Schlüsseldienst

Das Verschlüsseln von Daten nimmt nicht zuletzt aufgrund von Späh- und Schadsoftware auch bei der Kommunikation per E-Mail einen immer höheren Stellenwert ein. Unter Linux hat sich dazu GnuPG (GNU Privacy Guard) durchgesetzt, das alle gängigen Distributionen mitbringen. Mithilfe des Tools lassen sich beliebige Daten ver- und entschlüsseln und auch elektronische Signaturen erzeugen und prüfen.

Die freie Software nutzt ausschließlich patentfreie Algorithmen und arbeitet auf der Kommandozeile. Um die Dateiverschlüsselung bequem und mit überschaubarem Lernaufwand auch breiteren Anwenderschichten zugänglich zu machen, haben sich zahlreiche Frontends etabliert, die ein schnelles Verschlüsseln per Mausklick ermöglichen wollen. Wir sehen uns an, ob sie dieses Ziel erreichen.

Bei GnuPG handelt es sich um ein asymmetrisches Verschlüsselungssystem. Die Software generiert private und öffentliche Schlüssel. Der Private Key bleibt dem Eigentümer vorbehalten, eine Passphrase schützt ihn gegen unbefugten Zugriff. Er dient dem Signieren und Entschlüsseln von Daten. Mithilfe des öffentlichen Schlüssels lassen sich signierte Daten prüfen und Daten verschlüsseln. Dieser Public Key steht allen beteiligten Kommunikationspartnern zur Verfügung.

Schwachstelle

Da sich Public Keys in großer Zahl auf Schlüsselservern im Internet verwalten lassen und die Schlüssel selbst keine gesicherte Identitätsprüfung gestatten, könnte ein Angreifer ohne größeren Aufwand gefälschte Keys in solche Infrastrukturen einschleusen. Die in jedem Schlüssel zu hinterlegenden Identitätsdaten gewähren dabei keinen sicheren Schutz vor einer Manipulation. GnuPG prüft nur, ob die vorliegenden Daten mit einem bestimmten Schlüssel bearbeitet wurden; die Authentizität des Schlüssels selbst kann die Software nicht validieren.

Sofern Sie Schlüssel aus einer nicht unbedingt vertrauenswürdigen Quelle verwenden, empfiehlt es sich, deren Authentizität mithilfe der entsprechenden Hash-Werte zu überprüfen.