Wir, der FoeBuD e.V. in Bielefeld - mit ganzem Namen: Verein zur Förderung des bewegten und unbewegten Datenverkehrs - sind kein Computerclub im üblichen Sinne. Bei uns treffen sich nicht nur Technikinteressierte, sondern Menschen mit unterschiedlichsten Interessen, die sich in den Bereichen Umwelt, Menschenrechte, Politik, Wissenschaft, Kunst und Kultur engagieren, Männer wie Frauen.

Die vom FoeBuD betriebene MailBox //BIONIC ist Gründungsmitglied in der Arbeitsgemeinschaft Freier MailBoxen e.V. (AGFMB), in deren Statuten u.a. die Achtung der freien Meinungsäußerung, des Datenschutzes, der Privatsphäre, des Jugendschutzes, der Menschenwürde und der informationellen Selbstbestimmung verankert sind. Elektronische Post kann mit sehr viel weniger Aufwand von Unbefugten gelesen - oder auch nur nach bestimmten Stichworten durchsucht - werden als herkömmliche Briefe. Zur Wahrung des Fernmeldegeheimnisses empfehlen wir deshalb dringend die Verwendung eines geeigneten Verschlüsselungsprogrammes, sozusagen als elektronischen Briefumschlag. PGP ist schnell, hinreichend sicher und bietet Ihnen die Möglichkeit, vertrauliche Nachrichten auch mit Menschen auszutauschen, die sie vorher nicht persönlich getroffen haben.

Wer mehr über den FoeBuD e.V., die //BIONIC MailBox und unsere monatliche Veranstaltung PUBLIC DOMAIN wissen möchte, findet dazu Informationen im Anhang ab.

Wir wünschen Ihnen viel Spaß beim Lesen der Anleitung und Erfolg beim Anwenden von Pretty Good Privacy!

Bielefeld, im November 1994

Falls es zu einem Prozeß kommt, wird dies einer der wichtigsten Prozesse sein, die in letzter Zeit um Kryptographie, um den effizienten Schutz des Briefgeheimnisses und um den freien Fluß von Informationen und Ideen im Globalen Dorf nach Ende des kalten Krieges geführt wurden. Dieser Prozeß wird von großer Bedeutung sein, sowohl für diejenigen von uns, die sich für die Idee des effektiven Schutzes der Privatsphäre im Kommunikationsbereich einsetzen, als auch für Philip, dem eine Haftstrafe für seine uneigennützige und erfolgreiche Entwicklung von "Kryptographie für die Massen" droht, auch als PGP bekannt. Exportbeschränkungen müssen dafür herhalten, die Verfügbarkeit von effektiver kryptographischer Technologie zu beschneiden: Der Zoll vertritt die Auffassung, daß die Veröffentlichung eines kryptographischen Programms im Internet mit seinem Export gleichzusetzen ist. Philip hat als erster keine Risiken und Mühen gescheut, wirklich effektive Werkzeuge zu entwickeln, die unserer Kommunikation den Schutz vor neugierigen Augen geben, und das in einer politischen Situation, in der dieser Schutz immer größeren Anfeindungen ausgesetzt ist, in einer Situation, in der die US-Regierung mit dem Clipper-Chip und Gesetzentwürfen zum digitalen Telefon auf unsere Sorgen und Befürchtungen antwortet.(*) Die Zeit ist gekommen, daß wir alle gemeinsam die Last mit Philip teilen.

(*)
Der Clipper Chip dient der Verschlüsselung von Daten und Telefongesprächen. Er ist so konstruiert, daß Regierungsbehörden in der Lage sind, alle clipper-verschlüsselten Daten zu entschlüsseln. d.Ü.

Schecks und Zahlungsanweisungen sollten nicht für Philip Zimmermann ausgestellt werden, sondern für seinen Anwalt, Philip Dubois. Seine Adresse lautet:

Philip Dubois
2305 Broadway
Boulder, CO USA 80304
Tel.: 001-303-444-3885)

Überweisungen können auf folgendes Konto erfolgen:

Bank: VectraBank
Routing #: 107004365
Account #: 0113830
Account Name: "Philip L. Dubois, Attorney Trust Account"

Falls nach Abschluß des Verfahrens Geld übrig bleibt, wird es an die Spender entsprechend ihrem Beitrag zum Fond anteilig zurückgezahlt.

Sie können anonym spenden oder auch namentlich, aber bitte - spenden Sie reichlich. Wenn Sie die Ziele, für die PGP steht, und die Ideen, die seine Entwicklung anregten, bewundern, drücken Sie Ihre Unterstützung durch einen Beitrag zu diesem Fond aus.

Hugh Miller (hmiller@orion.it.luc.edu)

PGP ist ein hoch professionell geschriebenes Programm, das kostenlos ist. Freeware von vergleichbarer Qualität und vergleichbarem Verbreitungsgrad ist sehr selten. Wir möchten deshalb alle Nutzerinnen von PGP auffordern, zu überlegen, was sie für die Registrierung eines Sharewareprogramms vergleichbarer Qualität zahlen würden, oder wieviel Geld sie für ein vergleichbares Produkt, das es nur gegen Geld gibt, zahlen würden. Diesen Betrag sollten sie dann Philips Anwalt überweisen. (Wobei mehr Geld natürlich auch nicht falsch ist.)

(Die Anregung für diese "Bemessungsgrundlage" stand irgendwann mal in /T-NETZ/PGP/ALLGEMEIN. Leider wissen wir nicht mehr, von wem sie stammt.)

Inzwischen gibt es einige Initiativen und Personen, die Sammelüberweisungen anbieten, um die Überweisungskosten niedrig zu halten. Beispielsweise hat der FoeBuD e.V. (Verein zur Förderung des bewegten und unbewegten Datenverkehrs, Marktstraße 18, 33602 Bielefeld) ein Spendenkonto eingerichtet:

FoeBuD e.V.
Sparkasse Bielefeld
Kontonummer 2134187
BLZ 48050161

Die auf diesem Konto eingehenden Gelder werden in regelmäßigen Abständen auf das oben genannte Konto von Philip Dubois, dem Anwalt Philip Zimmermanns, weitergeleitet.

Informationen zur Lizensierung von PGP, Distribution, Copyrights, Warenzeichen, Gewährleistungen und Exportbeschränkungen enthält der Abschnitt "Rechtsfragen".

Für MS-DOS gibt es mittlerweile mindestens zwei gute Freeware-Programme für die Verschlüsselung von Daten auf Festplatten und Disketten, SFS und Secure Drive. Secure Drive kommt aus den USA, unterliegt also den US-Exportrestriktionen.

Für Amiga-DOS gibt es die Möglichkeit, das xfh-Filesystem zweckentfremdet zu benutzen und die xpkIDEA.library als Packer einzustellen. Diese verwendet denselben Algorithmus wie PGP.

batch file	Stapeldatei
directory	Verzeichnis
environment variable	Umgebungsvariable
exit code	Beendigungscode
file name extension	Namenserweiterung / Suffix
fingerprint	Fingerabdruck
grassroot organization	politische Basisorganisation
key compromise / revocation cerificate	Schlüssel-Rückrufurkunde
key ring	Schlüsselbund
message digest	Textprüfsumme
pass phrase	Mantra
public key ring	öffentlicher Schlüsselbund
private key ring	geheimer Schlüsselbund
swapfile	Auslagerungsdatei

Wir waren uns uneinig über die Verwendung maskuliner und femininer Formen bei Begriffen wie "Anwender" oder "Programmiererin". In dieser Anleitung in der gedruckten Form wird nicht die im Deutschen immer häufiger anzutreffende Schreibweise "AnwenderIn" verwendet, sondern eine Mischung nach dem Zufallsprinzip. In jedem Fall sind beide Geschlechter gemeint.

Algorithmus: Eine Rechenvorschrift.

Angriff: Der Versuch, verschlüsselte oder anderweitig nicht offen zugängliche Daten zu erhalten, d.h. sie ohne Berechtigung zu lesen oder zu kopieren.

Klartext: Mit Klartext ist im Zusammenhang mit Verschlüsselung von Computerdaten nicht nur Text im Sinne von "für den Menschen lesbar" gemeint, sondern alle nicht verschlüsselten Daten. PGP verschlüsselt einzelne Dateien, so daß "Klartext" in diesem Handbuch und allgemein bei der Benutzung von PGP als "unverschlüsselte Datei" gelesen werden kann.

Kryptoanalyse: Methoden und Verfahren, um chiffrierte Daten ohne vorherige Kenntnis des Schlüssels zu entschlüsseln.

Kryptologie: Die Lehre von der Verschlüsselung.

Kryptographie: Die praktische Anwendung der Kryptologie.

Nachricht: Mit "Nachricht" ist im Rahmen dieses Handbuches eine einzelne - verschlüsselte oder unverschlüsselte - Datei gemeint.

Hinweis: Die Begriffe "geheimer Schlüssel" und "privater Schlüssel" meinen dasselbe.

Wir haben uns Mühe gegeben, Begriffe mit wohldefinierter Bedeutung für PGP eindeutig zu wählen. Formulierungen wie "10 verlorene Bereiche in 8 Bereichen" (dies verlautbarten ältere Versionen des MS-DOS-Programms CHKDSK) haben sich hoffentlich nicht eingeschlichen.

Philip Zimmermann schreibt an einigen Stellen in der ersten Person. Wir haben diese Form beibehalten. Bei Formulierungen wie "Aber ich nehme an, daß IDEA besser als DES ist" ist unter "ich" also Philip Zimmermann zu verstehen. An manchen Stellen haben wir Philip Zimmermanns originalen Text ergänzt. Diese Stellen sind durch Fußnoten oder durch eine kleinere Schrift gekennzeichnet.

Anfänger stehen bei PGP aber häufig vor einem ganzen Berg von Fragen: Wer kann mit dem öffentlichen Schlüssel was anfangen, wozu dient der private Schlüssel, weshalb muß ich beim Unterschreiben ein Mantra angeben usw. Viele dieser Fragen lassen sich durch sorgfältiges Lesen des Handbuches und der FAQs beantworten. Trotzdem können Verständnisprobleme bestehen bleiben. Hier bietet es sich an, ein wenig mit PGP zu "spielen". Weil PGP ein Programm für die Verschlüsselung von Nachrichten ist, sollten Sie beim Ausprobieren auch Nachrichtenversand spielen: Richten Sie mehrere Verzeichnisse auf Ihrer Festplatte ein, die jeweils die Texte und die PGP-Programmdateien einer fiktiven Nutzerin enthalten. Unter MS-DOS beispielsweise:

C:\PGPTST\WILLI
C:\PGPTST\SABINE
C:\PGPTST\OSKAR
C:\PGPTST\HELGA
Erzeugen Sie für alle Personen ein PGP-Schlüsselpaar, tauschen Sie die Schlüssel unter den Personen aus, schreiben Sie z.B. "als Sabine" einen Brief an Willi, verschlüsseln Sie den Brief für Willi, kopieren Sie den verschlüsselten Brief mit dem COPY-Befehl o.ä. in das Verzeichnis von Willi, und entschlüsseln Sie "als Willi" wieder den Brief.

Probieren Sie auch andere Funktionen von PGP aus: Unterschriften unter Schlüssel, Versand einer Nachricht an mehrere Empfänger etc.

Die Arbeit an der Übersetzung hat uns Spaß gemacht, nicht zuletzt, weil Philip Zimmermanns originaler Text gut lesbar und sehr informativ ist. Wir hoffen, daß die deutsche Version nicht zu hohe Qualitätsverluste aufweist.

Christopher Creutzig (c.creutzig@bionic.zer.de)
Abel Deuring (a.deuring@bionic.zer.de)

Ebenfalls im Gegensatz zu herkömmlicher Verschlüsselungstechnik werden keine abhörsicheren Kanäle gebraucht, durch die Schlüssel ausgetauscht werden, da PGP ein System mit öffentlichen Schlüsseln nutzt. PGP verbindet die Bedienungsfreundlichkeit von RSA(*) mit der Geschwindigkeit konventioneller Kryptographie(**) und verwendet ein Verfahren zur Generierung von Textprüfsummen(***), um elektronische Unterschriften zu erzeugen. Es komprimiert die Daten vor der Verschlüsselung, ist benutzerfreundlich, hat eine komfortable Schlüsselverwaltung und ist portabel. Die Implementierung des RSA-Algorithmus bei PGP arbeitet schneller als die meisten RSA-Implementierungen in anderen Programmen. Sie können von Ihrem PC, der beispielsweise unter MS-DOS läuft, einen Text verschlüsselt an einen Bekannten senden, der diesen auf seinem Amiga entschlüsseln kann. Oder Sie senden einen Text an die Uni, den Sie für wichtig halten und deshalb unterschreiben möchten - kein Problem, wenn die Uni PGP installiert hat, kann die Empfängerin Ihre Unterschrift auch auf einer Unix-Maschine prüfen. Und PGP ist schnell. PGP ist das Kryptographiesystem für jedermann und jedefrau.

(*)
ein Algorithmus für Systeme mit öffentlichen Schlüsseln, der von Rivest, Shamir und Adleman entwickelt wurde und als sehr sicher gilt

(**)
d.h. ohne öffentliche Schlüssel arbeitende Kryptographie

(***)
Bei PGP wird das Verfahren "Message Digest 5" verwendet

(*)
In sehr viele E-Mail-Programme kann PGP mittlerweile recht komfortabel eingebunden werden. Für Unix finden Sie hierzu näheres im Verzeichnis contrib des PGP- Programmpaketes. Das Datenaustauschformat ZCONNECT(r) ist mittlerweile dahingehend erweitert worden, daß Verschlüsselungsprogramme und insbesondere PGP in kommende Versionen von Pointprogrammen noch besser eingebunden werden können.

Und wenn Sie sich davor sträuben, Ihre privaten Mails zu verschlüsseln: Warum verwenden Sie eigentlich Briefumschläge? Nehmen wir einmal an, es sei die gängige Ansicht, brave Bürger bräuchten keine Briefumschläge zu verwenden. Wenn nun irgend jemand aus irgendeinem Grund einen Briefumschlag verwenden würde (mehrere Blätter, ein Liebesbrief, den die Mutter des Adressaten nicht lesen soll etc.), dann wäre dies höchst verdächtig. Glücklicherweise verwenden die meisten Menschen Briefumschläge, doch bei elektronischen Briefen ist dies bislang noch nicht der Fall. Dabei sind die elektronischen Datenwege sehr viel leichter zu überwachen (rein technisch) als konventionelle Briefpost, und elektronische Nachrichten können auch sehr schnell auf bestimmte Schlüsselwörter durchsucht werden. Und: Gehen Sie eigentlich regelmäßig zum AIDS-Test? Möchten Sie sich auf illegalen Drogenkonsum untersuchen lassen? Verlangen Sie nicht einen richterlichen Durchsuchungsbefehl, wenn die Polizei bei Ihnen eine Hausdurchsuchung machen will? Haben Sie am Ende etwas zu verbergen? Wahrscheinlich sind Sie ein Drogendealer, ein Falschparker oder ein Subversiver, wenn Sie Briefumschläge benutzen.

Was wäre, wenn es der allgemeinen Auffassung entspräche, rechtschaffene Bürger sollten all ihre Post auf Postkarten schreiben? Wenn ein braver Mensch auf die Idee käme, sein Briefgeheimnis durch einen Umschlag zu schützen, wäre das höchst verdächtig. Sicherheitsbehörden würden vielleicht jeden Briefumschlag öffnen, um zu kontrollieren, was er verbirgt. Glücklicherweise leben wir nicht in so einer Welt - die meisten Menschen verwenden Briefumschläge, so daß ein Briefumschlag auch nichts Verdächtiges ist. Es wäre schön, wenn alle E-Mail verschlüsselt würde, ob sie nun verbotene Nachrichten enthält oder nicht, so daß die Verschlüsselung von E-Mail genauso wenig verdächtig wird wie das Verwenden Briefumschlägen.

Wenn Sicherheitsbehörden das Brief- oder Telefongeheimnis brechen wollen, müssen sie einigen Aufwand treiben. Sie müssen den Umschlag unter Wasserdampf öffnen, den Brief lesen und den Umschlag wieder zukleben. Das Abhören von Telefongesprächen ist sehr zeitintensiv, und auch eine Transskription kostet Zeit. Eine so arbeitsintensive Überwachung kann nicht im großen Stil betrieben werden. Nur in wichtigen Fällen ist sie durchführbar.

Ein immer größerer Teil unserer Privatkommunikation läuft über E-Mail. E-Mail aber läßt sich sehr leicht überwachen. Die Suche nach verdächtigen Schlüsselworten ist kein Problem. Das kann ganz einfach routinemäßig und vollautomatisch in großem Maßstab durchgeführt werden, ohne daß es irgendwie auffällt. Internationale Kommunikationswege werden so von der National Security Agency (NSA) abgehört.

Wir werden bald den "Information Superhighway" haben, der Amerika kreuz und quer mit Glasfaserkabeln überzieht und die allgegenwärtigen PCs verbindet. E-Mail wird allgemeiner Standard werden. Regierungsbehörden werden für die Verschlüsselung unserer Nachrichten ihre eigene Technologie empfehlen. Viele Leute mögen dieser Technologie vertrauen. Aber andere werden es vorziehen, ihre eigene Wahl zu treffen.

Die Gesetzesvorlage 266, die 1991 im US-Senat vorgelegt wurde, enthält ein paar beunruhigende Regelungen. Wäre der Entwurf verabschiedet worden, wären die Hersteller von abhörsicherer Kommunikationstechnik verpflichtet gewesen, in ihre Produkte "Falltüren" einzubauen, mit deren Hilfe die Regierung sämtliche Verschlüsselungen hätte knacken können. Im Wortlaut: "Der Senat ist der Ansicht, daß die Anbieter elektronischer Kommunikation und die Hersteller elektronischer Kommunikationsgeräte sicherstellen müssen, daß die Regierung Zugriff auf die entschlüsselte Sprachübertragung, Daten- und andere Kommunikation hat, sofern hierfür eine Gesetzesgrundlage vorhanden ist." Diese Vorlage wurde nach heftigen Protesten von Bürgerrechtsgruppen und Industrieverbänden zurückgezogen.

1992 legte das FBI dem Kongreß einen Gesetzentwurf zum Abhören von Telefonen vor. Dieses Gesetz sollte alle Hersteller von Kommunikationsgeräten verpflichten, Vorrichtungen in die Geräte einzubauen, die es jeder FBI-Dienststelle ermöglichen, elektronische Kommunikation abzuhören. Obwohl auch diese Vorlage im Kongreß kaum auf Resonanz stieß, wurde sie 1993 erneut vorgelegt.

Besonders besorgniserregend ist ein neuer Vorstoß des Weißen Hauses, der von der National Security Agency (NSA) jahrelang vorbereitet und am 16. April 1993 veröffentlicht wurde. Kernstück ist eine von staatlicher Seite entworfene Verschlüsselungstechnologie namens Clipper, die nach einem geheimgehaltenen Verfahren arbeitet. Die Regierung fordert die Komunikationsindustrie auf, diesen Chip in alle Geräte einzubauen, die "sichere" Kommunikation ermöglichen sollen, wie Telefone, Faxgeräte usw. AT&T baut diesen Chip schon jetzt in "abhörsichere" Telefone ein.

AT&T hatte zuvor ein wahrscheinlich sichereres Verfahren entwickelt, das auf "sanften" Druck von staatlicher Seite fallengelassen wurde. d.Ü.

Der Haken bei Clipper: Bei der Herstellung bekommt jeder Chip seinen individuellen Schlüssel, und die Regierung erhält Kopien dieser Schlüssel, um abhören zu können. Aber keine Sorge - die Regierung verspricht, daß diese "Zweitschlüssel" nur ordnungsgemäß entsprechend den rechtlichen Bestimmungen eingesetzt werden. Damit Clipper für die Behörden den vollen Nutzen entfalten kann, wäre der nächste logische Schritt ein Verbot anderer Formen von Kryptographie. Nach offiziellen Statements ist das allerdings nicht geplant.

Wenn Privatsphäre zum Gesetzesbruch wird, werden nur Gesetzesbrecher Privatsphäre genießen können. Geheimdienste, Militär, Drogenkartelle, große Wirtschaftsunternehmen, sie alle haben gute Kryptographiesysteme. Nur normale Menschen und politische Basisorganisationen sind davon ausgenommen - waren davon ausgenommen, denn nun gibt es PGP.

Das ist der Grund, warum PGP geschrieben wurde, und das ist auch der Grund, warum Sie PGP nutzen sollten.

Zunächst sollten einige Begriffe geklärt werden. Nehmen wir einmal an, ich möchte Ihnen eine Nachricht schreiben, die sonst niemand lesen können soll. Hierzu kann ich die Nachricht "verschlüsseln" oder "codieren"(*), das heißt, ich verändere sie nach einem hoffnungslos komplizierten System, so daß niemand etwas damit anfangen kann, ausgenommen Sie, der beabsichtigte Empfänger der Nachricht. Ich verwende einen Schlüssel, und Sie müssen diesen Schlüssel ebenfalls benutzen, um die Nachricht zu entschlüsseln. Zumindest bei herkömmlichen symmetrischen, mit einem einzigen Schlüssel arbeitenden Systemen.

(*)
Das Wort "codieren" hat eine Doppelbedeutung: Es beudeutet einerseits "in einer bestimmten Form darstellen" und andererseits "verschlüsseln". In diesem Handbuch wird es meist im Sinne von "verschlüsseln" verwendet.

In Systemen mit öffentlichen Schlüsseln (asymmetrische Systeme) gibt es für jeden Teilnehmer ein Schlüsselpaar, bestehend aus einem öffentlichen und einem geheimen Schlüssel. Was mit dem einen Schlüssel verschlüsselt wurde, kann nur mit dem dazugehörigen anderen Schlüssel entschlüsselt werden. Den öffentlichen Schlüssel zu kennen reicht nicht aus, um die damit verschlüsselten Nachrichten lesen zu können. Der geheime Schlüssel läßt sich idealerweise nicht aus dem öffentlichen Schlüssel berechnen. Moderne Verfahren wie die in PGP verwendeten kommen, richtig angewendet, diesem Ideal sehr nahe. Deshalb kann der öffentliche Schlüssel ohne Bedenken verbreitet werden (darum heißt er öffentlich), womit ein sehr viel geringerer Bedarf an sicheren Transportwegen besteht als bei herkömmlichen Systemen.

Weiterhin gibt es die Möglichkeit, eine Nachricht zu "unterschreiben". Hierzu kann der Absender einer Nachricht diese mit seinem privaten Schlüssel codieren, und jeder Empfänger kann die Echtheit des Absenders dadurch prüfen, daß er versucht, die Nachricht mit dessen öffentlichen Schlüssel zu decodieren. Wenn dies gelingt, ist die Nachricht mit dem privaten Schlüssel codiert, also unterschrieben worden. Der Absender ist echt.

Diese beiden Schritte können natürlich miteinander kombiniert werden, um Briefgeheimnis und Authentizität des Absenders zu gewährleisten: Die Nachricht wird zunächst mit dem eigenen privaten Schlüssel codiert und diese unterschriebene Nachricht anschließend mit dem öffentlichen Schlüssel der Empfängerin codiert. Diese decodiert die Nachricht zunächst mit ihrem privaten Schlüssel und anschließend mit dem öffentlichen Schlüssel des Absenders. PGP erledigt dies automatisch.

Da alle bisher bekannten asymmetrischen Algorithmen deutlich langsamer arbeiten als herkömmliche Verschlüsselungsalgorithmen, bietet es sich an, die eigentliche Verschlüsselung mit einem guten und schnellen herkömmlichen System vorzunehmen. PGP generiert für jede Verschlüsselung hierzu einen zufällig ausgewählten Schlüssel, der nur ein einziges Mal verwendet wird, und verschlüsselt hiermit die Nachricht. Anschließend wird dieser Wegwerf-Schlüssel mit dem öffentlichen Schlüssel des Empfängers codiert und in die verschlüsselte Nachricht hineingeschrieben. Der Empfänger kann nun mit Hilfe seines privaten Schlüssels den Einmal-Schlüssel wieder herstellen und die gesamte Nachricht entziffern. Dieser ganze Vorgang ist für den Benutzer nicht sichtbar.

Viele Leute haben sich Gedanken gemacht und mich gefragt, ob die Verwendung eines asymmetrischen Verfahrens die Sicherheit von PGP nicht beeinträchtigt.Wenn der schnellste Weg, um IDEA zu brechen, der ist, alle möglichen Schlüssel zu testen - und danach sieht es aus -, dann ist der Aufwand, um eine IDEA-Verschlüsselung zu brechen, in etwa damit vergleichbar, einen RSA-Schlüssel von 3100 Bit zu faktorisieren. IDEA ist damit nicht als Schwachstelle in PGP anzusehen. Der große Vorteil von asymmetrischen Verfahren wie RSA liegt nicht in der Sicherheit, die sie bieten, sondern in der enormen Vereinfachung der Schlüsselübergabe. Die Verwendung von IDEA für die eigentliche Verschlüsselung schwächt PGP keinesfalls ab.(*)

(*)
Das Verfahren, ein symmetrisches und ein asymmetrisches Verfahren so zu koppeln (Hybridverfahren), ist durchaus üblich. Eine reine RSA-Kodierung würde sogar Sicherheitsprobleme mit sich bringen. Außerdem wäre die Verschlüsselung einer Nachricht an mehrere Empfänger nicht mehr ohne weiteres möglich. d.Ü.

Weiterhin hat jeder Schlüssel eine Kennung, die aus den letzten 64 Bit des Schlüssels besteht, von denen bis zur Version 2.4 nur die letzten 24 Bit angezeigt wurden, z.B. e93239(*). Diese Kennung verwendet PGP intern, um die Schlüssel voneinander zu unterscheiden. Zwei verschiedene Schlüssel können dieselbe Benutzer-ID haben, die Kennung aber ist aller Wahrscheinlichkeit nach stets verschieden.

(*)
Ab Version 2.5 werden die letzten 32 Bit angezeigt, z.B.6ce93239

Ebenso entschlüsselt die Software der Empfängerin ankommende Nachrichten automatisch. Bei diesen wird an den Anfang der Nachricht ebenfalls die Schlüsselkennung gesetzt. PGP sucht in der Datei mit privaten Schlüsseln nach dem passenden Schlüssel und entschlüsselt automatisch die Nachricht.

Wenn bereits PGP 1.0 installiert ist, sollte diese Version gelöscht werden, weil sie von niemandem mehr verwendet wird. Wer die alte Version trotzdem behalten möchte, sollte die Programmdatei in pgp1.exe umbenennen, um Namenskonflikte mit der neuen Version zu vermeiden.(*)

(*)
Version 1.0 ist nicht kompatibel mit Version 2.x. Beispielsweise müssen neue Schlüssel erzeugt werden. Näheres hierzu steht in pgpdoc2.doc. d.Ü.

Eine dumme Situation

Nehmen wir an, Sie wollen Alice eine eher private Nachricht schicken. Dazu holen Sie sich aus einer öffentlichen Quelle Alices öffentlichen Schlüssel, verschlüsseln die Nachricht damit und senden sie über eine oder mehrere MailBoxen an Alice.

So weit, so gut, aber leider hat, was keiner wußte, Charlie eine Möglichkeit gefunden, um sich selbst auf dem Weg einzuhängen. (Das ist nicht weiter schwierig.) Charlie hat also eine Möglichkeit, den gesamten E-Mail-Verkehr von und zu Alice abzufangen, zu verändern oder einfach mitzulesen. Er ersetzt den von Alice veröffentlichten Schlüssel durch einen öffentlichen Schlüssel, den er selbst erzeugt hat. Da dieser Schlüssel natürlich die ID von Alice trägt, verwenden Sie ihn, Charlie fängt die Nachricht ab, liest sie und schickt sie dann entweder - mit Alices wirklichem öffentlichen Schlüssel codiert - weiter, verändert sie eventuell zwischendurch, oder schickt sie überhaupt nicht weiter. Da er den privaten Schlüssel für den Schlüssel hat, von dem Sie glauben, er sei Alices, kann er dies tun. Alice erhielt natürlich ebenfalls einen falschen Schlüssel, als sie Ihren erhalten wollte, so daß auch das Unterschreiben von Nachrichten ohne Probleme zu fälschen ist.

PGPs Ausweg

Es gibt nur einen Ausweg aus diesem Dilemma: öffentliche Schlüssel müssen vor derartigen Angriffen geschützt werden. Wenn Alice Ihnen ihren öffentlichen Schlüssel direkt in die Hand gedrückt hat, stellt das kein Problem dar, aber wenn Sie in der Schweiz wohnen und Alice in Norwegen, kann das etwas problematisch sein.

Vielleicht kennen Sie aber jemanden, dem Sie vertrauen und der zufällig gerade nach Norwegen in Urlaub fährt. Diesem netten Menschen könnten Sie dann ja Ihren öffentlichen Schlüssel mitgeben, und er würde Ihnen den von Alice bringen. Falls Alice den Menschen nicht zufällig ebenfalls gut kennt, kann sie zwar immer noch nicht sicher sein, daß der Schlüssel, den sie hat, von Ihnen ist, aber Sie können relativ sicher sein.

Nun ist es aber eher unpraktisch, zu allen E-Mail-Bekanntschaften Freunde hinzuschicken oder selber hinzufahren, um Schlüssel auszutauschen. Daher bietet PGP die Möglichkeit, Schlüssel/Benutzer-Zuordnungen zu unterschreiben. Nehmen wir an, Sie kennen außer Alice auch noch deren Halbbruder David. David hat Sie letzten Sommer besucht und bei der Gelegenheit seinen öffentlichen Schlüssel dagelassen. Unterschreibt David nun den öffentlichen Schlüssel von Alice, können Sie - wenn Sie ihm nicht zutrauen, daß er einen falschen oder zweifelhaften Schlüssel unterschreiben würde - davon ausgehen, daß der Schlüssel authentisch ist.

David würde also Alices öffentlichen Schlüssel unterschreiben, und Alice könnte diesen unterschriebenen Schlüssel versenden. Charlie kann zwar den Schlüssel abfangen und durch seinen eigenen ersetzen, er kann aber nicht Davids Unterschrift unter diesen Schlüssel setzen. Auch wenn er einen von David signierten Schlüssel hat, den David ihm unterschrieben hat, nützt ihm das nichts, da eine Unterschrift immer eine Zuordnung von ID und Schlüssel bestätigt.

Es wäre sogar möglich, daß eine weithin bekannte und allgemein als vertrauenswürdig eingestufte Person sich darauf spezialisiert, derartige Unterschriften zu leisten.(*) Diese Person könnte also als Keyserver oder "Beglaubigungsstelle" arbeiten. Jeder, der sich an diesem Konzept beteiligen möchte, braucht nur den öffentlichen Schlüssel dieser Instanz (der natürlich auf extrem vertrauenswürdigen Kanälen zu ihm kommen muß) zu kennen und kann damit alle Unterschriften überprüfen.

(*)
Bei RIPEM ist etwas derartiges von einer Zentralautorität vorgesehen. d.Ü.

Dieses Konzept ist vor allem für große, zentral gesteuerte Einrichtungen, wie Betriebe oder staatliche Verwaltungsapparate interessant. PGP zielt mehr auf ein dezentrales Beglaubigungssystem, in dem jeder Benutzer die Schlüssel derjenigen Leute, die er persönlich kennt oder die er auf Kongressen oder sonstwo trifft (und über deren Identität er sicher ist), unterschreibt. Das spiegelt eher den natürlichen Umgang mit Mitmenschen wider und bietet jedem die Möglichkeit, selbst zu entscheiden, wem er vertraut, wenn es um glaubwürdige Unterschriften geht.

Bitte beachten Sie dieses Konzept!

Auch wenn es unwichtig erscheint: Diese ganze Geschichte ist im Endeffekt die Achillesferse des ganzen Systems. Für vertrauliche Nachrichten (und wenn Sie längere Zeit E-Mail benutzen, werden Sie mit Sicherheit vertrauliche Nachrichten schreiben) sollten Sie niemals einen Schlüssel verwenden, von dem Sie nicht sicher sein können, von wem er stammt.

Von der Echtheit eines Schlüssels können Sie überzeugt sein, wenn Sie ihn direkt von seinem Besitzer bekommen haben, oder wenn er von einer Person unterschrieben ist, der Sie vertrauen, und von der Sie einen Schlüssel haben, der mit Sicherheit echt ist.

Und: Unterschreiben Sie niemals einen Schlüssel, von dem Sie nicht absolut und hundertprozentig sicher sein können, daß er von der Person stammt, deren ID Sie unterzeichnen. Mit der Unterschrift bürgen Sie mit Ihrem guten Namen für die Echtheit des Schlüssels. Unterschreiben Sie keine Schlüssel, weil Sie jemanden gut kennen, der diese Schlüssel unterschrieben hat, sondern nur dann, wenn Sie wirklich selber unabhängig sicher sind und sein können, daß der Schlüssel echt ist. Unterschreiben Sie vorzugsweise nur Schlüssel, die Sie direkt vom Besitzer erhalten haben.(*) Eine Unterschrift unter einen Schlüssel zu setzen, setzt eine viel größere Sicherheit in punkto Eigentümerschaft voraus als das Verwenden eines Schlüssels. Weitere Erläuterungen dazu finden Sie im zweiten Teil dieser Anleitung.

(*)
Eine weitere Möglichkeit der Echtheitskontrolle ist die Überprüfung des Fingerabdrucks eines Schlüssels. Auch diese setzt selbstverständlich voraus, daß die Identität der Schlüsselinhaberin bekannt ist. Weitere Informationen zum Fingerabdruck finden Sie im zweiten Teil des Handbuchs. d.Ü.

Auch ist Vertrauen nicht unbedingt übertragbar: Ich vertraue einem Freund und bin mir sicher, daß er nicht lügt. Wenn er nun sicher ist, daß der US-Präsident nicht lügt, muß ich nicht notwendigerweise davon ausgehen, daß das stimmt. Wenn ich Davids Unterschrift unter Alices Schlüssel vertraue und David Alices Unterschrift unter Charlies Schlüssel vertraut, brauche ich noch lange nicht Charlies Schlüssel als echt anzusehen.

Daher ist es sinnvoll, unter seinem eigenen Schlüssel einigermaßen viele Unterschriften zu sammeln und den so signierten Schlüssel möglichst öffentlich zu verbreiten. Gute Methoden zum Verbreiten eines Schlüssels sind beispielsweise entsprechende Foren in Computernetzen oder die "public key server" im Internet. Unterschreiben Sie einen Schlüssel, dann sollten Sie diesen mit Unterschrift an den Besitzer schicken.

PGP überwacht selbsttätig, welche Schlüssel in Ihrem Bund ausreichend mit Unterschriften bestätigt sind, die von Leuten geleistet wurden, die Sie als vertrauenswürdig eingestuft haben. Sie müssen PGP nur mitteilen, welche Leute Sie als vertrauenswürdig einstufen. Haben Sie selbst diese Schlüssel unterschrieben und somit für Ihr PGP voll bestätigt, können Sie mit Hilfe einer oder mehrerer Unterschriften unter einem Schlüssel, den Sie neu kriegen, diesen direkt als bestätigt einstufen lassen. Wie gesagt, vollautomatisch. Weitere Informationen zum Unterschreiben fremder Schlüssel finden Sie weiter unten.

Da der eigene öffentliche Schlüssel als Aufhänger aller Vertrauensketten derjenige ist, der am besten geschützt sein muß, bietet PGP die Möglichkeit, diesen mit einer Sicherheitskopie zu vergleichen, die auf einem schreibgeschützten Medium (Diskette mit Schreibschutz, Lochstreifen, CD) gespeichert sein sollte. Für nähere Informationen lesen Sie bitte die Beschreibung des Kommandos pgp -kc im zweiten Teil.

PGP geht normalerweise davon aus, daß Sie Ihre Schlüssel sorgsam verwalten und vor herumstreunenden Kindern und Bösewichten schützen. Wenn jemand an Ihre Schlüsselbunde herankommt und sie manipulieren kann, wird er aller Wahrscheinlichkeit nach dasselbe mit dem PGP-Programm tun können und es so verändern, daß alle Schutzmechanismen wirkungslos sind.

Eine zugegebenermaßen eher umständliche Methode, die Sammlung öffentlicher Schlüssel vor Manipulation zu schützen, ist die, die Schlüsselbunde mit dem eigenen (privaten) Schlüssel zu unterzeichnen. Beispielsweise könnten Sie mit der Option -sb eine abgelöste Unterschrift erzeugen. Leider müßten Sie dann immer noch eine glaubwürdige Kopie Ihres eigenen Schlüssels zur Hand haben, um die Unterschrift prüfen zu können. Dem Schlüssel in der signierten Datei können Sie nicht vertrauen, da ein Mensch, der diesen Schlüssel fälscht, ebensogut eine neue Unterschrift erzeugen kann.

PGP überprüft, welche öffentlichen Schlüssel Ihrer Sammlung als gültig eingestuft sind. Dazu müssen Sie PGP mitteilen, welchen Leuten Sie genug Vertrauen entgegenbringen, um ihre Unterschriften als gültige Verifikationen für neue Schlüssel einzustufen. Hiervon ausgehend kann PGP neu hinzukommende Schlüssel direkt auf ihre Gültigkeit hin prüfen. Und natürlich können Sie selbst auch Schlüssel unterschreiben.

PGP verwendet zwei verschiedene Kriterien, um Schlüssel einzustufen, bitte bringen Sie sie nicht durcheinander:

1. Gehört der Schlüssel wirklich zu der in der ID angegebenen Person?
2. Ist diese Person glaubwürdig genug, andere Schlüssel zu bestätigen?

Schlüssel, die von vertrauenswürdigen Personen unterschrieben wurden, werden von PGP als echt eingestuft. Um als vertrauenswürdig gelten zu können, muß ein Schlüssel von PGP als echt angesehen werden, also entweder von Ihnen selbst oder anderen vertrauenswürdigen Personen signiert sein.

Sie müssen aber nicht allen Leuten gleichweit vertrauen. PGP bietet die Möglichkeit, verschiedene Stufen des Vertrauens zu vergeben. Ihre Einstufung einer Person in Bezug auf Glaubwürdigkeit sollte nicht nur Ihre Einschätzung der allgemeinen Zuverlässigkeit dieser Person widerspiegeln, sondern auch Ihre Einschätzung darüber, wie gut die Person das Prinzip der Unterschriften verstanden hat und wie ernst sie die damit verbundene Verantwortung nimmt. Sie können einer Person die Vertrauensstufen "ich weiß nicht", "nein", "meistens ja" oder "ja" geben. Diese Information wird mit dem Schlüssel zusammen in Ihrer Sammlung gespeichert, aber wenn sie einen Schlüssel aus Ihrem Schlüsselbund herauskopieren, wird diese Angabe nicht mitkopiert. Ihre private Meinung geht schließlich niemanden etwas an, wenn Sie sie nicht ausdrücklich mitteilen wollen.

Wenn PGP einen Schlüssel auf seine Gültigkeit hin untersucht, betrachtet es die Vertrauenslevel aller Schlüssel, mit denen dieser Schlüssel unterschrieben wurde. Sie können einstellen, wie viele Unterschriften von welcher Glaubwürdigkeit gebraucht werden, um einen Schlüssel zu bestätigen. In der Standardeinstellung hält PGP einen Schlüssel für echt, wenn er von einer mit "ja" eingestellten Unterschrift geziert wird oder wenn er zwei Unterschriften mit der Einstellung "meistens ja" trägt.

Der eigene öffentliche Schlüssel gilt definitionsgemäß als vertrauenswürdig und echt, seine Unterschrift reicht immer aus, um einen Schlüssel als echt zu bestätigen.

Mit der Zeit werden Sie einige Schlüssel sammeln, die Sie als mehr oder weniger vertrauenswürdig einstufen. Andere Leute, die teilweise dieselben Schlüssel haben werden, werden andere Einschätzungen vergeben. Und mit der Zeit werden alle Benutzer ihre Schlüssel mit immer mehr Unterschriften verteilen. Dadurch ist das so gesponnene Vertrauensnetz sehr viel weniger gefährdet, durch eine Stelle zu zerreißen, die schwächer ist, als vorher angenommen.

Dieses dezentrale Konzept ist nicht das einzig mögliche. Es gäbe auch die Möglichkeit, Schlüssel von einer zentralen Instanz unterschreiben zu lassen, und bei einigen verwandten Verfahren wird das auch gemacht, beispielsweise bei Privacy Enhanced Mail (PEM). Dieses Schema basiert auf einer vorgegeben Hierarchie, in der andere Leute festlegen, wem Sie zu vertrauen haben. PGP geht den anderen Weg, bei dem Sie diese Entscheidung selber fällen müssen. PGP ist für Leute, die ihren Fallschirm selber zusammenlegen.

Das erste, was Sie tun sollten, um Ihren Schlüssel zu schützen, ist, den Schlüssel selbst immer unter Kontrolle zu haben. Das heißt, Sie sollten ihn nicht auf einem Computer lassen, wo er dem Zugriff anderer Personen ausgesetzt ist. Wenn Sie keine Möglichkeit dazu haben, weil sie beispielsweise Ihren gesamten E-Mail-Verkehr von einer Unix-Maschine im Büro aus abwickeln, sollten Sie Ihren Schlüssel immer auf einer schreibgeschützten Diskette mit sich tragen und von da aus arbeiten. Vergessen Sie dabei Ihre Sicherheitskopie nicht. Einen privaten Schüssel auf einem solchen System, insbesondere auf einem vernetzten Rechner, aufzubewahren, ist nicht gerade sinnvoll. Und Sie sollten PGP erst recht nicht über ein Netzwerk oder ein Modem benutzen. Es wäre zu einfach, Ihr Mantra mitzuschneiden.

Und was für Passwörter allgemein gilt: Sie sollten Ihr Mantra auf gar keinen Fall irgendwo aufschreiben und am Monitor, unter der Tastatur oder sonst irgendwo an Ihrem Arbeitsplatz, in der Aktentasche oder an welchem Ort auch immer aufbewahren, an den jeder potentielle Eindringling gelangen kann. Das Sicherste ist immer noch, es einfach im Kopf zu behalten.

Und: Bewahren Sie immer eine Sicherheitskopie Ihres privaten Schlüssels auf. Wenn Ihre Festplatte einmal den Geist aufgibt und Sie ohne Ihren secring.pgp dastehen, können Sie die ganze an Sie geschickte Post nicht mehr lesen.

Hier kommen wir bei einem Problem der dezentralen Methode zur Schlüsselverifikation an: Da es keine Zentrale gibt, die Schlüssel bestätigt, gibt es auch keine, die vor unsicher gewordenen, da möglicherweise in fremde Hände gefallenen Schlüsseln, warnt. Sie können nur die Meldung, daß Ihr Schlüssel möglicherweise bekannt wurde, möglichst weit verbreiten und darauf hoffen, daß diese Nachricht auch bei allen Leuten ankommt, die davon erfahren sollten.

Sollte der Fall der Fälle eintreten, sollte also sowohl Ihr privater Schlüssel als auch Ihr Mantra in fremde Hände fallen, dann sollten Sie ein sogenanntes "key compromise certificate" ausstellen. Dies ist eine Urkunde, die besagt, daß Ihr Schlüssel auf keinen Fall mehr verwendet werden darf. Wenn Sie eine solche Urkunde ausstellen wollen, rufen Sie PGP mit der Option -kd und Ihrer eigenen Schlüssel-ID auf. PGP macht dann Ihren öffentlichen Schlüssel unbrauchbar und gibt Ihnen die Möglichkeit, mit pgp -kxa ID die Urkunde in eine Datei zu packen, die Sie an die gesamte Menschheit schicken sollten. Oder zumindest an den Teil, der Ihren Schlüssel haben könnte. Am besten schicken Sie Ihren neuen Schlüssel direkt mit. Siehe auch das nächste Kapitel.

Diese Nachricht sollten Sie von denselben Leuten unterschreiben lassen, die auch Ihren Schlüssel signiert haben. Die anderen User können dann Ihren Schlüssel mit dem Befehl

Im Radix-64-Format werden jeweils drei Byte durch vier druckbare ASCII-Zeichen dargestellt, so daß die Länge der Datei um etwa 33 Prozent zunimmt. Das sieht zunächst nach einer ziemlich großen Aufblähung der Datei aus, berücksichtigt werden muß aber, daß PGP Klartextdateien häufig um einen größeren Faktor komprimiert, bevor sie verschlüsselt werden.

Für eine Radix-64-Darstellung der verschlüsselten Datei wird einfach die Option a beim Programmaufruf hinzugefügt:

In config.txt kann beispielsweise eingestellt werden, in welchem Verzeichnis PGP temporäre Dateien speichert, in welcher Sprache PGP seine Meldungen ausgibt, oder wie skeptisch sich PGP bei der Prüfung von Unterschriften unter öffentlichen Schlüsseln verhält.

Näheres über die einstellbaren Parameter steht im zweiten Teil des Handbuchs.

Für eine weitergehende Diskussion ziehen Sie bitte den Abschnitt "Angriffsmöglichkeiten" in Teil II des PGP-Handbuches ab zu Rate.

In meiner Zeit am College durfte ich eine in dieser Richtung niederschmetternde Erfahrung machen: Ich erfand ein meiner Meinung nach geniales Verschlüsselungssystem. Es funktionierte so, daß ein Zufallszahlengenerator Zahlen ausspuckte, die zu den zu verschlüsselnden Zeichen addiert wurden. Somit wäre eine Häufigkeitsanalyse des entstehenden Textes ausgeschlossen, was ein Knacken des Codes unmöglich machen sollte. Einige Jahre später entdeckte ich eben dieses Schema in einigen Einführungswerken zur Kryptographie. Die Freude wurde jedoch schnell getrübt, als ich erkannte, daß es dort als Beispiel für einen leicht knackbaren Code verwendet wurde. Soviel zu diesem Algorithmus.

Dieses Beispiel zeigt, wie leicht es ist, einer trügerischen Sicherheit zu verfallen, wenn es um einen neuen Verschlüsselungsalgorithmus geht. Auch wenn es die meisten Menschen nicht direkt nachvollziehen können, ist es extrem schwer, ein Schema zur Verschlüsselung zu entwickeln, das einem ernstgemeinten und mit entsprechendem Hintergrund durchgeführten Angriff standhält. Auch viele kommerzielle Produkte bieten - aufgrund der verwendeten Rechenvorschriften - keine ernstzunehmende Sicherheit. Gerade in punkto Sicherheit wird sehr viel minderwertige Ware verkauft.

Stellen Sie sich vor, Sie kaufen ein neues Auto, und eine Woche später sehen Sie die Aufzeichnung eines Crash-Tests, in dem die wunderschönen Sicherheitsgurte einfach reißen. Da kann es besser sein, gar keine Sicherheitsgurte zu haben, da Sie sich ansonsten in falscher Sicherheit wiegen. Dasselbe gilt für Software - wenn Sie sich auf schlechte Software verlassen, um die Vertraulichkeit Ihrer Daten zu gewährleisten, können Sie eine extrem böse Überraschung erleben. Oder - noch schlimmer - eventuell bemerken Sie nicht einmal, daß Ihre Daten von Unbefugten gelesen wurden, bis es zu spät ist.

Aber auch die Verwendung bewährter Algorithmen muß keine Sicherheit bieten, wenn sie nicht konsequent eingesetzt werden. So empfiehlt beispielsweise die Regierung der USA die Verwendung des Federal Data Encryption Standard, DES. Zumindest für kommerzielle Anwendungen - Informationen unter staatlicher Geheimhaltung dürfen damit nicht verschlüsselt werden. Aber das ist ein anderes Thema. Bei DES gibt es verschiedene Stufen von Sicherheit. Die schwächste, von der die Regierung abrät, ist die sogenannte ECB-Verschlüsselung (Electronic Codebook). Besser sind Cipher Feedback (CFB) oder auch Cipher Block Chaining (CBC).

Leider verwenden die meisten kommerziellen Produkte, die auf DES basieren, die ECB-Methode. In Gesprächen, die ich mit einigen Autoren solcher Software führte, stellte sich heraus, daß sie nie etwas von CBC oder CFB gehört haben, nicht einmal von möglichen Schwachstellen des ECB. Dabei sind die Programme, auf die Sie sich am wenigsten verlassen sollten, immer noch die, bei denen der Programmierer verschweigt, wie die Verschlüsselung funktioniert. Um fair zu bleiben, muß ich aber betonen, daß diese Produkte normalerweise nicht von Firmen kommen, die sich auf Kryptographie spezialisiert haben.

Und falls Sie jetzt immer noch der eingebauten Verschlüsselung von WordPerfect, Lotus 1-2-3, MS Excel, Symphony, Quattro Pro, Paradox oder MS Word vertrauen - wenden Sie sich an die Firma AccessData (87 East 600 South, Orem, Utah 84058, USA), dort können Sie für 158 Dollar ein Softwarepaket erhalten, das ebendiese Systeme entschlüsselt.(*) Gekauft wird dieses Programm von Leuten, die ihr Passwort vergessen haben, und von Strafverfolgungsbehörden. Der Autor des Programms, Eric Thompson, sagte übrigens, er habe einige Verzögerungsschleifen eingebaut, damit das Knacken des Passwortes nicht so einfach aussieht wie es ist. Auch die PKZIP-Verschlüsselung ist seiner Aussage nach einfach zu umgehen.

(*)
Ein decw4w.zip, das Word für Windows-Dateien entschlüsselt, ist inzwischen auch frei erhältlich. d.Ü.

Bei Verschlüsselungsprogrammen gibt es viel Kurpfuscherei. Aber im Gegensatz zu den Leuten, die Patentmedizin verhökern, wissen die meisten Programmierer nicht einmal, daß sie Quacksalberei betreiben. Diese Programmierer sind meistens dennoch fähige Leute, aber die wenigsten haben auch nur ein einziges wissenschaftliches Buch über Kryptographie gelesen. Trotzdem glauben sie, sie könnten gute Verschlüsselungsprogramme schreiben. Und warum auch nicht? Verschlüsselung scheint zunächst einmal einfach implementierbar zu sein. Und die Programme scheinen auch ganz ordentlich zu arbeiten.

Jeder, der glaubt, er habe ein unknackbares Verschlüsselungsverfahren entwickelt, ist entweder ein unglaublich seltenes Genie, oder er ist naiv und unerfahren.

Brian Snow, ein hochrangiger Kryptograph der NSA, sagte mir einmal, er würde keinem Verschlüsselungsalgorithmus über den Weg trauen, der von jemandem entwickelt sei, der nicht sehr viel Erfahrung mit dem Knacken von Verschlüsselungen hat. Eine durchaus sinnvolle Einstellung. Im Bereich der kommerziellen Softwareentwicklung kenne ich fast niemanden, auf den dieses Kriterium zutrifft. Snow sieht das ähnlich: "Und das macht unseren Job bei der NSA um einiges einfacher." Gruselige Vorstellung.

Auch die US-Regierung hat Wundermedizin verbreitet. Nach dem zweiten Weltkrieg verkaufte sie beispielsweise Enigma-Maschinen an Regierungen von Entwicklungsländern, ohne diesen zu sagen, daß die Verschlüsselung während des Krieges von den Briten geknackt worden war.

Übrigens wird der Enigma-Algorithmus auch heute noch bei vielen Unix-Systemen auf der ganzen Welt für die Verschlüsselung von Dateien verwendet, unter anderem deswegen, weil die US-Regierung der Verwendung besserer Algorithmen gesetzliche Schranken gesetzt hat. Die US-Regierung hat 1977 sogar versucht, die Veröffentlichung des RSA-Algorithmus zu verhindern. Auch die Entwicklung abhörsicherer Telefontechnik für die Allgemeinheit hat sie verhindert.

In jüngster Zeit macht Clipper die Runde, ein Verfahren, das Standard für die Verschlüsselung von Telefongesprächen werden soll - aber unter staatlicher Kontrolle. Der Staat wäre in der Lage, alle damit verschlüsselten Gespräche, E-Mail-Kontakte und Dateien zu lesen.

Die Hauptaufgabe der NSA ist Aufklärung, hauptsächlich durch das Abhören und Mitlesen von privater Kommunikation (siehe hierzu Literaturverzeichnis, James Bamford, The Puzzle Palace). Die NSA hat Unmengen an Wissen und Technik für das Knacken von Verschlüsselungen angesammelt. Wenn die Allgemeinheit auch noch keinen Zugang zu guter Chiffriertechnik hat, wird die Arbeit der NSA um einiges vereinfacht. Zugleich hat die NSA aber auch die Aufgabe, Verschlüsselungsalgorithmen zu beurteilen und zu empfehlen. Hier wird der Bock zum Gärtner gemacht. Die NSA hat die Verwendung eines vor ihr entworfenen Verschlüsselungsalgorithmus empfohlen, aber ohne seine Funktionsweise offenzulegen - weil das geheim bleiben müsse. Wir sollen einfach so glauben, daß der Algorithmus gut ist und ihn verwenden. Dabei weiß jeder Kryptograph, daß ein gut durchdachtes Verschlüsselungsverfahren in seinen technischen Details nicht geheim bleiben muß, um sicher zu sein. Nur die konkreten Schlüssel müssen geheimgehalten werden. Kann irgendwer mit Sicherheit sagen, daß ein von der NSA entwickeltes Verfahren wirklich sicher ist? Schwer ist es für die NSA nicht, ein Verschlüsselungsverfahren zu entwickeln, das sie allein knacken können, wenn sie niemandem sonst seine Funktionsweise offenlegen. Vielleicht betreibt die NSA auch absichtlich Quacksalberei.

Ich bin von der Sicherheit von PGP nicht so überzeugt, wie während meines Studiums von der Sicherheit meines "genialen" Verschlüsselungsverfahrens. Wäre ich von PGP vollkommen überzeugt, wäre das ein schlechtes Zeichen. Aber ich bin ziemlich sicher, daß PGP keine ins Auge springenden Schwachstellen hat. Die Algorithmen, die PGP verwendet, stammen von zivilen Kryptographen mit sehr gutem Ruf, und sie sind eingehend untersucht worden. Selbstverständlich ist der komplette Sourcecode erhältlich, so daß jeder, der programmieren kann (oder einen vertrauenswürdigen Bekannten hat, der dazu in der Lage ist), das System durchleuchten kann. Der Quellcode ist über Jahre professionell entwickelt worden. Im übrigen arbeite ich nicht für die NSA. Ich hoffe, daß der Schritt, Vertrauen in PGP zu gewinnen, nicht zu viel Überwindung kostet.

Zum Verschlüsseln eines Klartextes mit dem öffentlichen Schlüssel der Empfängerin: