SWITCH Security-Blog

SWITCH-CERT IT-Security Blog

Pretty bad Privacy – Wer nicht verschlüsselt…


Als der Amerikaner Phil Zimmermann 1991 die erste Version seines Programms ‘Pretty good Privacy’ (PGP) herausbrachte, war es sein Ziel, dass Bürger und Bürgerbewegungen, sei es in den USA oder ausserhalb, Nachrichten so austauschen können, dass diese sicher vor dem Zugriff durch Geheimdienste sind.

Mehr als 20 Jahre später ist dies nun durch PRISM und Co. mehr denn je zu einem aktuellem Thema geworden.

Damals – 1991 – herrschten Exportbeschränkungen für Kryptosysteme mit einer Schlüssellänge von mehr als 40 Bit. Daher wurde der PGP-Programmcode nach einigem Hin und Her 1995 als über 900 Seiten starkes Buch herausgegeben (“PGP Source Code and Internals”), womit der Export legal wurde. Jenseits der US-amerikanischen Grenzen machten sich dann Dutzende Freiwille daran, den Quellcode aus dem Buch wieder abzutippen und zum lauffähigen Programm zu  kompilieren.

Phil R. Zimmermann (Wikipedia CC)

Phil R. Zimmermann (Wikipedia CC)

 
 
“PGP empowers people to take their privacy into their own hands. There has been a growing social need for it. That’s why I wrote it.” Philip R. Zimmermann
 
 

Seither kämpfen weitsichtige, technologie-affine Menschen darum, Bewusstsein dafür zu schaffen, dass man als Teilnehmer am modernen vernetzten Leben seine Privatsphäre wenigstens bis zu einem gewissen Grad schützen sollte. Und vor allem selber schützen muss.

Dieses Bemühen um Sensibilisierung blieb bis heute weitgehend ungehört. Zu unbequem, zu paranoid – und: wer interessiert sich schon ausgerechnet für mich?, sind die wohlbekannten Argumente. Und das gilt nicht nur für Privatpersonen, sondern auch für viele Unternehmen. Wirtschaftsspionage gibt es vielleicht Samstag-Abends im Krimi, aber es ist nicht etwas, dass das eigene Geschäft bedroht.

Das könnte sich nun vielleicht ändern. Zumindest kann man beobachten, dass die momentan laufende Awareness-Kampagne von Edward Snowden die Menschen aufrüttelt. Wie nachhaltig dies ist, wird sich zeigen.

Dafür zu sorgen, dass man beispielsweise E-Mails verschlüsselt austauschen kann, ist dabei garnicht so aufwendig: Die Software ist frei verfügbar, für gängige E-Mail-Programme gibt es oft Plugins und das Setup ist nicht allzu kompliziert. Natürlich müssen die Kommunikationspartner das gleiche tun. Es ist also nötig, sich mit ihnen auf eine Verschlüsselung der E-Mail-Kommunikation per PGP zu einigen. Zwischen CSIRTs ist dieses Vorgehen gang und gäbe, gilt als Standard und funktioniert problemlos.

Reichlich Hilfe im Netz

Wer sich als Laie mit dem Thema auseinandersetzt, ist vielleicht anfänglich etwas verwirrt. Begriffe wie Public Key Infrastruktur, asymmetrische Verschlüsselung, Web of Trust, Signatur oder PGP-Key wollen in ihren Grundzügen verstanden sein. Aber hier kommen wieder die weitsichtigen, technologie-affinen Menschen ins Spiel. Denn die haben dafür gesorgt, dass es im Netz eine Menge an guten Tutorials und Howtos gibt, die dem Interessierten die Zusammenhänge näherbringen.

Im Folgenden haben wir eine kleine Sammlung an hilfreichen Ressourcen zusammengestellt, falls Sie Ihre E-Mails mit vertraulichen Inhalten noch nicht verschlüsseln und dies ändern wollen:

Natürlich gibt es wie schon erwähnt auch noch eine ganze Menge mehr Infos zu PGP im Netz und für jeden ist sicherlich nach kurzer Suche etwas geeignetes dabei.

Alles sicher?

Das Verschlüsseln von E-Mails auf die beschriebene Weise hat wie immer auch Einschränkungen. Während nun die Inhalte vor Zugriff weitgehend geschützt sind, sind die Verbindungsdaten – wer kommuniziert wann mit wem – weiterhin zugänglich. Ausserdem muss man sich um die Content-Analyse (wie zum Beispiel Scannen nach Viren) auf dem entschlüsselnden Zielsystem nun selber kümmern.

Zum Schluss nochmal Phil Zimmermann:

“Privacy is a right like any other. You have to exercise it or risk losing it.”

Comments are closed.