Gnu Privacy Guard (GnuPG)

Niemand darf willkürlichen Eingriffen in sein Privatleben, seine Familie , seine Wohnung und seinen Schriftverkehr oder Beeinträchtigungen seiner Ehre und seines Rufes ausgesetzt werden. Jeder hat Anspruch auf rechtlichen Schutz gegen solche Eingriffe oder Beeinträchtigungen.

Das ist der Artikel 12 der „Allgemeinen Erklärung der Menschenrechte“ in der UN-Resolution 217 A(III) vom 10.12.1948, der auch durch die „Europäische Konvention zum Schutz der Menschenrechte und Grundfreiheiten“ (EMRK) von 1950 zugestimmt wurde.

Aber gerade die Umgehung dieses Grundsatzes wird beim Versand von Mails sehr leicht gemacht. Das Mitlesen und Nachverfolgen von eMails ist prinzipiell an jedem Knotenpunkt (Mailserver, Proxy, Router) möglich, und das geschieht nicht selten: Seit dem 1. Januar 2005 sind beispielsweise alle eMail-Provider mit mehr als 1000 KundInnen verpflichtet, technische Lösungen vorzuhalten, die staatlichen Institutionen den Zugriff auf den gesamten E-Mailverkehr der KundInnen ermöglichen.

Neben den staatlich organisierten Aktionen gibt es eine Reihe anderer Schnüffler. Hierbei spielen wirtschaftliche Interessen oft eine große Rolle. So schnüffeln bezahlte Cracker, analysebetreibende Firmen oder auch gelangweilte Administratoren in Ihren Netzspuren. Und, auch das ist ein Unterschied zur klassischen Post: an der eMail ist - im Gegensatz zu einem geöffneten Brief - nicht erkennbar, dass sie abgefangen und gelesen wurde.

Netzschema beim Mailversand

Mit der guten alten Post werden wichtige Dokumente schließlich auch nicht als Postkarte verschickt, sondern in einem Kuvert und bestenfalls mit persönlichem Übergabeeinschreiben. So will man erreichen, daß die Dokumente tatsächlich nur den erreichen, für den sie auch bestimmt sind, und der Empfänger auch nachprüfen kann, ob der Sender echt ist.

Daß das und noch viel mehr auch bei Mails und Dateien möglich ist und wie das technisch geht, dazu soll dieses Toturial dienen.

GnuPG oder GPG (GNU Privacy Guard, englisch für GNU-Privatsphären- schutz) ist ein freies Kryptographiesystem, das zum Ver- und Entschlüsseln von Daten sowie zum Erzeugen und Prüfen elektronischer Signaturen dient. Das Programm implementiert den OpenPGP-Standard nach RFC 4880 und wurde als Ersatz für PGP entwickelt, nachdem das US-Recht die Ausfuhr von PGP verboten hatte. Die Versionen ab 2.0 implementieren auch den S/MIME-Standard. Zudem benutzt GnuPG standardmäßig nur patentfreie Algorithmen und wird unter der GNU-GPL vertrieben. Es kann unter Linux, Mac OS X und diversen anderen Unix-Varianten sowie unter Microsoft Windows betrieben werden. Wobei hier die Vorgehensweise auf der Console unter Linux beschrieben wird, was von den GPG-Befehlen auf der DOS-Box nicht sonderlich abweicht.

Über ein Web of Trust (Netz des Vertrauens) versucht GnuPG dem Problem zu begegnen, daß man sich persönlich meist nicht der Echtheit der Schlüssel aller Kommunikationspartner versichern kann. Benutzer können andere Schlüssel mit ihrem eigenen Schlüssel signieren und bestätigen Dritten damit, dass sie sich von der Echtheit des Schlüssels überzeugt haben. Zudem kann man festlegen, wie sehr man den Signierungen der Person vertraut. Dadurch entsteht das beschriebene Vertrauensnetzwerk. Wenn Alice beispielsweise mit ihrer Signatur die Echtheit des Schlüssels von Bob bestätigt hat, kann Claude der Echtheit des Schlüssels von Bob auch dann trauen, wenn sie selbst sich davon nicht direkt überzeugen konnte, weil sie ihn beispielsweise aus dem Internet bezogen hat. Voraussetzung dafür ist natürlich, dass sie den Schlüssel von Alice kennt und ihr vertraut. Es gibt einige Zertifizierungsstellen, sogenannte CAs (vom englischen Certification Authority), die die Echtheit von Schlüsseln beispielsweise durch persönlichen Kontakt mit Überprüfung des Personalausweises feststellen. Kostenlos wird dies zum Beispiel vom Deutschen Forschungsnetz, und von CAcert angeboten. Eine andere Möglichkeit, sich auszuweisen, bieten sogenannte Keysigning-Parties. Auf diesen Veranstaltungen werden anhand der Fingerprints und des Personalausweises die Echtheit des Eigentümers und seines Schlüssels verifiziert.