörer griff, verschaffte ich mir noch vertiefte Kenntnisse über die Thematik auf den Webseiten www.edsb.ch und www.datenschutz.ch.

Nachdem das Gespräch über die Problematik rund um die Sicherheit und Bedeutung von PGP mit dem Datenschutzbeauftragten des Kantons Bern nicht sehr ergiebig war, versuchte ich es bei der höchsten Instanz. Bei dem Mann, welcher für den Schweizer Staat bezüglich Datenschutz die Fäden in den Händen hält: Hanspeter Thür, dem eidgenössischen Datenschutzbeauftragten. Er verwies mich an Herrn Baumann, seinem Spezialisten auf dem Gebiet der Computersicherheit. Dabei kam noch besser zum Vorschein, wie zweischneidig und politisch hochbrisant PGP ist. Nach diesem Gespräch habe ich mir überlegt was der interessanteste Aspekt an Phil Zimmermann’s PGP bezüglich Computersicherheit ist. Ich bin zum Entschluss gekommen, dass die Bedeutung und Auswirkung von

PGP in unserer Gesellschaft zentral ist. So versuchte ich die Arbeit ebenfalls aus Sicht des Bürgers

darzustellen.