Aktion: PGP unters Blogvolk
Geschrieben von Mario Hommel amVor ein paar Tagen hat Stefan von Station9111 eine Aktion gestartet, um die Verschlüsselung von Mails innerhalb der Blogosphäre zu promoten und zu fördern. Das hat mich daran erinnert, dass ich eigentlich schon lange meinen öffentlichen GnuPG-Schlüssel mal auf meiner Seite online stellen wollte, was ich dann auch gleich auf der Impressums-Seite getan habe.
Die Verschlüsselung und das Signieren von E-Mails wird von vielen nicht praktiziert, weil es zu mühsam ist oder die dahinter stehende Technik von vielen nicht verstanden wird. Und so gehen immer noch die meisten Mails unverschlüsselt und von jedem mitlesbar durchs Netz.
Ist der Schlüssel echt?
Genauso wichtig wie die Verbreitung von PGP oder GnuPG-Schlüsseln ist auch die Frage, wie ich die Echtheit eines Schlüssels feststellen kann. Wenn der Schlüssel auf meiner Homepage steht, die dann auch noch beim Denic auf mich registriert ist, ist die Wahrscheinlichkeit, dass der Schlüssel auch zur angegebenen Person gehört, schon mal größer, als wenn ich den Schlüssel anhand der Mailadresse von einem Key-Server runterlade. Bei Leuten, die ich persönlich kenne, kann ich den Fingerprint des Schlüssels per Telefon oder bei einem persönlichen Treffen austauschen und vergleichen. Bei sogenannten Key-Signing-Partys kann ich auch die Keys von Fremden, die sich per Ausweis auf der Party ausweisen, verifizieren und austauschen.
Einen solchen Key kann ich dann selbst signieren, um zu bestätigen, dass ich ihn verifiziert habe und der Key authentisch ist. Ein dritter, der meinem Key bereits vertraut, kann dann dem Key, den ich unterzeichnet habe, ebenfalls aus echt betrachten. So entsteht das sogenannte Web-of-Trust.
Gerade für Blogger, die nicht die Möglichkeit haben, sich persönlich zu treffen und ihre Keys zu signieren, gibt es auf der kommende Cebit wieder die Möglichkeit, sich auf dem Stand des Heise-Verlags im Rahmen der Krypto-Kampagne seinen Key signieren zu lassen. Da der Fingerprint des Keys, mit dem der eingene Key unterzeichnet ist, in jedem Heft des Verlages abgedruckt ist, kann man so unterzeichnete Keys relativ sicher als "echt" einstufen.
Datenschutz und Privatsphäre
Bei der Nutzung von PGP oder GnuPG sollte man auch bedenken, dass der öffentliche Schlüssel auch personenbezogene Daten enthält, und jeder jeden Schlüssel auf einen Key-Server hochladen kann. Die Löschung eines Keys, der einmal hochgeladen wurde, ist nicht möglich. Hierüber sollte man sich bei der Nutzung dieses Systems und bei der Veröffentlichung seines Schlüssels im Klaren sein.
Nutzung in Thunderbird
Wer den Mailer Thunderbird nutzt, kann PGP oder GnuPG-Verschlüsselung übrigens bequem mit dem Enigmail-Plugin nutzen.