12.8.2008

Kontakt,Email,PGP_Key

mail

 

Adresse:

Jörn Abatz
Eimsbütteler Chaussee 101
20259 Hamburg

Tel.(040) 4322 976

Mail: mail@abatz.de
Web: http://www.abatz.de

PGP-Key: abatz.asc (Rechtsklick - "Save As")
Key-ID: 2A091C19
Key-Fingerprint = C791 EAF9 4015 D3A6 243B   26DA BCC7 D079 2A09 1C19

Steuernr. 57/015/12393

 

Das Problem mit "Spam" (unerwünschte Werbung und andere belästigende Mails)

Meine Email-Adressen sind schon ein paar Jahre alt. Der Spam-Anteil meiner Email liegt über 99 Prozent. Ich bin gezwungen, streng zu filtern. Da bleibt es nicht aus, daß hin und wieder Mail von mir unbekannten Absendern in meinem Filter hängenbleibt. Ihre Mail erreicht mich, wenn Sie hier durchkommt (in dieser Reihenfolge):

signierte und verschlüsselte Mail (PGP)         Posteingang
von bereits bekannten Virenversendern             Papierkorb
mit ausführbaren Anhängen                                     Viren-Ordner
Liste der Freunde                                                     Posteingang
von bekannten Spam-Absendern                               Spam-Ordner
signierte Mail (PGP)                                               Posteingang
mit Spam-Merkmalen ("Viagra")                             Spamverdachts-Ordner
mit HTML im Body (nicht reiner Text)               Spamverdachts-Ordner
mit base64-Kodierung (nicht direkt lesbar)   Spamverdachts-Ordner
von Spam-freundlichen Providern                         Spamverdachts-Ordner
von Anbietern kostenloser Email-Adressen       Spamverdachts-Ordner
aus Spam-freundlichen Ländern                             Spamverdachts-Ordner
Absender in .de - Provider nicht in .de         Spamverdachts-Ordner
der Rest                                                                       Posteingang

 

Was kommt durch:

  • mit PGP signierte und verschlüsselte Mail - immer

oder:

  • ohne .exe, .pif, .vbs, .doc u.ä. Anhänge
  • von Freunden, die in meiner Liste stehen

oder:

  • ohne .exe, .pif, .vbs, .doc u.ä. Anhänge
  • von Absendern, die nicht in meiner Spammer-Liste stehen
  • mit PGP-Signatur

oder:

  • reiner Text
  • ohne Spam-Worte
  • ohne HTML
  • von einem Provider, der Spam nicht begünstigt
  • aus Ländern, die Spam nicht begünstigen

Letzteres ist schon etwas unsicher. Beispiele:

  • web.de bietet Email-Adressen gegen Geld, aber auch noch kostenlos an
  • von hotmail.com, netscape.com, yahoo.com u.ä. ist hier sowieso bisher nur Spam angekommen
  • aus ganz Asien (außer Japan) ebenfalls
  • aus Afrika auch
  • aus Dänemark und den Niederlanden kommt auch viel Spam
  • auch in den USA gibt es Provider, die sich um Spam nicht kümmern (z.B. rr.com)

 

Warum man heute PGP verwenden sollte:

1. Emails ohne Signatur sind wie Briefe ohne Unterschrift

2. Emails ohne Verschlüsselung sind wie Briefe ohne Umschlag

"PGP" steht für "Pretty Good Privacy" ("Ziemlich guter Schutz der Privatsphäre"). PGP hat zwei Funktionen, die man einzeln oder auch kombiniert verwenden kann: "Digitale Unterschrift" und "Verschlüsselung". "Digitale Unterschrift" bedeutet, daß der Empfänger einer Nachricht prüfen kann, wer die Nachricht tatsächlich verschickt hat. "Verschlüsselung" bedeutet, daß nur der tatsächliche Empfänger die Nachricht lesen kann. (Wobei das Wort "tatsächlich" gewissen weiteren Bedingungen und Einschränkungen unterliegt, siehe unter: "Wie sicher kann man sein").

 

Nur signierte Emails sind garantiert echt

Es ist nämlich sehr einfach, Emails zu fälschen, sowohl den Absender als auch den Inhalt. Es ist genauso einfach wie "Klingelstreiche". Und es wird z.B. von Spammern täglich milliardenfach so gemacht. Hin und wieder sind z.b. Mails unterwegs, die als angeblichen Absender "news@abatz.de" haben, die aber aus Korea stammen. Ich merke das daran, daß ich hin und wieder einige Tage lang Beschwerdemails aus aller Welt bekomme. Man kann im Grunde nichts dagegen machen. Aber immerhin: wenn Sie so eine Mail bekommen, und sie ist nicht signiert, dann wissen Sie gleich, daß sie nicht wirklich von mir stammt.

Jede Email-Adresse, an die Spam verschickt wird, kann auch von Spammern als Absender mißbraucht werden. Mit einiger Wahrscheinlichkeit wird also auch Ihre Email-Adresse hin und wieder als Absender benutzt, um Werbung für Pornografie, für Viagra oder für Penisverlängerungs-Operationen zu verschicken.

 

Emails verschlüsseln ist nötiger als Sie denken

Informationen die dem Datenschutz unterliegen, darf man z.B. nicht offen auf Postkarten verschicken, man ist verpflichtet, einen Briefumschlag zu verwenden.

Ebenso sollten Sie Dokumente, die finanzielle oder technische Geschäftsgeheimnisse enthalten, nicht ohne Briefumschlag verschicken.

Was der Briefumschlag für die Post, ist die Verschlüsselung für die Email. Was Sie per Post nicht ohne Umschlag verschicken, sollten Sie auch per Email nicht unverschlüsselt verschicken.

Jeder Email-Server bei jedem Provider besitzt ab 1.1.2005 eine Abhörschnittstelle, über die jede Ermittlungsbehörde von Polizei bis Steuerfahndung auf ihre gesamte elektronische Kommunikation zugreifen kann, ohne daß es irgend jemand merkt.

In einer Zeit wie der heutigen, wo man mit einiger Wahrscheinlichkeit davon ausgehen kann, daß zumindest staatliche Stellen, zumindest in den USA sämtliche Emails auf der Welt abhören und auf Stichworte prüfen, in einer Zeit wo es üblich ist, daß hin und wieder Manager von großen Konzernen als gewöhnliche Betrüger entlarvt und verhaftet werden, in einer Zeit wo Parteien und Politiker Geld annehmen und ohne demokratische Kontrolle darüber verfügen können, würde ich mich auf die Schweigepflicht öffentlicher Stellen nicht allzusehr verlassen.

Ich glaube, man sollte heute sicherheitshalber davon ausgehen, daß gewisse Kanäle existieren, von staatlichen Stellen in die Wirtschaft und umgekehrt. Wenn einem seine Kunden, seine Aufträge, sein Know-How, seine Firmengeheimnisse und - nicht zuletzt - die Vertraulichkeit seiner Privatangelegenheiten am Herzen liegen, sollte man aufhören, seine Emails offen zu verschicken wie Urlaubskarten.

Bei Polizei, Justiz und den Innenbehörden wird in letzter Zeit die Forderung laut, Verschlüsselung nur noch zuzulassen, wenn ein Nachschlüssel bei einer Behörde hinterlegt wird. Das würde natürlich die ganze Verschlüsselung überflüssig machen, denn genau die Behörden sind im Augenblick das größte Sicherheitsproblem. Schaffen Sie rechtzeitig Tatsachen, führen Sie Verschlüsselung und Signatur bei sich ein.

 

PGP erzeugt zwei Schlüssel:

und zwar einen geheimen, privaten Schlüssel und einen öffentlichen. Die beiden Schlüssel sind Stiefzwillinge: was mit dem privaten signiert wurde, kann mit dem öffentlichen geprüft werden, und was mit dem öffentlichen verschlüsselt wurde, kann mit dem privaten wieder gelesen werden.

Man prüft also nicht, welche tatsächliche Person eine Nachricht signiert hat, sondern man prüft nur, ob die beiden Schlüssel zusammenpassen. Deshalb ist eine Homepage schon ein ganz guter Platz für einen Schlüssel: Man kann zumindest sicher sein, daß der Absender - "name@domaene.land" - auch Zugriff auf die Webseite in derselben Domain "www.domaene.land" hat.

 

Wie sicher kann man sein:

Wenn Sie sich meinen Schlüssel von meiner Webseite holen, kann er nur von folgenden Personen stammen: Von mir selbst, von jemandem, der bei meinem Provider arbeitet, oder von der Justiz oder einer anderen Behörde.

Wenn Sie mit meinem Schlüssel eine Nachricht erfolgreich prüfen, kann sie nur von folgenden Personen stammen: Von mir selbst, oder von jemandem, der meinen privaten Key von meinem Computer herunterkopiert hat, und der sich außerdem irgendwie mein "Mantra" beschafft hat, mit dem ich den Key freischalten muß, wenn ich ihn benutze, oder von einer Person aus dem vorigen Absatz, oder aus dem nächsten Absatz:

Im Prinzip ist es auch möglich, einen Schlüssel zu "knacken". Im Augenblick geht das aber nur mit schierer Rechenkapazität, Hintertüren oder Abkürzungen sind zur Zeit nicht bekannt. Die Rechenkapazität zum Knacken eines PGP-Keys in absehbarer Zeit, sagen wir "ein Jahr", wird im Augenblick geschätzt auf "mehr Chips als die Erde an Silizium enthält".

Aus all diesen Gründen heißt die "Privacy" nur "pretty good", aber nicht "absolute".

 

Unterschriebene Schlüssel sind etwas sicherer

Wenn ein Schlüssel von einem "Dritten" unterschrieben ist, dem Sie vertrauen, und dessen Unterschrift Sie prüfen können, verringern sich die Betrugsmöglichkeiten: Auch dieser "Dritte" müßte dann Teil des Komplotts sein, das Ihnen einen falschen Schlüssel unterschieben will. Unterschreiben (signieren) kann man nämlich nicht nur Nachrichten, sondern auch Schlüssel.

 

Einen Schlüssel zu unterschreiben, bedeutet: Man hat die Identität des Inhabers geprüft.

Wenn Sie also sicher sein wollen, daß mein Schlüssel tatsächlich mir gehört, dann treffen Sie sich mit mir, und signieren meinen Schlüssel höchstselbst. Es geht aber auch noch anders: Sehen Sie nach, wer meinen Schlüssel signiert hat, treffen Sie sich mit dem, und unterschreiben seinen Schlüssel. Oder sehen Sie nach, wer alles seinen Schlüssel signiert hat, und treffen sich mit dem. Und so weiter. Die Methode heißt: "Einen Vertrauenspfad bauen" (Path of Trust) von mir zu Ihnen.

 

Schlüssel für Geschäftspost

Sie brauchen entweder ein Schlüsselpaar für die gesamte Firma, das dann in jeder Filiale vorhanden sein muß, oder Sie erzeugen in jeder Filiale ein eigenes Schlüsselpaar.

Email, die von genau einem Mitarbeiter an genau einen anderen Mitarbeiter gehen soll, kann man mit den Schlüsseln der Mitarbeiter bearbeiten, so daß kein anderer Zugriff bekommt.

Normale Geschäftspost bearbeitet man entweder nur mit dem Firmenschlüssel, oder man bearbeitet sie mit dem Firmenschlüssel UND dem Mitarbeiterschlüssel. Dann kann sie auch dann noch gelesen werden, wenn der Mitarbeiter z.B. im Urlaub ist.

 

PGP kann - jedenfalls in der augenblicklichen Situation - gegen Spam helfen

Spammer besorgen sich ihre Adressen zum Teil mit automatischen Programmen, die Webseiten nach Emailadressen durchkämmen, zum Teil aus den Newsgroups und zum Teil von Anbietern kostenloser Dienste (wie z.B. Grußkarten). Adressen von Webseiten zu lesen ist einfach, weil Mailadressen immer die Form name@domaene.land haben.

 

Spammer benutzen kein PGP

PGP-Keys von Webseiten automatisch zu holen, ist nicht ganz so einfach, weil ein Link auf einen PGP-Key keine feste Form hat. PGP unterstützt ein individuelles Erscheinungsbild: Ein PGP-Key kann einen beliebigen Dateinamen haben, eine strenge Form wie bei einer Email-Adresse ist nicht nötig.

Spammer signieren ihre Mails nicht, weil sie dazu einen eigenen öffentlichen Schlüssel an einer vertrauenswürdigen Stelle verfügbar machen müßten. Leider verliert ein Server, der sich Spammern zur Verfügung stellt, automatisch das Vertrauen. Spammer müßten also nicht nur ständig mit neuen Schlüsseln, sondern auch ständig mit neuen Key-Servern daherkommen.

Es gibt allerdings ein paar Spammer, die ihre Emails so aussehen lassen, als ob sie signiert wären. Es genügt also nicht, alle Mails, die z.B. die Zeichenfolge "BEGIN PGP" enthalten, durchzulassen. Man muß auch testen, ob der angegebene Schlüssel tatsächlich existiert.

Spammer verschlüsseln ihre Mails nicht, weil sie dafür den öffentlichen Schlüssel des Empfängers brauchen, aber jeder Teilnehmer stellt seinen Schlüssel auf seine eigene, individuelle Art und Weise zur Verfügung. Meinen Schlüssel bekommen Sie z.B. nur hier auf meiner Homepage unter einem Dateinamen, der in dieser Form keineswegs einheitlich für PGP-Keys reserviert ist, sondern unter dem auch alles Mögliche andere gespeichert sein könnte.

Aus diesen Gründen braucht man Mails, die signiert und verschlüsselt sind, nicht zu filtern (jedenfalls im Augenblick).

 

Bitte benutzen Sie PGP

Bitte installieren Sie sich PGP oder GnuPG, signieren und verschlüsseln Sie ihre Mails, und nennen Sie in der Mail, wo man Ihren "öffentlichen Schlüssel" bekommt (Homepage oder Keyserver), um Ihre Signatur prüfen zu können.

Bitte verwenden Sie ein Mailprogramm, das PGP unterstützt und kein HTML produziert. Outlook-Express z.B. produziert HTML-Mails, wenn man das nicht ausdrücklich abschaltet. Outlook z.B. kann abstürzen und unbenutzbar werden, wenn es PGP-Mail empfängt.

 

PGP finden Sie hier: http://www.pgpi.org/

 

GnuPG finden Sie hier: http://www.gnupg.org/

 

Mailprogramme: http://www.bretschneidernet.de/tips/secmua.html.de

 

Alternative Verfahren:

 

S/MIME-Zertifikate

Damit arbeiten z.B. die Mail-Programme im Netscape- und Mozilla-Browser, sowie die einschlägigen Microsoft-Produkte. Die Zertifikate werden von öffentlichen Stellen oder von privaten Organisationen wie z.B. Verisign ausgegeben. Allerdings werden Zertifikate an jeden ausgegeben, der eins haben will. Eine Möglichkeit für Privatpersonen, die Vertrauenswürdigkeit der ausgebenden Stelle oder die tatsächliche Gültigkeit des Zertifikats zu prüfen, ist nicht vorgesehen.

Im "Digitalen Signaturgesetz" ist bereits festgeschrieben, daß nur S/MIME-Zertifikate als amtlich gültig anerkannt werden. Der Gesetzgeber hat sich dafür die Bezeichnung "qualifizierte Signatur" ausgedacht (zur Unterscheidung von PGP, das damit automatisch "unqualifiziert" ist). Es gibt allerdings noch ein paar ungelöste Probleme:

  • Auch langfristige Verträge (wie z.B. Hauskäufe) sollen mit S/MIME-Zertifikaten unterschrieben werden, die Zertifikate haben aber nur eine Gültigkeitsdauer von maximal fünf Jahren.
  • Es wird von Kompatibilitätsproblemen berichtet, die die Kommunikation von S/MIME-Programmen verschiedener Hersteller behindern.
  • Durch die zwingende Inanspruchnahme von "autorisierten Stellen" werden digitale Signaturen der Wirtschaft und den Privatpersonen laufende Kosten verursachen. Die entsprechenden Organisationen rechnen mit 150.- pro Arbeitsplatz und Jahr. (Wenn ich das mal nachrechne, kostet die "digitale Signatur" unsere Volkswirtschaft etwa 10 Mrd. pro Jahr.)

Der Hauptunterschied zwischen S/MIME und PGP ist, daß bei PGP durch das System der "unterschriebenen Schlüssel" die Vertrauenshierarchie von unten aufgebaut wird, bei S/MIME wird sie von oben verordnet. Der zweite Unterschied ist, daß PGP keine laufenden Kosten verursacht.

 

4.3.2005: "Qualifizierte Signatur" geknackt

Nachdem vor kurzem der den S/Mime-Zertifikaten zugrundeliegende Algorithmus "geknackt" wurde, könnte es sein, daß die "qualifizierte Signatur" in Zukunft zum Standardwerkzeug von Kriminellen gehört (siehe z.B. http://www.heise.de/newsticker/meldung/57038 ).

Man braucht in Zukunft vermutlich immer beides: Die "qualifizierte Signatur" für die Behörden, und die PGP-Signatur für die Sicherheit.

 

Mime-PGP und Inline-PGP

Es gibt zwei PGP-Formate: "Traditional-PGP" (auch "Inline-PGP" genannt) und "Mime-PGP". Das ältere "Traditional" verarbeitet nur reine Textmails. Anhänge müssen extra als Datei signiert werden, und dann verschickt man zwei Anhänge: Die Datei und ihre Signatur. Das neuere Mime-PGP hat den Vorteil, daß die Mail und alle Anhänge insgesamt in einem Rutsch signiert werden. ("Neu" heißt hier: erst seit sieben Jahren)

Leider können einige Email-Programme mit Mime-PGP immer noch nicht umgehen (z.B. Outlook und Outlook-Express).

abatz.de Jörn Abatz - Technische Software Impressum