Im Dschungel der Verschlüsselungssoftware ist es leicht den Überblick zu verlieren. Viele Buchstabenkombinationen sind für den Laien undurchsichtig. Um die Verwirrung darüber zu lichten, möchten wir Ihnen in diesem Ratgeber die GPG-Verschlüsselung vorstellen.
Wie andere Verschlüsselungsverfahren kann auch GPG eine Datei für Sie verschlüsseln. Doch was unterscheidet diese Software von anderen Programmen zur Verschlüsselung? In diesem Ratgeber möchten wir Ihnen näherbringen, wie die GPG-Verschlüsselung angewendet werden kann, wie Sie mit GPG Ihre Datei wieder entschlüsseln und welche Vorteile die Technik gegenüber anderen Verfahren hat.
Dieses kryptographische System basiert komplett auf quelloffenen Verschlüsselungen. Deswegen werden nur patentfreie Verschlüsselungen in diesem Verfahren verwendet. Zwar existiert das System schon seit 1997 kommt aber immer noch zum Einsatz, ist aber nicht ohne Kritikpunkte.
Inhaltsverzeichnis
Qualität aus deutscher Entwicklung: Die GPG-Verschlüsselung
GPG bezeichnet den GNU Privacy Guard. Die Software wurde von dem Deutschen Werner Koch entwickelt, der das Projekt über ein Crowdfunding finanzierte. Sein Ziel war es, Verschlüsselung für so viele Nutzer wie möglich zugänglich zu machen. Das von ihm entwickelte Konzept ermöglicht es:
- Daten zur Lagerung oder zum Transport verschlüsseln.
- Digitale Signaturen erzeugen, die die Vertraulichkeit gewähren sollen.
Doch nicht nur bei der Verfügbarkeit sollte die GPG-Verschlüsselung die Nutzerschaft überzeugen, auch andere Eigenschaften zeichnen es dafür aus, vielseitig eingesetzt zu werden. Mit dem Web of Trust wollte die GPG-Verschlüsselung eine Möglichkeit kreieren, damit das Problem der Identifikation zwischen den Nutzern gelöst werden kann.
Das Protokoll verwendet primär den OpenPGP-Standard. Darüber hinaus sind spätere Versionen auch fähig S/MIME oder PGPG/MIME zu implementieren. In der einfachsten Ausführung werden für die Verschlüsselung oder Zertifizierung ausschließlich quelloffene und patentfreie Algorithmen eingesetzt. Nur diese sind nachweislich sicher.
Die GPG-Verschlüsselung ist kompatibel mit den meisten Betriebssystemen. Wichtig ist dabei nur, dass das System, auf dem die Verschlüsselung angewendet werden soll, unix-basiert ist. Sonst treten Kompatibilitätsprobleme auf.
Wie funktioniert die GPG-Verschlüsselung?
Das angewendete Verschlüsselungsverfahren, das die GPG-Verschlüsselung konstituiert, ist ein sogenanntes Public-Key-Verschlüsselungsverfahren. Es handelt sich dabei um eine Form der asymmetrischen Verschlüsselung. Dabei gibt es für eine Verschlüsselung nicht nur einen Schlüssel wie bei der symmetrischen Verschlüsselung, sondern es gibt zwei Schlüssel.
Das Schlüsselpaar besteht aus dem öffentlichen (Public) und dem geheimen (Privat) Teil. Es werden beide gebraucht, um beispielsweise mit GPG eine Datei entschlüsseln und verschlüsseln zu können. Jeder Nutzer besitzt sein spezifisches Schlüsselpaar, das es Ihm die GPG-Verschlüsselung ermöglicht.
Die GPG-Verschlüsselung folgt den klassischen Schritten der asymmetrischen Verschlüsselung. Der Public-Key der zur Entschlüsselung berechtigten Person kann dazu verwendet werden, Informationen für diese zu verschlüsseln. Nachdem die gewünschte Datei verschlüsselt wurde, kann sie nur noch mit dem Privat-Key vom entsprechenden Schlüsselpaar entschlüsselt werden.
Wie kann der Schlüssel zum Verschlüsseln nicht dazu verwendet werden, dieselbe Datei wieder zu entschlüsseln?
Die GPG-Verschlüsselung verwendet, wie bei der asymmetrischen Verschlüsselung üblich sogenannte Falltürfunktionen. Dabei handelt es sich um mathematische Funktionen, mit denen der kryptische Geheimtext aus dem Klartext berechnet wird.
Wird nun versucht, diese Gleichung umzukehren, ergibt sich aber eine große Menge an möglichen Ergebnissen. In dem Haufen der falschen Entschlüsselungen den unbekannten Klartext zu finden ist nicht in einer realistischen Zeit zu bewältigen. Dazu ist der Privat-Key nötig.
Dieser fügt der Entschlüsselungs-Funktion die nötigen Parameter hinzu, damit ein eindeutiges Ergebnis berechnet werden kann. Wird der Privat-Key geheim gehalten und sichergestellt, dass der Public-Key der richtigen Person gehört, ist die GPG-Verschlüsselung auf Basis eines sicheren Konzepts entwickelt.
Die Verbindung der GPG-Verschlüsselung mit dem Web of Trust
So ist es möglich mit asymmetrischer Verschlüsselung wie der GPG-Verschlüsselung Dateien sicher zu verschlüsseln. Doch trotz der sicheren Verbindung ergeben sich andere Probleme. Personen können sich weiterhin mit ihrem Public-Key als jemand anders ausgeben.
Das Web of Trust arbeitet mit Signaturen. Mit denen zeichnet ein Nutzer einen Schlüssel als vertrauenswürdig aus. So kann sich eine Kette und folglich ein Netz aus Vertrauen aufbauen, bei der die verschiedenen Nutzer sich im Web of Trust gegenseitig verifizieren. Für die Schlüssel der GPG-Verschlüsselung existiert ein eigenes Netzwerk zur sicheren Verwaltung der öffentlichen Schlüssel.
PGP/GnuPG bietet sich darin als seriöse Erstinstanz an, um öffentliche Schlüssel zu signieren. Angeboten wird dies über Fachzeitschriften und auf IT-Messen. Bei einer wissenschaftlichen Untersuchung fanden Analysten heraus, dass eine Teilmenge der Nutzer des Web of Trust, das das Team um die GPG-Verschlüsselung hostet, sehr stark untereinander vernetzt sind. Die gegenseitigen, zahlreichen und ebenfalls vertrauenswürdigen Signaturen macht diese Gruppe zu einem interessanten Phänomen, das durch Informationskampagnen über die GPG-Verschlüsselung und ihre Möglichkeiten immer wieder bestärkt wurde.
Fazit zur GPG-Verschlüsselung
- Als quelloffene und patent-freie Verschlüsslungssoftware ist die GPG-Verschlüsselung nachvollziehbar sicher.
- Über Sicherheitslücken berichtete das Entwickler-Team ausführlich und behob sie umgehen.
- Das Web of Trust ermöglicht es, über einen analogen Kanal Vertrauen zu den öffentlichen Schlüsseln im Netzwerk zu haben.
Erstmals ein grosses Kompliment zu diesem Artikel.
Ich fange gerade an mich in das Thema Kryptographie einzuarbeiten.
Ich freue ich mich sehr über die GnuPG Dokumentation, diese ist wirklich gut auch für den Einsteiger verständlich.
Auch wenn man wahrscheinlich erst mal etwas erstaunt ist wie weitreichend und komplex das Thema und alles drum und dran ist.
Euer Artikel ist eine gelungene, freundliche Beschreibung um Kryptographie und Verschlüsselungstechnologie kurz vorzustellen.
Freundliche Grüsse:
Iby