eMail-Verschlüsselung mit PGP

Quelle
elektronikinfo.de/pc/pgp.htm

Allgemeines
Die Übertragung von eMails gleicht dem Versenden von Postkarten: Jeder, der sie in die Hand bekommt, kann sie problemlos mitlesen. Aus diesem Grund verschickt man mit normaler Post üblicherweise außer bei Banalitäten wie Ansichtskarten lieber verschlossene Briefe als Postkarten, auch wenn der Inhalt objektiv gesehen eigentlich nicht besonders schützenswert ist.

Im Internet erreichen Ihre eMails den Empfänger systembedingt nicht direkt sondern über oft zahlreiche Zwischenstufen. Und bei jedem der beteiligten Server besteht prinzipiell eine Mitlesmöglichkeit. Wer dies nicht möchte, hat die Möglichkeit, eine eMail sozusagen mit einem gepanzerten Umschlag zu versehen, den Unbefugte auch mit größter Anstrengung nicht öffnen können. Schlimmstenfalls kann man solche eMails verschwinden lassen, aber nicht den Inhalt lesen.

Das wohl bekannteste Verschlüsselungsprogramm ist PGP (= Pretty Good Privacy), das kryptographische Methoden verwendet, um Ihre eMail mitlessicher zu machen. Nachfolgend erfahren Sie, wie PGP grundsätzlich funktioniert, wie Sie es installieren und wie Sie es in der Praxis verwenden.

Funktionsweise von PGP
Um eine eMail mitlessicher zu machen, muß man diese vor dem Versenden in geeigneter Weise verschlüsseln. Solange ein potentieller Mitleser nicht weiß, wie man sie entschlüsselt, kann er damit überhaupt nichts anfangen. Der authorisierte Empfänger kann die eMail jedoch wieder dechiffrieren, weil er den passenden Schlüssel besitzt. Nun kann man als Angreifer durch bloßes Ausprobieren (sogenannte brutal force) den richtigen Schlüssel in Erfahrung bringen. Das ist wie bei einem Aktenkoffer mit einem dreistelligen Zahlenschloß: Spätestens nach 1000 Versuchen (im Mittel jedoch nach 500 Versuchen) hat man den Aktenkoffer geöffnet; der Schlüssel d.h. die Zahlenkombination zum Öffnen ist daher extrem schwach, also leicht zu knacken. Erhöht man jedoch die Anzahl der Stellen beträchtlich, gelingt es einem Angreifer innerhalb seines ganzen Lebens nicht, den Koffer zu öffnen, weil ja jeder Versuch eine bestimmte Zeit dauert. Die aktuellen PGP-Schlüssel gelten auch für Geheimdienste unter Zuhilfenahme der teuersten Rechenanlagen als nicht knackbar.

PGP benutzt das System der asymmetrischen Schlüssel, d.h. jeder Benutzer besitzt ein Schlüsselpaar. Mit einem davon kann man ausschließlich absperren d.h. verschlüsseln, mit dem anderen ausschließlich aufschließen, d.h. entschlüsseln. Der große Vorteil ist, daß man den Schlüssel zum Verschlüsseln von eMails frei im Internet verteilen kann. Man nennt ihn im PGP-Jargon daher "öffentlicher Schlüssel". Jeder, der Zugriff auf den öffentlichen Schlüssel einer Person besitzt, kann dieser Person verschlüsselte eMails schicken, aber er kann damit keine verschlüsselte eMail wieder lesbar machen. Die Vorgehensweise beim Verschlüsseln ist in Bild 1 zum besseren Verständnis graphisch dargestellt.
<img src="http://www.elektronikinfo.de/techpic/pc/pgp1.gif">
Entschlüsseln kann man solche eMails ausschließlich mit dem eigenen Dechiffrier-Schlüssel. Man nennt ihn im PGP-Jargon "privater Schlüssel". Den privaten Schlüssel darf man keinesfalls weitergeben, sondern sollte ihn sicher aufbewahren. Die Verschlüsselungsmethode zusammen mit der Schlüssellänge gilt als so sicher, daß auch staatliche Organe wie z.B. Geheimdienste PGP-verschlüsselte eMails nicht knacken können. Die Vorgehensweise beim Entschlüsseln ist in Bild 2 dargestellt.
<img src="http://www.elektronikinfo.de/techpic/pc/pgp2.gif">

Installation von PGP
PGP ist für den privaten Gebrauch kostenlos. Sie finden es auf zahlreichen CDs, die üblicherweise Computerzeitschriften beiliegen, oder auf der PGP-WebSite (ca. 7 MB). Sofern Sie mit englischen Menüs klarkommen, sollten Sie die englischsprachige Variante nehmen, da die deutschsprachige leider immer einige Versionsnummern zurückhängt. Die Installation des PGP-Programms unter Windows ist denkbar einfach: Sie müssen lediglich das Installationsprogramm starten; alles weitere geschieht fast von alleine. Wenn Sie nicht genau wissen, was die verschiedenen Einstellmöglichkeiten bedeuten, sollten Sie die vorgeschlagenen Werte übernehmen.

Während der Installation wird automatisch Ihr Schlüsselpaar, d.h. Ihr privater und Ihr öffentlicher Schlüssel erzeugt. Der private Schlüssel wird zusätzlich mit einer Paßphrase, die Sie während der Schlüsselerzeugung angeben müssen, gegen Verwendung durch Personen, die Zugriff auf Ihren Rechner haben, gesichert. Diese Paßphrase sollte nicht zu kurz und trotzdem gut merkbar sein. Eine empfehlenswerte Methode ist, einen kurzen Satz zu generieren, denn z.B. "Im Wald stehen 27 Fliegenpilze!" ist deutlich besser zu merken und auch einzutippen als "hZvSgt54*js7ZjJ6a" (Klein-/Großschreibung beachten!), aber nahezu genauso sicher. Wenn Sie sich trotzdem die Paßphrase notieren, sollten Sie die gleichen Sicherheitsmaßnahmen ergreifen wie bei einer zu einer ec-Karte gehörenden PIN. Von Ihrem Schlüsselbund sollten Sie vor Weitergabe des öffentlichen Schlüssels unbedingt eine Sicherheitskopie anfertigen. Das ist extrem wichtig, weil bei z.B. einem Festplattendefekt dieser unwiederbringlich verloren wäre, und Sie eingehende eMails dann nicht mehr entschlüsseln können. Vorsicht bei Disketten: Nach nur wenigen Jahren verlieren diese mitunter darauf gespeicherte Daten. Empfehlenswert ist es, 2 CDs zu erstellen, auf denen nur jeweils der eigene Schlüsselbund gespeichert wird, und diese CDs möglichst an zwei unterschiedlichen Stellen sicher vor fremdem Zugriff zu verwahren.

Anwendung von PGP
Schlüsselbund aktualisieren
Sofern Sie Outlook verwenden, finden Sie sofort nach Installation einen zusätzlichen Menüpunkt "PGP" vor, siehe Bild 3. Bevor Sie verschlüsselt senden können, benötigen Sie zuerst einmal den öffentlichen Schlüssel des Empfängers. Wie Sie an diesen gelangen, erfahren Sie weiter unten unter Sicherheitsaspekte. Das Hinzufügen zu Ihrem eigenen Schlüsselbund erfolgt, sobald Sie auf die Ihnen übermittelte Datei mit dem öffentlichen Schlüssel Ihres Partners doppelklicken. Sie brauchen nur noch zu bestätigen, und schon wird er zu ihrem privaten Schlüsselbund hinzugefügt, so daß Sie ihn in Zukunft zum Verschlüsseln verwenden können.
<img src="http://www.elektronikinfo.de/techpic/pc/pgp_outlook.gif">

Verschlüsselt senden
Beim Schreiben einer neuen eMail brauchen Sie lediglich vor dem Absenden in der Symbolleiste den Schalter für das Verschlüsseln mit PGP zu betätigen. Sollte ein solcher nicht vorhanden sein, müssen Sie den Menüpunkt "PGP - Beim Senden Verschlüsseln" aktivieren, um die aktuelle eMail samt etwaiger Dateianhänge verschlüsselt zu versenden (siehe Bild 4).
<img src="http://www.elektronikinfo.de/techpic/pc/pgp_send1.gif">

Nur Anhang verschlüsseln
Sie können auch lediglich die Dateien, die Sie als Anhang einer ansonsten unverschlüsselten eMail verschicken möchten, verschlüsseln. Diese Methode müssen Sie auch dann anwenden, wenn Sie nicht Outlook als eMail-Programm verwenden, denn nur in Outlook kann sich PGP sozusagen einklinken. In diesem Fall brauchen Sie lediglich mit der rechten Maustaste auf die zu verschlüsselnde Datei, z.B. eine mittels Notepad erstellte Textdatei, zu klicken und dann den Menüpunkt "PGP - Encrypt", wie in Bild 6 darfgestellt, oder bei der deutschen Version "PGP - Verschlüsseln mit" auszuwählen.
<img src="http://www.elektronikinfo.de/techpic/pc/pgp_disk.gif">

PGP kann in diesem Fall natürlich keinen Vorschlag für einen Empfänger-Schlüssel machen. Wählen Sie den gewünschten Empfänger-Schlüssel sowie aus o.g. Gründen zusätzlich Ihren eigenen aus und klicken Sie auf "OK". Nun werden die ausgewählten Dateien verschlüsselt und erhalten als Dateiendung zusätzlich ".pgp". Diese Dateien können Sie dann mit Ihrem bevorzugten eMail-Programm als bereits verschlüsselten Anhang an Ihre eMail anhängen.

Sicherheitsaspekte
Der Verschlüsselungsalgorithmus von PGP gilt als so sicher, daß auch Geheimdienste damit verschlüsselte Nachrichten nicht knacken können. In der Praxis gibt es jedoch Dinge, die man als Benutzer beachten muß, damit man nicht selbst durch unachtsames Handeln die extrem hohe Verschlüsselungsstärke unterläuft. Sofern der Austausch der öffentlichen Schlüssel nicht persönlich erfolgen kann, ist es für eine wirklich sichere Kommunikation unabdingbar, daß der Schlüssel auf dem Weg zum jeweiligen Partner nicht durch einen Angreifer verändert wird. Deshalb sollten Sie am besten Ihren Partner anrufen und die Prüfsumme des erhaltenen Schlüssels mit derjenigen des Originals vergleichen. Dies macht nur wenig Arbeit, ist aber absolut sicher, wenn Sie Ihren Kommunikationspartner an der Stimme erkennen.

Wichtig ist auch, daß Sie Ihren privaten Schlüssel stets unter Verschluß halten. Falls mehrere Personen, deren Vertrauenswürdigkeit nicht 100% bestätigt ist (z.B. in einer Firma; man denke auch an Spionage durch Einschleusen unter das Reinigungspersonal), Zugang zu Ihrem Rechner haben, sollten Sie ggf. erwägen, den privaten Schlüssel nicht auf dem Rechner zu speichern, sondern ausschließlich von Diskette oder CD zu benutzen und diese Medien bei Nichtgebrauch vor fremdem Zugriff geschützt zu verwahren. Bitte achten Sie darauf, daß Sie nicht versehentlich als vermeintlich öffentlichen Schlüssel Ihr gesamtes Schlüsselpaar, d.h. incl. privatem Schlüssel, weitergeben!

Auch wenn immer wieder von unknackbarer Verschlüsselung und hoher Sicherheit die Rede ist, sollten Sie sich dessen bewußt sein, daß man hier immer nur über Wahrscheinlichkeiten redet. Die Wahrscheinlichkeit, einen Aktenkoffer mit dreistelligem Zahlenschloß beim ersten Versuch zu knacken, liegt bei 1:1000, d.h. 0,1%, weil es 1000 verschiedene Kombinationsmöglichkeiten gibt. Führt man einen Versuch mit sehr vielen Aktenkoffern durch, wird man mit viel Glück einen Koffer beim ersten Versuch öffnen können, bei einem anderen aber absolutes Pech haben und 1000 Versuche benötigen. Wenn man einen Mittelwert berechnet, wird man statistisch gesehen 500 Versuche benötigen. Bei einem angenommenen Zeitbedarf von einer Sekunde pro Zahlenkombination kommt man somit auf 500 Sekunden d.h. gut 8 Minuten, bis man durch Ausprobieren im Mittel den Code geknackt hat. Ein dreistelliges Zahlenschloß bietet daher nur einen sehr geringen Schutz. Mit jeder weiteren Stelle nimmt im Beispiel die Anzahl der Kombinationsmöglichkeiten und damit der Zeitbedarf um den Faktor 10 zu. Daher versucht man, durch eine möglichst große aber noch praktikable Schlüssellänge es dem Angreifer statistisch gesehen so schwer wie möglich zu machen. Bei einer genügend hohen Schlüssellänge schafft es ein Angreifer dann statistisch gesehen nicht, innerhalb seines gesamten Lebens einen Schlüssel zu knacken. Dies strebt man in verschärfter Form auch bei elektronischen Schlüsseln an, wobei man voraussetzt, daß ein Angreifer über die schnellsten Rechenanlagen zum Knacken verfügt. Bei einer starken Verschlüsselung kann man dann rechnerisch durchaus auf mehrere Millionen Jahre kommen.

Allerdings wird auch bei einer extrem großen Schlüssellänge die Knackwahrscheinlichkeit nie wirklich Null, auch wenn es ab einer gewissen Schlüssellänge wahrscheinlicher ist, von einem Meteoriten erschlagen zu werden. Denn schon der erste Versuch eines Angreifers könnte rein zufällig erfolgreich sein. Eine absolute Sicherheit gibt es halt nirgendwo im Leben.

Allgemein sinnvoll ist es zudem, eMails nicht nur dann verschlüsselt zu versenden, wenn man vertrauliche Dinge über das Internet schickt, sondern möglichst oft. Wer oft verschlüsselte eMails versendet, macht sich weit weniger verdächtig als jemand, der normalerweise unverschlüsselt kommuniziert und vielleicht nur ein einziges Mal pro Jahr eine eMail verschlüsselt. Denn dann kann vielleicht schon die im Klartext lesbare Empfängerangabe dem Angreifer verräterische Hinweise geben.

Zudem kann man, wenn man fleißigen Gebrauch von PGP macht und ganz sicher gehen will, mehrere private Schlüssel erzeugen: Z.B. für jeden Kommunikationspartner einen eigenen und/oder für eigentlich nicht schutzwürdige eMails einen Schlüssel und für vertrauliche eMails einen anderen Schlüssel. Weiterhin sollte man die PGP-Schlüssel nicht "immer und ewig" beibehalten sondern regelmäßig durch neu erzeugte ersetzen. Selbst für den sehr unwahrscheinlichen Fall, daß es einem Angreifer gelingen sollte, einen Schlüssel zu knacken, kann er lediglich die Kommunikation von bzw. zu einem Kommunikationspartner (je nachdem, welchen Schlüssel er geknackt hat) und nur für eine kurze Zeit (bis zum Schlüsselwechsel) mitverfolgen. Hier gilt auch das, was schon für normale eMails gilt: Antworten Sie nicht unter Beibehaltung des Textes, den Sie empfangen haben, sondern löschen Sie in der Antwort-eMail alles, was Ihr Kommunikationspartner Ihnen geschrieben hat. Ansonsten ergibt sich sehr schnell der Fall, daß eine eMail, die ein paarmal hin- und herging, die komplette Kommunikation beinhaltet. Dadurch fiele im Zweifelsfall einem Angreifer auch gleich der gesamte Vorgang in die Hände.

Ein sehr hohes Sicherheitsrisiko geht von sogenannten "Trojanern" aus. So nennt man bestimmte auf den Rechner eingeschleppte Schadprogramme. Das kann durch Leichtsinnigkeit passieren, weil Sie z.B. unverlangt zugeschickte ausführbare Dateien im eMail-Anhang geöffnet haben, oder aber man hat es Ihnen mit List und Tücke untergeschoben, indem ein ansonsten nützliches Programm vom Urheber gewollt eine Schadroutine enthält. Ein solches Schadprogramm nistet sich normalerweise so ein, daß es bei jedem Starten des Betriebssystems unbemerkt aktiviert wird. Dieses kann dann im Hintergrund z.B. Ihre Paßphrase oder die entschlüsselten eMails mitprotokollieren und später unbemerkt per eMail an den Urheber versenden. Paranoja? Nein, denn das FBI hat bekannterweise ein solches Programm gegen Kriminelle im Einsatz. Der erste Betroffene wanderte 2001 in den Knast, weil das FBI auf diese Weise seine PGP-verschlüsselten eMails lesen und dem Gericht vorlegen konnte. Es ist absolut nicht auszuschließen, daß auch Zeitgenossen, die nichts Gutes im Schilde führen, solche Schadprogrammem verbreiten.

Wichtig ist daher, daß Sie Ihren PC regelmäßig mit einem Virenscanner, der auch Trojaner erkennt (das tun die meisten), auf Befall untersuchen. Da es bereits Trojaner gibt, die ihrerseits Virenscanner erkennen und diese deaktivieren oder sich vor ihnen aktiv verstecken, sollten Sie einen Virenscanner verwenden, der von Diskette oder CD bootbar ist. Durch das Booten von einem garantiert viren- und trojanerfreien Datenträger wird vermieden, daß irgendwelche Schadroutinen Einfluß auf den Virenscanner nehmen.

Übrigens: Die Bezeichnung "Trojaner" ist natürlich im Grunde nicht richtig, denn gemäß der Sage waren die Trojaner, also die Bewohner Trojas, diejenigen, die übertölpelt wurden. Richtig wäre der Ausdruck "trojanisches Pferd", da sich einige Angreifer in einem riesigen, als Geschenk übergebenen Holzpferd versteckten, um nachts unbemerkt den Belagerern die Zugänge zur Stadt von innen zu öffnen.

Sinn und Legitimität
Nach soviel Anstrengung, eMails wirklich mitlessicher zu machen, werden Sie sich vielleicht fragen, ob dies nicht vielleicht ein bißchen hysterisch ist. Es mag vielen Leuten möglicherweise so vorkommen, weil sie ja "nichts zu verbergen" haben. Aber es gibt sehr stichhaltige Argumente dagegen: Zwar weiß jeder, was man üblicherweise in den diversen Kabinen einer öffentlichen Toilette tut, aber es ist trotzdem absolut üblich, die Tür zu verriegeln. Klar, es wird dort mitunter auch Mißbrauch wie z.B. Drogenkonsum getrieben, aber trotzdem lassen Sie es sich sicherlich auch bei bestimmungsgemäßem Gebrauch nicht verbieten, die Tür abzuschließen. Vom deutschen Gesetzgeber wird Ihnen ja auch ausdrücklich das Recht auf Privatsphäre zugesichert.

Kaum jemand wird auf die Idee kommen, fremden Leuten unnötig Einblick ins eigene Privatleben zu gewähren, d.h. im ganz normalen Leben machen Sie von diesem Recht meistens ausgiebig Gebrauch, ohne groß darüber nachzudenken. Man denke nur an die Diskretion eines Kreditinstituts (Ihr Nachbar muß ja nicht wissen, wieviel Geld oder Schulden Sie haben), abschließbare Briefkästen, Gardinen, Sichtschutz für den Balkon/Garten und vieles mehr. Aus diesem Grund möchte ich Sie dazu ermuntern, sich nicht im Internet als gläserner Surfer zu bewegen. Denn aus Ihren eMails kann man sehr leicht z.B. ein Profil von Ihnen anfertigen. Eine Bombardierung mit "zielgruppenorientierter" Werbung wäre dann noch die harmloseste Konsequenz. Bitte bedenken Sie, daß Ihre Kommunikation per ganz normaler Post recht gut vor neugierigen Blicken geschützt ist. Erst nach richterlicher Anordnung dürfen Ermittlungsbehörden Ihre Briefe öffnen. Ähnliches gilt für Telefongespräche, wobei hier jedoch bekannterweise die NSA (National Security Agency, d.h. der amerikanische Geheimdienst) illegalerweise fast alles mithört.

Es ist sinnvoll, sein ganz legales und vor allem legitimes Recht auf Privatsphäre vor allem im Internet wirklich auszunutzen. Denn hier ist es viel einfacher, Sie -zu welchem Zweck auch immer- auszuspionieren, weil die Daten ja schon gleich in digitaler Form vorliegen und in tausendstel Sekunden ausgewertet werden können. Zudem könnte der Gesetzgeber auf die Idee kommen, daß er die Privatsphäre im Internet problemlos einschränken könne, weil ohnehin nur sehr wenig Leute Gebrauch von ihrem Grundrecht machen. Eine Firma sollte ohnehin ihre gesamte Korrespondenz mit den Geschäftspartnern ausschließlich verschlüsselt abwickeln, weil bekanntermaßen die NSA (und nicht nur die!) u.a. durch Auswerten von eMails Wirtschaftsspionge betreibt. Leider wird dies von fast allen Firmen sträflichst vernachlässigt. Es ist daher kein Wunder, wenn so manches erfolgversprechender Geschäftsabschluß in letzter Minute platzt, weil ein Konkurrent Informationen besitzt, die ihn in die Lage versetzen, ein attraktiveres Angebot zu machen.

Download
Offizielle Seite: pgp.com/
Freeware Downloadseite (kein DL!): pgp.com/display.php?pageID=83
Neuste Version: 8
Sprache: Englisch
(Neuste Deutsche Version immer eine hinter der Englischen)
OS: WIN (98 und höher) und MAC (weiß ich nicht)
GRÖßE: ~8 MB(zippt)/~5 MB(sited)

Download viele verschiedene Versionen für fast alle OS
Freeware Downloadseite: pgpi.org/products/pgp/versions/freeware/
Eine Deutsche Version(6.51): pgpi.org/cgi/download.cgi?filename=PGP651intFreeware_DE.exe


Anmerkung vom J0|\|3
Ich dacht ich post das mal, so bekommt das hier vielleicht mehr Aufmerksamkeit, vielleicht sogar die, die es verdient ;).
Der Text un so ist alles von der obigen Quelle, die Downloadsiten sind legal und keine Direktendownloadlinks.

So far so good... be private

jone

Hey jone,


hatte den Bericht von dir gelesen. Und mir gedacht man könnte doch mal ein Referat über das Thema in der Schule halten. Dabei bin ich aber auf folgendes gestoßen:
------------------------------------------------------------------------------------
Quelle: sicherheit-im-internet.de
------------------------------------------------------------------------------------
22.11.1999
Die gute Nachricht ist: immer mehr Internet-Usern wird bewußt, daß ihre mails im Internet so privat sind wie an einer Plakatwand, und daß Verschlüsselung angesagt ist. Die schlechte Nachricht: zur Zeit können wir kein eMail-Verschlüsselungsprogramm empfehlen. Wir verweisen auf das vom BMWi geförderte OpenSource-Projekt GnuPG.


"Aber ? es gibt doch PGP!". Richtig ist, daß das PGP-Programm in Fachkreisen, vor allem auch im universitären Bereich, weit verbreitet ist. Es handelt sich ursprünglich um ein starkes Verschlüsselungsprogramm aus den USA auf Basis von "Freier Software" (OpenSource): der Quellcode des Programms lag offen und konnte von jedermann überprüft werden.
Dadurch bestand großes Vertrauen in die Sicherheit des Programms. Das Wichtigste bei einem Kryptographieprogramm ist natürlich, daß es selbst sicher ist, daß heißt, daß nicht ausgerechnet hier ?Hintertüren" eingebaut wurden. Erst kürzlich wurden solche ?Backdoors" in einigen sehr populären Programmen entdeckt.

Die Bewertung muss heute aber neu vorgenommen werden, seitdem der PGP-Erfinder Phil Zimmermann sein Produkt verkauft hat und PGP nun im Grunde ein kommerzielles Produkt der US-Firma Network Associates darstellt. Dieses Unternehmen soll seinerseits eng mit der National Security Agency (NSA) kooperieren. Welchen Wert die heute über das Internet vertriebenen Versionen im Hinblick auf die Sicherheit haben, kann nicht mehr beurteilt werden.

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist auf mögliche erhebliche Schwachstellen hin und empfiehlt das Produkt wegen möglicher "Falltüren" jedenfalls nicht für den Einsatz in der öffentlichen Verwaltung. Gleiches gilt für die Stabsstelle für Verwaltungsreform im Innenministerium Baden-Württemberg und die Koordinierungsstelle für Informationstechnik im Bund-Länder-Ausschuss beim Bundesministerium des Innern.

Im übrigen kann PGP aufgrund der nicht vorhandenen hierarchischen Struktur (es gibt keine zentrale Zertifizierungsstelle, die die Identität von Signaturantragstellern überprüft) die für digitale Signaturen erforderliche Gewährleistung der Identität von unbekannten E-Mail-Partnern nicht hinreichend gewährleisten und erfüllt deshalb weder die Voraussetzungen des heutigen deutschen Signaturgesetzes noch der gerade im Europaparlament verabschiedeten EG-Richtlinie zu elektronischen Signaturen.

Im Rahmen unserer Initiative "Sicherheit in der Informationsgesellschaft" wollen wir die Anwender auch auf die Risiken von PGP hinweisen. Als Alternative stehen in Deutschland eine Reihe von kommerziellen Produkten zur Verfügung.

Das BSI hat diese Entwicklungen im Rahmen des SPHINX-Projektes unterstützt, der Einsatz in den öffentlichen Verwaltungen ist angelaufen und wird extensiv fortgeführt. Die Initiative "Sicherheit im Internet" bereitet deshalb z.Zt. als follow up des Kryptoeckwertebeschlusses die Herstellung einer CD-ROM vor, die kostenlose Software für einzelne SPHINX-Produkte enthalten wird.

Außerdem hat das Bundesministerium für Wirtschaft und Technologie am 18.11.1999 die Förderung des Projektes der GUUG (Vereinigung Deutscher Unix-Benutzer e.V., München) "Open Source und IT-Sicherheit-Weiterentwicklung und Vermarktung des GNU Privacy Guards (GnuPG)" in Höhe von 318.000 DM bewilligt.

Hierbei geht es um die Programmierung, einschließlich Marketing, von Software-Schnittstellen, die die bestehende E-Mailverschlüsselungs-Implementierung GnuPG an einige bekannte Mailprogramme wie Microsoft-Outlook unter Einsatz von grafischen Symbolen anpassen soll. Damit würde für den Nutzer von Software eine wirkliche Alternative für den Einsatz eines vertrauenswürdigen Verschlüsselungsprogramms geboten, die darüber hinaus eine erhebliche Vereinfachung durch bekannte grafische Benutzeroberflächen darstellen würde.

Fazit: es gibt im Moment keine einfache und sichere Lösung der eMail-Kryptographiefrage für den Privatanwender. Aber es gibt hoffnungsvolle neue Ansätze, die nicht zuletzt sogar die Zusammenarbeit von Ministerien mit der OpenSource-Gemeinde beinhalten.

Eigentlich ist das die beste Nachricht...

Quelle: schicherheit-im-internet.de
Link zum Thema: Hier
------------------------------------------------------------------------------------

NAS und PGP unter einer Decke? Währe ja woll das letzte! Gibt es dein kein Progi was nicht irgentwo doch Sicherheitslücken hat?


Gruß Nelly154

hi!

leider ist das so, das die open source sachen verkauft werden - kommerzialisiert werden und somit auch der NAS zur verfügung stehen... das proggie was du suchst gibts glaub zur zeit nicht... ich schau mal, ob ich noch infos finde, es müsste ja noch irgendwo leudz geben die an PGP weitergehackt haben (als es noch open source war), vielleicht gibts da noch ne "sichere" version.

jone

btw: freut mich das euch der beitrag gefallen hat, so feedback ist immer gut... dann sieht man das es gelesen wird