Hochschule Zürich
Studienbereich Technik
Fachstudium Informatik
Seminar Computersicherheit

Bedeutung von PGP

Philipp Angstmann
 04.11.03

Abstract

Der Austausch digitaler Informationen ist ein wesentlicher Teil unserer Gesellschaft geworden. Zudem ist Information heute eine wertvolle Ressource. Aufgrund der hohen Transparenz des Datenverkehrs via Internet ist Datenschutz für viele doppelt wichtig geworden. Privat-Unternehmen, Ärzte, Anwälte sowie Privat-Personen sind heute ebenfalls wie Banken, der Staat, das Militär auf eine schnelle Kommunikation, wie sie in digitaler Form via Internet möglich ist, angewiesen. Dies, um Entscheide treffen zu können usw.

Es besteht reges Interesse daran, dass nur der Empfänger die Nachricht zu lesen bekommt, respektive dass die Privatsphäre geschützt bleibt. Philip Zimmermann hat mit der Erfindung von Pretty Good Privacy, kurz PGP, eine Möglichkeit geschaffen, mit welcher selbst Computerlaien ihre Daten, welche über Netze kommuniziert werden, schützen können. So hat jedermann die Möglichkeit seine Privatsphäre, den Daten- und Meinungsaustausch sowie Geschäftsabwicklungen zu schützen. Diese Arbeit gibt einen Überblick über PGP. Die Funktionsweise und die Sicherheit werden vertieft betrachtet und es wird aufgezeigt, wie PGP das Schlüsselmanagement anpackt. Sie diskutiert Angriffsszenarien und zeigt Möglichkeiten auf, diese abzuwehren oder zu verhindern. In einer Schlussdiskussion wird der Frage nachgegangen, wie sinnvoll es ist, starke Verschlüsselung, wie sie PGP verwendet, für die breite Masse zugänglich zu machen. Weiter werden die Schattenseiten aufgezeigt, welche sich dadurch ergeben. Aufgrund von Gesprächen mit Leuten des eidg. Datenschutzes und dessen Computersicherheitsexperten bin ich zum Entschluss gekommen, dass es falsch wäre, Verschlüsselungsmöglichkeiten wie PGP einzuschränken oder gar zu verbieten.

Inhaltsverzeichnis

1 Einleitung  1
1.1 Allgemeine Einleitung  1
1.2 Vorgehen / Methodik  1

2 PGP  2
2.1 Einleitung  2
2.2 Die Geschichte von PGP  2
2.3 Portrait und Zweck von PGP  3
2.4 Gründe zur Nutzung von PGP  3
2.5 Die Funktionsweise von PGP  3
2.5.1 Das Prinzip  3
2.5.2 Graphische Darstellung der Ver- und Entschlüsselung mit PGP  4
2.5.3 Was PGP alles einfacher macht  5
2.5.4 Die Schlüsselvergabe und Schlüsselerzeugung  5
2.5.5 Konkretes Beispiel  6
2.6 Das Schlüsselmanagement von PGP  7
2.6.1 Konzepte zur Signierung von Schlüssel  8
2.6.2 Bedeutung des Schlüsselkonzepts  8
2.6.3 Verwaltung des eigenen Schlüsselbundes  9

3 Sicherheit von PGP  10
3.1 Angriffsmöglichkeiten  10
3.1.1 Fälschung öffentlicher Schlüssel  10
3.1.2 Nicht richtig gelöschte Dateien, Lücken in der physischen Sicherheit  10
3.1.3 Viren und Trojanische Pferde  10
3.1.4 Statistik von Nachrichtenverbindungen (traffic analysis)  10
3.1.5 Kryptoanalyse  11
3.1.6 Key-Logger  11
3.1.7 Sturmangriffe (tempest attacks)  11
3.2 Sicherheit 11

4 Schlussdiskussion  12
4.1 Bedeutung von PGP  12
4.1.1 PGP in der breiten Masse – Vor- und Nachteile  12
4.1.2 Sinn des freien Einsatzes von PGP – eine Anaylse  12
4.2 Aktuelles  13
4.3 (Offene Fragen / )Vertiefungsmöglichkeiten  14

A Literaturverzeichnisse  15
A.1 Spezifisches Literaturverzeichnis  15
A.2 Unspezifisches Literaturverzeichnis  15
A.2.1 Allgemeines Literaturverzeichnis  15
A.2.2 Literatur aus dem Internet  15
A.2 Bilderverzeichnis  16

B Glossar  17

1 Einleitung

1.1 Allgemeine Einleitung

Heute stellt Information eine der wertvollsten Waren dar. Der Austausch digitaler Informationen ist ein wesentlicher Teil unserer Gesellschaft geworden. Täglich werden Millionen von E-Mails verschickt. Das Internet stellt dafür die Infrastruktur bereit. Um die Information auf ihrer Reise um den Globus vor unbefugter Einsicht bewahren zu können, ist es wichtig, dass sie geschützt werden kann. Die Kryptographie spielt dabei die entscheidende Rolle. Sie liefert die Schlüssel und Schlösser um Information vor dritten zu sichern.

Lange Zeit war die Verschlüsselung vor allem der Obrigkeit und dem Militär vorbehalten. Heute erleichtert sie ebenfalls den Geschäftsverkehr und morgen werden sich die Durchschnittsbürger der Kryptographie bedienen.

Mit der Entwicklung der Public-Key-Kryptographie, im Besonderen des RSA-Verfahrens, haben die Kryptographen einen klaren Vorteil im Kampf gegen die Kryptoanalysten errungen. RSA liefert Schlösser, die fast nicht mehr zu knacken sind. Zumindest nicht innert vernünftiger Zeit. 1.2 Vorgehen / Methodik

Da mich mathematische Rätsel, darin eingeschlossen jene der Kryptographie, schon vor diesem Seminar begeisterten, hatte ich bereits einen gewissen Background. Aufgrund eines Brainstormings entschied ich, mich zuerst mit der Geschichte von PGP und dessen Erfinder, Phil Zimmermann, zu befassen (siehe Allgemeines Literaturverzeichnis). Basierend auf diesen ersten Nachforschungen wurde ich mir der politischen Brisanz der Verschlüsselung bewusst und mir war klar, dass ich die Sache noch von einer anderen Seite her aufrollen muss. Ich überlegte mir welche Stelle ideal sein könnte. Bevor ich aber zum Telefonhörer griff, verschaffte ich mir noch vertiefte Kenntnisse über die Thematik auf den Webseiten www.edsb.ch und www.datenschutz.ch. Nachdem das Gespräch über die Problematik rund um die Sicherheit und Bedeutung von PGP mit dem Datenschutzbeauftragten des Kantons Bern nicht sehr ergiebig war, versuchte ich es bei der höchsten Instanz. Bei dem Mann, welcher für den Schweizer Staat bezüglich Datenschutz die Fäden in den Händen hält: Hanspeter Thür, dem eidgenössischen Datenschutzbeauftragten. Er verwies mich an Herrn Baumann, seinem Spezialisten auf dem Gebiet der Computersicherheit. Dabei kam noch besser zum Vorschein, wie zweischneidig und politisch hochbrisant PGP ist. Nach diesem Gespräch habe ich mir überlegt was der interessanteste Aspekt an Phil Zimmermann’s PGP bezüglich Computersicherheit ist. Ich bin zum Entschluss gekommen, dass die Bedeutung und Auswirkung von PGP in unserer Gesellschaft zentral ist. So versuchte ich die Arbeit ebenfalls aus Sicht des Bürgers darzustellen. 

2 PGP

2.1 Einleitung

Nichts an PGP war eigentlich neu. Doch Zimmermann war der erste, der alles in ein handliches, für Laien bedienbares Produkt packte. Dieses verbraucht zudem so wenige Ressourcen, dass es auf einem normalen PC lauffähig ist und ebenfalls extrem schnell ist. Zimmermann fand eine pfiffige Methode zur Beschleunigung der Verschlüsselung. Wer viele E-Mails verschlüsseln will oder muss, brauchte mehrere Minuten pro E-Mail, PGP schafft es innert weniger als einer Minute. 

2.2 Die Geschichte von PGP

Phil Zimmermann, ein Computerfachmann aus Colorado USA, war der Meinung, dass jedermann das Recht auf Privatsphäre habe. Diese wird im Bereich des Internet durch RSA am besten geschützt. Nur benötigte RSA sehr leistungsfähige Computer, so dass zu deren Nutzung nicht alle die Möglichkeit hatten. So steckte er in den späten achtziger Jahren seine Energien in die Entwicklung einer ressourcenarmen RSA - Verschlüsselungssoftware für die breite Öffentlichkeit. Durch eine besonders andwendungsfreundliche Benutzeroberfläche sollte zudem eine einfache Anwendung garantiert werden.

1991 wagte Zimmermann den entscheidenden Schritt und veröffentlichte als Freeware Version 1.0. Er taufte sein Projekt „Pretty Good Privacy“, kurz PGP. Inspiriert zu dieser Namensgebung wurde Zimmermann durch eine Radioshow namens „Pretty Good Groceries“, die er gerne hörte. Es dauerte einige Zeit bis PGP grosses Aufsehen erregte und sich immer mehr Internetz-Nutzer die Software herunter luden. Im Feb. 1993 bekam Zimmermann von Ermittlern des FBI, welche ihn des Patenmissbrauchs bezichtigten (RSA war geschützt und Zimmermann hätte eine Lizenz gebraucht) besuch. Die viel schwerwiegendere Anschuldigung war allerdings, dass er illegal eine Waffe exportiert haben soll. PGP war auch ins amerikanische Ausland gelangt. Da starke Verschlüsselung in den USA zu den Rüstungsgütern zählt, bräuchte es eine Sondergenehmigung. Die Jury schaffte es jedoch wegen Mangel an Beweisen nicht, Zimmermann vor Gericht zu bringen. So wurde das Verfahren nach 3 Jahren eingestellt.

Das Patentvergehen regelte Zimmermann durch einem Zusammenschluss mit ViaCrypt (Patentrechtinhaber von RSA). 1996 gründete er eine eigene Firma namens „PGPincluded“, welche er dann im Dez. 1997, nachdem PGP nach 10 Jahren Entwicklungszeit erstmals mit einer graphischen Benutzeroberfläche auf den Markt gekommen ist, an Network Associates verkaufte. Zimmermann hatte dadurch sein Ziel erreicht. Nach dem Erscheinen der verbesserten Version 7.0 stieg Zimmermann aus dem Entwicklungsteam aus.

Am 13.12.1999 wurde von der amerikanischen Regierung für PGP eine uneingeschränkte Exportlizenz erteilt. Seit einigen Wochen steht auf www.pgpi.com die völlig überarbeitete und noch bedienerfreundlichere Version 8.0 von PGP zum herunterladen bereit. Zu den rund 40 Neuerungen und Verbesserungen gehören die volle Kompatibilität zu Windows XP und Office XP. Ausserdem wurden die Unicode-Unterstützung und die Zusammenarbeit mit Lotus Notes verbessert.

[....]