PGP
PGP ist eine Verschlüsselungssoftware mit der sich Texte aber auch ganze Dateien verschlüsseln und (wichtig!) signieren lassen. Signieren bedeutet in diesem Fall, daß sobald sich der Inhalt der Datei ändert die Signatur ungültig wird. Das bietet Unterschriftencharakter insofern man die Beziehung Unterzeichnerschlüssel<->Mensch bestätigt hat. Auch gut geeignet um selbst vertriebene Software zu signieren um anzuzeigen daß sie nicht kompromittiert wurde.
Ich empfehle eine etwas ältere Version von www.pgpi.org herunterzuladen. Zum Beispiel 6.5.1i, die kann nicht nur DSS-Schlüssel sondern auch RSA-Keys erstellen und ist recht genügsam was die Ressourcen anbelangt. Da es eine Windows 95/98/Me Version ist, könnte eventuell das Setupprogramm unter XP meckern. Dann das Setup einfach per Rechtsklick auf die exe-Datei in den Kompatibilitätsmodus schalten.
GnuPG ist die Opensource-Fortführung des Ganzen, Gpg4win davon die Windowsversion. Verfügbar für viele Plattformen.
Ich persönlich bleibe erstmal bei PGP 6.5.1i, mein Mailprogramm The Bat! unterstützt diese Version und auch sonst kann ich mich darüber nicht beklagen. Einzig die Datei pgpmemlock.sys musste ich mir von der Version 6.5.3 (auch auf pgpi.org) herauskopieren, die wird seltsamerweise nicht installiert. Es handelt sich hierbei um einen Treiber von PGP, der (meine Vermutung) dafür sorgt daß eingegebene Paßwörter nicht im Speicher durch Drittsoftware ausgelesen bzw. durch Windows in der Swapdatei ausgelagert werden können. Netter Zusatz, bloß denke ich mir wenn schon im Hintergrund Paßwortscanner laufen ist der Rechner sowieso schon kompromittiert…
Sinnvoll ist das ganze natürlich auch um E-Mails oder auch Instant Messaging (z.B.via Jabber) automatisch zu verschlüsseln, da die Nachrichten ansonsten von jedem Server mittendrin gelesen werden können. Plugins für z.B. Outlook, The Bat und andere Mailclients gibt es genügend Sollte auch das nicht klappen gibt es noch die Bedienung (bei PGP) per Trayicon, wo sich der Inhalt des aktiven Fensters signieren/verschlüsseln/entschlüsseln läßt.
Ich weiss es, du weisst es, aber meiner Meinung nach, geht der Artikel nicht stark genug darauf ein welches großen Vorteil PGP gegenüber TrueCrypt hat, oder einfach gesagt, das PGP ein ganz anderes Anwendungsgebiet hat, halt alles wo ein Kommunikationspartner ins Spiel kommt.
PGP verschlüsselt nicht nur Daten, dafür würde ich nach wie vor Truecrypt nehmen, sondern PGP kann immer dann zum Einsatz kommen, wenn ich sensible Daten über eine unsichere Leitung übertragen muss, wenn ich wirklich sicherstellen will, das der Empfänger auch tatsächlich das bekommt was ich gesendet habe, das also nur er lesen kann. Und sollte jemand anderes die Nachricht verändert haben, erlischt die Signatur (ok, das stand drin).
PGP hat meiner Meinung nach, nur ein gewaltiges Problem, es benutzt fast niemand, Wenn von 100 Kontakten, nur einer PGP benutzt, muss ich in 99% aller Fälle die Daten doch wieder offen verschicken. Ich denke das ist das größte Problem an dem PGP seit Jahren krankt, ich muss nicht nur selber meine Daten schützen wollen, sondern ich muss meinen Kommunikationsparter direkt auch noch davon überzeugen.
Zu meiner Schande muß ich gestehen daß ich meine PGP-Mails nicht unterzeichne sondern lediglich verschlüssele – das ist mir aber relativ egal da meine Mails keine wichtige Weisungbefugnisse haben als daß es jemand als lohnenswert erachtet meine Identität anzunehmen.
Ich habe aber “The Bat” mal umgestellt, daß es von an auch signiert.
Du hast den Aspekt der Signatur ja schön nachgefügt.
Daß es keiner benutzt ist natürlich doof – das stimmt. Zum Einen macht es Arbeit das zu installieren und dann auch noch zu benutzen und zum Anderen ist es wohl dafür auch einfach zu unbekannt. Überzeugungsarbeit wäre da von Nöten, dauerhaft wohl nur zu benutzen wenn man nichts davon merkt. Vielleicht wäre es ja immer noch besser wenn jeder sein PGP-Paßwort im Klartext auf der Festplatte speichern würde (früher was das mit einer SET-Variablen möglich unter DOS) als daß alle E-Mails unverschlüsselt gesendet werden…
Das Mails automatisch verschlüsselt werden ohne das man etwas machen muss, wäre vielleicht noch eine Möglichkeit, allerdings glaube ich irgendwie nicht das sich die Basis von PGP noch wirklich enorm vergrößern wird, PGP gibts immerhin schon seit Anfang der 90′er Jahre, wer es jetzt noch nicht benutzt wird es wohl auch in Zukunft kaum tun.
Automatische Verschlüsselung ist Usus und nicht das Problem. Das automatische Entschlüsseln ist sicherheitsproblematischer und aufwendig wenn es von Hand gemacht wird. Erklär mal einem Newbie am Computer er müsse bei jeder ankommenden verschlüsselten Mail von seinem Freund ein Paßwort eingeben.
Mit der Basis dürftest du Recht haben. Aber das liegt auch mit Sicherheit an dem fehlenden technischen Verständnis der breiten Masse was die Protokolle im Internet anbelangt. Ich kenne zwar keinen RFC auswendig, noch nicht einmal die Nummern kenne ich aber ich weiß genau wo im Internet Stellen auf mich lauern an denen ich Daten ohne mein Wissen preisgeben kann. Daß E-Mails offen über Server verschickt werden, wo diese dann auf jedem der Server dazwischen gelesen kann werden die Wenigsten wissen. Stellenweise habe ich aber auch das Gefühl daß die Leute einfach kein Interesse daran haben. Wie lange bin ich jetzt schon dran meiner Mutter mit ihren über 60 Jahren die Benutzung von Payback auszureden? Ich will es nicht wissen, aufgegeben habe ich aber nicht.
Zum Einen dieses fehlende Hintergrundwissen und zum Anderen natürlich auch die fehlende Verbreitung der Software an sich. Windows liegt kein PGP bei, sage ich jetzt mal knapp formuliert.
Das Problem ist, wenn einem die Welt nicht gefällt muß man etwas daran arbeiten daß sie sich ändert. Und da wird man halt manchmal in der Rolle eines Predigers/Schwarzsehers/Kritikers gesehen, das ist aber wohl unvermeidbar wenn man die Welt verändern möchte. Und im privaten Umfeld fängt es sich da natürlich am Leichtesten an.
[...] Lokal mit PGP [...]
Steter Tropfen höhlt den Stein, so hast Du es durch Deinen Artikel geschafft zumindest mich dazu zu bringen, mir endlich PGP zu holen.
Seien wir ehrlich, 95% aller Emails sind es nicht unbedingt wert, verschlüsselt zu werden, da sie nur sehr wenige, sensitive Informationen enthalten, die man ausnutzen könnte, falls man Empfänger oder Sender nicht kennt. Und davon geht der Durchschnittsuser nun mal aus. Der denkt nicht daran, dass der Arbeitgeber illegalerweise die privaten am Arbeitsplatz verschickten Emails lesen könnte. Oder auch der Sysadmin, einfach weil im gerade langweilig ist…
Es ist wie bei vielen anderen Dingen auch: Verschlüsselung erhöht die Komplexität und damit nur die Anzahl der gemachten fehler, sondern damit auch die Abneigung des Nutzers dies zu tun. Würde Microsoft PGP in Windows oder zumindest Outlook integrieren, so dass bei der Installation sofort auch ein Schlüssel generiert würde und automatisch alle Emails signiert, wäre der Schritt für viele viel leichter zur Verschlüsselung jeder Mail.
P.S. unter Vista bekomme ich diese alte Version nichtmal mehr installiert, eigentlich schade, da ich mir letztes Jahr auch The Bat! gekauft hatte.
Ich werd dann mal sehen was ich mit einer neueren Version reißen kann, der Artikel hat also auf jeden Fall schon mal was gebracht wenn 2 Leute endlich mal ihren Arsch hoch bekommen.
ok, ich geb auf, die Seite http://www.openpgp.com sieht aus als wäre sie seit Jahren nicht mehr geupdatet worden, http://www.pgp.com scheint nur kommerzielle Versionen zu vertreiben und als ich gesehen habe das es dutzende von Versionen gibt, welche alle andere Standards unterstützen, war es bei mir vorbei, siehe hier: http://www.spywarewarrior.com/uiuc/pgp-summ.htm
Das einzig positive ist das ich privat kaum noch Mails schreibe, die meiste Kommunikation erledige ich mit Trillian, und der verschlüsselt automatisch wenn der andere Client es unterstützt.
Ich benutze auch GPG/PGP und kenne auch eigentlich keinen, der das benutzt. Aber wenn Samthammel (einzige Ausnahme) mir einen neuen Key schickt, dann rufen wir uns sogar gegenseitig an, um den Fingerabdruck des Schlüssels zu prüfen, damit es keine Man-In-The-Middle-Attack gibt.
Leider läßt das Sicherheitsbewußtsein der Menschen doch sehr zu wünschen übrig, da kaum jemand GPG/PGP benutzt. Billiger kann man da nicht drankommen.
@Starkiller: Hast du dir denn mal Gpg4win angeguckt?
@Marnem: Freut mich daß es etwas gebracht hat. Bei Outlook Express gab es früher immer nur so eine komische Möglichkeit seine Mails zu verschlüsseln die ich stets ignoriert habe.
@Fuzz: Ja, man kann sich da nur wiederholen – die Leute interessiert es nicht.
[...] Der Samthammel hat ja erst kürzlich beschrieben, wie man verschlüsselt per eMail und IM kommunizieren [...]