Cryptography is not a crime

gpg-1
Bild: Marc Bernet (cc)

Mal nebenbei erwähnt, ich habe mich endlich mit E-Mail-Verschlüsselung auseinandergesetzt und ausgestattet. Nicht ganz trivial war das für einen Laien wie mich, vor allem das Konzept mit den öffentlichen und privaten Schlüsseln zu verstehen – deswegen hat es auch erst im dritten Anlauf geklappt. Jetzt aber geht das einigermaßen und endlich kann ich wirklich guten Gewissens an unserem Herrn Bundesinnenminister und den anderen Datenschutzgauleitern herumkritteln.

Das doofe ist, Verschlüsselung mit GnuPG /OpenPGP funktioniert nur, wenn Sender und Empfänger das gleichsam einsetzen. Deswegen ab jetzt auch von mir die bekannte Litanei: Schlüssel deine Mails ver! Aber warum sollte man das überhaupt tun? Nun, erstens kann dir jedes Würmchen böswillig eine E-Mail mit falschem Absender unterjubeln. Wenn Du Lokführer bist und eine Mail von mehdorn@bahn.de bekommst, in der steht, dass Du gefeuert bist und du dich deswegen vor dein Arbeitsgerät wirfst, dann ist das unter Umständen ein Fall für die Rubrik „dumm gelaufen“. Mit Signierung weißt Du immerhin, dass die Mail tatsächlich vom Bahnchef stammt.

Dazu kommt als noch zentralerer Punkt, dass eine Mail zwischen Sender und Empfänger einige Zwischenstationen durchläuft und für jeden im Klartext lesbar ist, wenn sie nicht verschlüsselt ist. Darunter möglicherweise das US-amerikanische globale Überwachungssystem Echelon und/oder das BKA. Schon gewusst, jeder deutsche E-Mailprovider mit mehr als 1000 Kunden muss eine Schnittstelle für unsere Freunde in grün einrichten. Juchheissa, wer jetzt ruft, er habe ja nix zu verbergen – ja, aufgeklärte Masse, solche Leute gibt’s – poste doch bitte in die Kommentare die pikantesten Stellen der privaten Korrespondenz mit seinem Lebensabschnittsgefährten. Ich verspreche, die Erkenntnisse nur für den Kampf gegen den Internassjorismus[1] zu verwenden. Lechz.

Nee, mal ernsthaft. E-Mail-Encryption ist das, was ein Briefumschlag für Briefe ist. Alles was über das Niveau einer Kreuzworträtsellösungsgewinnspieleinsendung oder Urlaubspostkarte hinausgeht, wird im herkömmlichen Briefverkehr eingetütet, weil das ja nicht jeder Honk mitlesen soll. Analoges sollte im Digitalen ebenfalls gelten: Verschlüsselt gehört, was verschlüsselt geht. Auch und gerade unwichtige Mails. Schalte in den Widerstandsmodus. Bewirf jeden mit faulen Eiern und Tomaten, der sich weigert dies zu tun.

Ich will mich gar nicht blamieren, indem ich sage, das geht so und so, installier dir das und das. Eine leicht verständliche Anleitung für die populäre Kombination [Windows – Mozilla Thunderbird – blutiger Anfänger] gibt es bei Gulli. Plugins gibt es aber auch für alle gängigen Mailprogramme auf allen gängigen Betriebssystemen und sogar Browserplugins für Webmailer wie Google Mail. Auch hier also leider: Keine Ausrede.

Mein Public Key.

  1. Dergestalt abgeschliffen spricht jeder Innenminister, der etwas auf sich hält „Internationaler Terrorismus“ aus. [zurück]

14 Kommentare

  1. Das selbe Problem habe ich auch. Seit der Cebit vor 4(?) Jahren habe ich ein zertifiziertes Schlüsselpaar. Seitdem unterschreibe ich jede Mail mit meinem Schlüssel. Bisher habe ich genau 2 (z-w-e-i) in meinem Bekanntenkreis, mit denen ich verschlüsselt mailen kann. Okay, ich könnte den Bekanntenkreis wechseln 🙂 aber generell gilt, das wird leider alles viel zu wenig genutzt. 🙁

  2. http://firegpg.tuxfamily.org/

    Der Link darf nicht fehlen. Gnugpg zusammen mit Gmail.
    Funktioniert auch wunderbar, nur kannn man leider (noch) keine anderen öffentliche Schlüssel importieren wie in Tunderbird.

  3. Klares JA für den Briefumschlag zur Postkarte. Nur – was willst du machen, wenn deine Adressaten ihn nicht öffnen können und dir weiterhin selbst Postkarten schreiben?

    Die Bereitschaft zur Verschlüsselung ist nach wie vor minimal, sogar durch kostenlose Dienste, die die Anlegenheit mit den öffentlichen und privaten Schlüsseln für Webmail vereinfachen, wie beispielsweise http://www.freenigma.com aus Hamburg – unbedingt mal ausprobieren. (Du kannst mir gern an o.g. Adresse eine Testnachricht schicken.)

  4. @ dirk: Ich sag mal so: Steter Tropfen höhlt den Stein. Wenn alle zwei Jahre ein neuer Bekannter hinzukommt, ist das doch schon eine vernünftige Grundlage für 2050 oder so. Bei mir war ich aber auch überrascht, selbst Informatikstudenten sind da nachlässig. Naja, vielleicht braucht’s wirklich noch ein narrensicheres und pipieinfaches System für jedermanns E-Mail-Verschlüsselung.

    @ Stefan: Danke für den Hinweis, hab den Link reingesetzt.

    @ Ultimonativ: Bei freenigma ist wohl problematisch, dass sie die Private Keys bei sich selbst horten. Besser als nix, aber noch nicht gut genug.

  5. das kreuz mit der „einfachheit“: wird es einfacher, ist das auf kosten der verschlüsselung. es geht einfach nicht simpler, auch wenns am anfang etwas holprig ist, aber es gehört definitiv nicht zu den schwersten computer-dingen, je nachdem, wo man das tutorial her hat.

    thunderbird, enigmail bzw. openpgp, gut is‘.

    2048bit und du bist auf und davon.

    aber es nutzt NIEMAND. das nervt. für laien sind die hürden etwas hoch oder sie sind einfach zu faul zum lesen.

    jedenfalls: gerade bei emails ist es wohl wichtiger denn je. die regierung sieht sowas nicht gerne, egal übrigens, ob inland oder ausland.

    mfg

  6. Das gleiche gilt eigentlich auch für Jabber.

    Lästig wird die Angelegenheit leider erst so richtig, wenn man öfter mal das Betriebssystem wechselt oder auch nur neu installiert.

  7. Warum lästig?
    Der GnuPG Keyring lässt sich prima ex- und importieren, unabhängig vom Betriebssystem. Unter Linux/Unix reicht sogar das simple Kopieren des ~/.gnupg/ Verzeichnisses aus. 🙂

    @maloXP: Erfahrungsgemäß ist zu Verschlüsselung bereit, wer Privatsphäre wertschätzt. Das gibts auch unter Informatikern leider nur sporadisch.

  8. Achja, vielleicht ist es dir nicht bewusst, aber in jedem PGP-Public-key wird die Emailadresse gespeichert. Wenn du also absolut sicher vor Spam sein willst, dann solltest du ein Captcha vor den Schlüssel stellen.

    Glücklicherweise gibt es afaik noch keine robots, die das auswerten, aber ich denke es wird nicht mehr lang dauern, bis einer mal auf die Idee kommt…

  9. Ja, Verschlüsselung ist schon was feines. Es gibt in meinem Bekanntenkreis auch lediglich eine Person, die das auch macht. Derzeit verschlüssele ich allerdings nur Jabber, da Opera (noch) kein GnuPG unterstützt. 🙁
    Egal, ich war mal so frei deinen Public-Key zu importieren. Meiner ist übrigens hier zu finden.

  10. @Edoardo: Der Keyring, die Trust-Database und die Einstellungsdatei gpg.conf. Eben alles, was in dem Verzeichnis ist.

    Wahlweise lassen sich die öffentlichen Schlüssel und die dazugehörigen Signaturen auch auf den Schlüsselservern speichern/finden. Hier der Server des DFN: http://pgpkeys.pca.dfn.de/
    Die weltweit verstreuten Server synchronisieren untereinander.

    Durch Signaturen bekommt der Schlüssel übrigens ein höheres Vertrauenslevel. Je mehr Signaturen der Schüssel hat und je weiter diese gestreut sind, desto größer die Wahrscheinlichkeit, dass beispielsweise ein mir nicht persönlich bekannter PGP/GPG-Benutzer enger mit mir schlüsselseitig „verwandt“ ist und mir so mehr Vertrauen entgegenbringen kann (Web of Trust – WoT). Quasi ein Key-Social-Network 😉
    Signaturen werden idealerweise nach persönlicher Überprüfung (Personalausweis) vergeben. Hierfür gibts auf vielen Events, z.B. auch jedem Linux-Tag, Key-Signing-Parties. Der heise-Verlag verteilt ebenfalls auf allen Messen, denen er beiwohnt, fleißig seine begehrte Signatur, welche das WoT relativ eng werden lässt.
    Der Grad des Vertrauens, läßt sich beim Signieren natürlich software-seitig einstellen.

    So, das musste ich noch loswerden, wenn schonmal ein paar Krypto-Interessierte auf einem Haufen anzutreffen sind. 🙂

  11. Ich "nutze" GPG auch seit ca. einem dreiviertel Jahr. In meinem Bekanntenkreis bin ich allerdings nur auf Taube Ohren gestoßen, weil "keiner etwas zu verbergen" hatte. An jeder meiner Mails hängt ein Link zu meinem öffentlichen Schlüssel, trotzdem habe ich noch keine verschlüsselte Mail bekommen. Vor einiger Zeit habe ich mich von Thunderbird mit Enigmail abgewandt, weil die Post auch von anderen Rechnern aus zugänglich sein soll. Einzig mit Miranda chatte ich schon länger mit "otr". Ich habe das auf den jeweiligen Rechnern eingerichtet und bis auf die Meldung, dass otr aktiv ist merkt man nichts davon, hat also auch keine Arbeit davon.

    Also, einfach die Hoffnung nicht aufgeben, dass sich GPG eines Tages durchsetzt.

    Viele Grüße!

  12. Ich wollte mich auch schon lange damit beschäftigen, habe es aber immer vor mir hergeschoben. Jetzt wird es aber gemacht, auch wenn ich noch keinen in meinem Bekanntenkreis habe, der Verschlüsselung einsetzt.

  13. Pingback: »Verschlüsselung ist unerträglich« - Alarmschrei.de

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.