Emails verschlüsseln?

Eine Anleitung.

  • Wozu eigentlich E-Mails verschlüsseln oder Signieren?

Niemand würde auf die Idee kommen vertrauliche Dinge mit einer Postkarte zu versenden. Unsere Mails werden aber alle gelesen, nicht persönlich, aber doch von Robotern, die ständig nach bestimmten Schlüsselwörtern fahnden. Dabei geht es nicht nur darum Terroristen oder Kriminelle aufzuspüren (die verschlüsseln ihre Nachrichten sowieso), sondern auch darum persönliche Datenprofile zu erstellen um z.B. Werbung gezielt zu verbreiten oder was wesentlich schlimmer ist, zu ergründen wer mit wem wie kommuniziert. Wenn man erst mal in eine Kategorie eingestuft ist, ist es sehr schwer dort herauszukommen.
Ich kann da von einem Fall in meiner Familie berichten. Das hat zwar nicht direkt mit E-Mail schnüffeln zu tun, aber doch mit dem Thema Datensammlung und Profilerstellung.
Meine Mutter hat bis vor drei Jahren gelegentlich bei einem Versandhaus bestellt (ich hoffe sie tut es nicht mehr) und meist viel zu früh (meine Meinung) ihre Rechnung bezahlt. Selbst minderwertige Ware hat sie nie reklamiert, und auch sonst nichts zurückgesendet (was ja einige tun nachdem sie z.B. ein Kleidungsstück zu einem besonderen Anlass getragen haben und nun nicht mehr benötigen). Meine Mutter hat sich also in keinster Weise etwas zu Schulden kommen lasse. Und doch kam eines Tages die Aufforderung Seitens des Versandhauses, nachzuweisen, dass sie Liquide sei und ab nun per Vorkasse bezahlen soll. Das rührt vermutlich daher, dass andere in unserem Ort nicht so zahlungsfreudig sind wie sie. Es wurde also ein lokales Profil erstellt und meine Mutter gehört seit dem zu der Gruppe von Personen die ihre Rechnung nicht pünktlich bezahlen. Ausgezeichnet, man wird also von der Wirtschaft automatisch in Gruppen eingeteilt. Genauso verhält es sich an der Kasse verschiedener Medienwarenhäusern. Dort wird man gefragt aus welchem Postleitzahlengebiet man kommt. Sicher werden nicht meine persönlichen Daten mit meiner Postleitzahl in Verbindung gebracht (es sei denn wenn ich mit EC-Karte bezahle, was ich aus Prinzip nicht tue, aber das ist anderes Thema). Der Konzern kennt also nun meine Postleitzahl und das was ich gekauft habe. Nun kann man also nachvollziehen, wo meine Kunden wohnen und welche Geräte sie in ihrem Wohnungen stehen haben, in welchem Bereich lieber Markenprodukte gekauft werde, und wo die Schnäppchenjäger wohnen. Ganze Stadtgebiete können so einfach als Zahlungskräftig oder schlimmer als nicht lukrativ eingestuft werden. Das stört mich in dem Moment erst einmal nicht. Vielleicht wundere ich mich nur, dass ich komische Werbung bekomme. Irgendwann vielleicht will ich aber etwas von dem Konzern, vielleicht ist etwas kaputt gegangen, oder ich benötige Support. Dann werden ich den Daten beurteilt, die fein vernetzt gesammelt und ausgewertet wurden. Genauso wie die Daten, die aus den Informationen in meinen E-Mails über mich gesammelt wurden gegen mich verwendet werden können.
Kurz und Gut; Leute verschlüsselt eure Nachrichten!
„Encryption is not a Crime“

Ich bin etwas abgeschweift hier also der Unterschied zwischen Verschlüsseln und signieren. Beim Verschlüsseln bzw. bei der Sicherheit der geheimen Daten-Übertragung sind 2 Perspektiven wichtig, einmal die Gewährleistung der Geheimhaltung und zum anderen die Authentizität des Absenders. Authentizität bedeutet hier, dass der Inhalt auch tatsächlich vom besagten Absender ist.

  • Privater- Öffentlicher Schlüssel, HÄÄ?

Jeder, der seine E-Mails verschlüsselt empfangen oder senden will benötigt dazu ein Schlüsselpaar.

Nehmen wir an, die E-Mail oder die Datei sei in einer Truhe verschlossen. Im Gegensatz zu einem „normalen“ Schloss mit einem Schlüssel gibt es beim Public-Key-Verfahren zum Verschlüsseln/ Entschlüsseln ein Schlüsselpaar. So gibt es einen beglaubigten Schlüssel zum Verschlüsseln der „Zertifikat“ und einen Schlüssel zum Entschlüsseln „Geheimer Schlüssel“.
Klingt zwar komisch wann man an echte Schlösser denkt, aber bei Software löst diese Idee das Problem, dass ich meinen Schlüssel für jeden Empfänger aus der Hand geben müsste. Denn normalerweise muss der Schlüssel zum Verschlüsseln/Abschließen auch zum Entschlüsseln bzw. Aufschließen benutzt werden. Also muss ich dem Empfänger, wenn ich etwas für Ihn in der Truhe verschließe, die Truhe und den Schlüssel geben. Wenn der Schlüssel bei der Übertragung abhanden kommt oder jemand davon eine Kopie erstellt, ist das ein großes Problem.
Beim Public-Key-Verfahren verschließe ich die Truhe mit dem öffentlichen Schlüssel, dem „Zertifikat“ des Empfängers und der Epfänger schließt die Truhe mit seinem „Geheimen Schlüssel“ auf. Ich muss also nur die Truhe zu ihm transportieren lassen. Das ist auf jeden Fall sicherer als den geheimen Schlüssel mit zu transportieren, selbst wenn er einen anderen Weg als die Truhe zum Empfänger nehmen würde.
Eine mit dem öffentlichen Schlüssel (des Empfängers) verschlossene Truhe lässt sich also nur mit dem privaten, geheimen Schlüssel des Empfängers öffnen. Somit ist gewährleistet, dass niemand sonst die Truhe öffnen kann.

Um die Authentizität des Absenders sicherzustellen – also dass sich der Empfänger sicher sein kann, dass die Nachricht auch wirklich von mir ist – kann ich die Nachricht signieren.
Das bedeutet, dass ich meine Unterschrift unter meinen Brief setze, die nur ich kann.
Bei E-Mails bedeutet das, dass ich den gleichen Text verschlüsselt an die Nachricht anhänge. Diesmal wird verschlüssele ich allerdings mit meinem privaten Schlüssel. Jeder, der meinen öffentlichen Schlüssel hat kann nun zwar meine Nachricht im Anhang lesen, wenn nun die beiden Texte verglichen werden, und sie gleichen sich, dann kann der Leser sicher sein, dass ich den Text versendet habe und dass dem Text nichts hinzugefügt, oder aus ihm entfernt wurde.
(In der Praxis wird allerdings nicht die Originalnachricht verschlüsselt angehängt sondern ein Hashcode aus ihr. Das werde ich hier aber nicht erläutern.)

  • Wie mach ich das jetzt?

Bei http://www.gpg4win.de/ gibt es detaillierte Informationen und die notwendige Software.
Ich habe hier nur Binsenweisheiten verraten. Sicher wisst ihr das schon alle, aber dafür ist ja ein Blog da, Binsenweisheiten zu verraten. Das musste ich mir einfach von der Seele reden.
In diesem Sinne.

Advertisements

2 Responses to Emails verschlüsseln?

  1. AHiLLA sagt:

    hdbh jndwqö bwdaö nd bdqh jwabdö. hbdwq… hahaha

    Hab die obenstehende Botschaft mal verschlüsselt. Soll ja nicht jeder mitbekommen, was ich hier so ab lasse. 😉

  2. mazl sagt:

    NYFB JRAA QNF FB VFG JREQR VPU QNF NHPU ZNY ZNPURA WRQRE QRE QNF YVRFG VFG TNE AVPUG FB QHZZ JVR VPU QNPUGR UNO RHPU NYYR YVRO ZNMY

    http://willy.chemie.uni-konstanz.de/fotos/caesar.htm
    Schlüssel lautet: 13

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

%d Bloggern gefällt das: