Dieser Artikel ist ein Ausschnitt aus dem Howto "PGP und Zertifizierung", das im Rahmen des Betriebs des kölner Trust Centers des Individual Network e.V. bei COLOGNE.DE entstand.

Ergänzungen, Änderungsvorschläge und Korrekturen sind immer herzlich willkommen (bitte an jw@cologne.de senden).

Im weiteren Text ist immer von "Anwenderinnen" etc. die Rede. Ich habe mir gedacht, ich verwende einfach mal die weibliche Form in diesem Text. Männliche Exemplare der Gattung Mensch dürfen sich genau so angesprochen fühlen.

Wozu Verschlüsselung und elektronische Unterschriften?

Spätestens seit der Diskussion um den großen Lauschangriff oder auch dem Artikel "Abhör- Dschungel" in der Ausgabe 5/98 der renommierten Zeitschrift c't dürfte jedem klar geworden sein, daß die Möglichkeiten E-Mails im Internet mitzulesen immens groß sind - nicht zuletzt deshalb, weil E-Mail im Internet unverschlüsselt übertragen wird. Immer dann, wenn Sie also auch keine Postkarte schreiben würden, sollte also eine Möglichkeit gefunden werden, die E-Mail so zu verschlüsseln, daß nur der Adressat diese auch lesen kann.

Der Individual Network e.V. möchte seine Mitglieder und andere interessierte Menschen darin unterstützen, Verschlüsselungstechnologie zu nutzen und dazu aufrufen, diese wichtige Technologie in breitem Umfang anzuwenden.

Die Zeitschrift c't schreibt im Artikel "Zeichensetzung, c't startet Krypto-Kampagne", im Heft 4/97, Seite 32:

"Nur vergleichsweise wenige Netzbenutzer verwenden derzeit aktiv Kryptographie - so wenige, daß es den Politikern einfallen könnte, Verschlüsselungstechnologie zu verbieten, um auch weiterhin den Bürgern und der Wirtschaft auf einfache Weise über die Schulter und in die Karten schauen zu können (...).
Mit unserem Angebot, PGP-Schlüssel zu zertifizieren, möchten wir dazu aufrufen, E-Mails zu signieren und damit ein Zeichen gegen eine staatliche Regulierung von Kryptographie und Privatsphäre zu setzen. Durch unsere Signatur bestätigen wir die Korrektheit der Benutzerkennung. Die Authentizität unseres Schlüssels läßt sich anhand des im Heft abgedruckten PGP-Fingerprints leicht überprüfen."

Mit der fortschreitenden Verbreitung und Nutzung des Internet wird auch die Bedeutung von rechtlich beweisbaren, elektronisch abgeschlossenen Verträgen eine immer größere Bedeutung erlangen; sprich, es muß beweisbar werden, daß bestimmte Dokumente wirklich von einer bestimmten Person stammen. Dies sind Anforderungen, die im papierenen Leben durch die eigenhändige Unterschrift abgedeckt werden. Im elektronischen Bereich gibt es hierfür die elektronische Unterschrift. Statt von Unterschrift spricht man auch oft von Signatur. Siehe hierzu auch den Artikel "Echtheitszertifikat" in Ausgabe 8/1998 der Zeitschrift c't.

Weitere Informationen und Literatur zu diesem Thema finden Sie auf dem Webserver der Zeitschrift c't, bei der FITUG oder auch beim Individual Network e.V.

Rolle der Zertifizierungsstellen, insbesondere der IN-CA

Bei der Erzeugung seines Schlüssels gibt eine PGP-Anwenderin ihre E-Mail-Adresse und ihren Namen in der Benutzerkennung an. Dabei könnte sie allerdings schummeln; deshalb muß man sich vor der Benutzung eines Public-Keys davon überzeugen, daß er auch wirklich zu seinem vorgeblichen Adressaten gehört. Besonders schwierig ist das, wenn man sich (noch) nicht persönlich kennt. Die "Echtheit" eines Schlüssels kann aber durch die Digitale Signatur eines Dritten bestätigt werden, dem man vertraut.

Wie oben ausgeführt, benötigt jede Anwenderin A den öffentlichen Schlüssel der Anwenderin B, um Mails an diese zu verschlüsseln. Woher bekommt sie diesen?

1. A erhält von B den Schlüssel persönlich auf Diskette. Dies ist der optimale Fall, da bei diesem persönlichen Treffen auch die Fingerprints des Schlüssels (siehe PGP- Dokumentation) verglichen werden können.

2. A erhält von B eine E-Mail mit dem Schlüssel. Jetzt beginnen die Probleme: Das Internet ist, und somit der darin enthaltene Schlüssel auch wirklich der richtige Schlüssel ist? Es gibt ja leider bekanntermaßen auch viele böse Buben, die ein Interesse daran haben könnten, vertrauliche Daten an B abzufangen und zu entschlüsseln (Stichworte: Geheimdienste, Industriespionage). Technisch ist es zumindest kein großes Problem, E-Mail-Adressen zu fälschen und sich als B auszugeben, obwohl man der böse Hacker H ist.

3. A besorgt sich den öffentlichen Schlüssel von B von einem Server des PGP.NET. Hier gibt es die gleichen Probleme wie bei b).

Die Probleme werden dann gelöst, wenn es einen Dritten Z gibt, dem sowohl A als auch B vertrauen und dessen öffentlichen Schlüssel sowohl A als auch B in einem persönlichen Treffen mit Z erhalten und bestätigt haben. Z bestätigt jetzt nämlich einfach durch eine (elektronische) Unterschrift unter B's öffentlichem Schlüssel, daß der auch wirklich von B ist (auf diesem Konzept basiert das gesamte PGP, Stichwort: Web of Trust). Wenn jetzt A den Schlüssel auf einem primär unsicheren Weg erhält, prüft sie einfach, ob die Unterschrift von Z unter dem Schlüssel von B echt ist.

Zertifizierungsstellen - auch bekannt als Trust Center oder Certification Authority (CA) - stellen im Prinzip nichts anderes dar, als solch einen vertrauenswürdigen Dritten. Sie unterschreiben die öffentlichen Schlüssel der Anwenderinnen. Je nach Güte der CA erfolgt die Unterschrift erst nachdem eine Identitätsprüfung vorgenommen wurde und die Schlüsselmerkmale (Fingerprints, Id, etc.) geprüft haben. Die Güte der CA ist aus deren Policy ersichtlich, in der beschrieben sein sollte, wann und unter welchen Voraussetzungen die CA einen öffentlichen Schlüssel einer Anwenderin unterschreibt (zertifiziert). Manche CA's verzichten übrigens auf ein persönliches Treffen mit der Anwenderin und wickeln alles per E- Mail ab - über die Qualität dieser CA's brauche ich nach dem oben gesagten wohl nichts mehr zu sagen.

Für Privatanwender sind in Deutschland vor allem die CA's des Individual Network e.V. (in-ca@individual.net) interessant. Diese CA's zertifizieren die Schlüssel kostenlos nach einem persönlichen Treffen mit der Anwenderin. Bisher gibt es eine überregionale IN-CA (für alle, die keine regionale CA in ihrer Nähe haben), sowie CA's in Berlin (in-berlin.de), Brandenburg (in-brb.de), Franken (franken.de), Kiel (in-kiel.de), Mittelhessen (lahn.de), Südwestsachsen (in-chemnitz.de), Thüringen (thur.de), München (muc.de) sowie in Köln (cologne.de). Auch die Zeitschrift c't betreibt ein Trust Center, das unter pgpCA@ct.heise.de erreicht werden kann.