1.1, 26.09.2014
Diese Seite ist für Leute gedacht, die Kryptografie noch nicht nutzen; für die anderen gibt es am Ende dieser Seite einige Hinweise.
Diese Seite möchte Ihr Interesse an Kryptografie (Verschlüsselung und elektronische Unterschriften) wecken und Sie danach bei der Umsetzung unterstützen. Es geht dabei um das bei Privatleuten und kleinen Unternehmen am weitesten verbreitete System OpenPGP und das bei größeren Unternehmen, Behörden und Hochschulen verbreitetere System S/MIME (X.509). Für andere Kommunikationssysteme als E-Mail – also vor allem die diversen Chatsysteme – gibt es andere Verfahren; darauf geht diese Seite aber nicht ein.
Im Folgenden wird kurz erläutert,
Die Sicherheit von E-Mails kann mit der Sicherheit von Postkarten verglichen werden. Für jede Station, die eine E-Mail durchläuft, ist komplett einsehbar, welche Absenderadresse, wann mit welcher Empfängeradresse, über was kommuniziert. In üblichen Fällen sind dann den Absender- bzw. Empfängeradressen Personen zuordenbar. Dadurch, dass die E-Mails elektronisch leicht zu verarbeiten sind und nicht viel technische Ressourcen beanspruchen, sind Analysen auf die Persönlichkeit und Interessen der Kommunikationspartner möglich, wie es bspw. Unternehmen wie Google durchführen, um zielgenaue Anzeigen zu schalten. Als Test zur eigenen Sensibilität über die E-Mail-Sicherheit empfiehlt sich, zu prüfen, ob und in welchen Ausmaß E-Mail-Konversationen in Ihrem E-Mail-Postfach vorhanden sind, die Sie aufgrund des Inhalts (und nicht aufgrund der Kosten, Praktikabilität) nicht durchgeführt hätten.
Wer sich entscheidet, die eigenen E-Mails nicht zu verschlüsseln, entscheidet nicht nur für sich selbst, sondern macht es anderen unmöglich, mit sich selbst über das Internet sicher zu kommunizieren, auch wenn es den anderen im Einzelfall wichtig ist.
Dies sind einige Gründe dafür, sich mit der Verschlüsselung bzw. der Kryptografie insgesamt auseinanderzusetzen. Eine umfassende Diskussion würde den Rahmen dieser Seite sprengen. Es geht um Ihre und die Privatsphäre Ihrer Mitmenschen, um die Integrität geschäftlicher Korrespondenz und letztlich sogar um den Schutz der freiheitlichen Demokratie.
Es geht um zwei Dinge:
Vertraulichkeit (= nur die beabsichtigten Empfänger können die Mail lesen)
Integrität / Authentizität (= man kann nachweisen, dass die Mail in genau dieser Form vom behaupteten Absender stammt)
Es ist möglich sich nur für eines dieser Schutzziele zu entscheiden. Die verschlüsselte und signierte E-Mail-Kommunikation erlaubt die Einhaltung dieser zwei Schutzziele und damit eine privatere digitale Kommunikation.
Es wird darauf hingewiesen, dass eine sichere E-Mail-Kommunikation nur Ende-zu-Ende verschlüsselt möglich ist. Dies ist meistens nur durch eine Installation von einer E-Mail-Software möglich. D.h. eine sichere verschlüsselte Kommunikation ist mit dem Webbrowser in den meisten Fällen nicht praktikabel lösbar. Für OpenPGP gibt es für Chrome und Firefox Browser-Plugins, die versuchen, das Problem zu lösen.
Mit den meisten (bei Privatanwendern verbreiteten) Mailprogrammen ist die Nutzung von OpenPGP mit Zusatzsoftware möglich. Die typischen (empfohlenen) Varianten sind Thunderbird mit dem Addon Enigmail und Apple Mail mit dem Plugin aus den GPGTools (beide Varianten sind kostenlos). Die meisten Linux-Mailclients unterstützen OpenPGP direkt.
Quasi alle Mailprogramme unterstützen von Haus aus S/MIME.
Gegebenenfalls empfiehlt es sich, dass Sie sich für die Nutzung von OpenPGP / S/MIME (als Ergänzung zu Webmail) ein (zweites) Mailprogramm (und ggf. dafür eine zusätzliche E-Mail-Adresse) zulegen. Es werden bisher typischerweise nur wenige Nachrichten verschlüsselt, so dass das Umschalten kaum stört. Es sollte primär nicht das Ziel sein, sofort alles zu verschlüsseln (und folglich unverschlüsselte Kommunikation einzustellen), sondern vermehrt seine Kommunikation so gut es geht zu verschlüsseln.
Das erscheint auf den ersten Blick wie eine der vielen technischen
"Glaubensfragen": Windows, Mac oder Linux
,
Open-Source-Software oder Closed-Source-Software?
Für beide Seiten findet mal viele Unterstützer. Da die
Hochschulen über das DFN eine etablierte X.509-Infrastruktur
haben, empfehlen sie dessen Verwendung. Diese Argumentation
wird schnell wackelig, wenn man nicht ausschließlich mit anderen
Hochschulkontakten kommunizieren will. Die ehrenamtlichen
Schulungsprojekte empfehlen ganz überwiegend OpenPGP, weil
dieses System den Nutzer in den Mittelpunkt stellt und ihn
nicht von irgendwelchen (insbesondere kommerziellen) Organisationen
abhängig macht. Für S/MIME wird oft ins Feld geführt, dass es
bequemer zu nutzen sei. Bequemlichkeit hat bei IT-Sicherheit aber
immer einen Preis – je bequemer, desto höher.
Für technisch versierte und interessierte Personen,
ist dieser Vortrag zu empfehlen:
DEFCON 19: Moxie Marlinspike about SSL (englisch; v.a. 04:55 bis 28:00)
Technisch sind beide Systeme sehr ähnlich; man kann es damit vergleichen, dass man ein Textdokument im MS-Word-Format (Microsoft Office) und im OpenDocument-Format (offenes Format, z. B. von LibreOffice unterstützt) speichern kann. Die Sicherheit der Verschlüsselung und der Unterschriften ist gleich, weil dieselben mathematischen Verfahren verwendet werden. Bei OpenPGP ist die Nutzung abseits von E-Mail einfacher; außerdem kann man nur damit dauerhaft sichere Alltagsschlüssel erstellen.
Offensichtlich ist es für die eigene Erreichbarkeit und die der eigenen Kontakte am besten, beide Systeme zu nutzen. Dem steht technisch nichts im Weg. Man kann für jede E-Mail entscheiden, welches System man verwendet, und dies (bei manchen Mailprogrammen) für die einzelnen Kontakte vorgeben. Es ist (mit manchen Mailprogrammen) sogar möglich, (unverschlüsselte) Mails sowohl mit OpenPGP als auch mit S/MIME zu signieren.
Als Einzelkämpfer hat man damit eher wenig Freude, weil man die Technik zur Kommunikation nur dann gut nutzen kann, wenn auch die eigenen Kontakte das tun. Die richtige Nutzung der Technik ist zugegebenermaßen kompliziert, aber der Einstieg ist leicht. Und Sie brauchen es nicht von heute auf morgen zu lernen; geben Sie sich genug Zeit dafür.
Zweierlei sollten Sie nun tun:
Mitstreiter finden
Schreiben Sie eine Mail an alle Ihre regelmäßigen E-Mail-Kontakte (primär an diejenigen, die in Ihrer Nähe wohnen), in der Sie ihnen mitteilen, dass Sie sich demnächst mit dem Thema E-Mail-Sicherheit befassen möchten. Fragen Sie Ihre Kontakte, wer von ihnen das Thema gemeinsam mit Ihnen angehen möchte. Vielleicht stellt sich dabei sogar heraus, dass einer Ihrer Kontakte sich damit auskennt und Ihnen die Technik beibringen kann.
Schulungsangebote finden
Für die Angehörigen der FU Berlin und deren Kontakte bieten sich die an der FU stattfindenden Schulungen an.
Alle anderen können auf der Cryptoparty-Website und ggf. ergänzend mit Hilfe von Suchmaschinen prüfen, ob es in Ihrer Gegend entsprechende Angebote gibt.
Wer in seiner Nähe keine solchen Angebote findet, kann sich mit den vielen Anleitungen (Text und Video) behelfen, die man im Web leicht findet.
Durch die weite Verbreitung der E-Mail-Nutzung bietet man einem Großteil von Nutzern die Möglichkeit, privater zu kommunizieren, wenn man seine E-Mails verschlüsselt. Für Kurznachrichten empfehlen sich andere Systeme wie z. B. die Nutzung von XMPP (ehemals: Jabber) und OTR (Off-the-Record-Messaging).
Ob Sie nun gerade erst damit anfangen oder Kryptografie schon seit Jahren nutzen: Werfen Sie bitte einen Blick auf diese Sammlungen von Vorschlägen, wie Sie als Privatperson, als Unternehmen oder als sonstige Organisation mit beliebig viel oder wenig Aufwand einen Beitrag leisten können.
Am wichtigsten: Machen Sie auf das Thema aufmerksam, indem Sie (z.B.) diese Seite in der Textsignatur Ihrer E-Mails verlinken; das ist unaufdringlich und wirkt dauerhaft:
Krypto für alle: http://crypto.spline.de/fuer-alle.html