< Will ich Erfolg beim Bloggen? | Gefiltert >

Aktion: PGP unters Blogvolk

Vor ein paar Tagen hat Stefan von Station9111 eine Aktion gestartet, um die Verschlüsselung von Mails innerhalb der Blogosphäre zu promoten und zu fördern. Das hat mich daran erinnert, dass ich eigentlich schon lange meinen öffentlichen GnuPG-Schlüssel mal auf meiner Seite online stellen wollte, was ich dann auch gleich auf der Impressums-Seite getan habe.

Die Verschlüsselung und das Signieren von E-Mails wird von vielen nicht praktiziert, weil es zu mühsam ist oder die dahinter stehende Technik von vielen nicht verstanden wird. Und so gehen immer noch die meisten Mails unverschlüsselt und von jedem mitlesbar durchs Netz.

Ist der Schlüssel echt?

Genauso wichtig wie die Verbreitung von PGP oder GnuPG-Schlüsseln ist auch die Frage, wie ich die Echtheit eines Schlüssels feststellen kann. Wenn der Schlüssel auf meiner Homepage steht, die dann auch noch beim Denic auf mich registriert ist, ist die Wahrscheinlichkeit, dass der Schlüssel  auch zur angegebenen Person gehört, schon mal größer, als wenn ich den Schlüssel anhand der Mailadresse von einem Key-Server runterlade. Bei Leuten, die ich persönlich kenne, kann ich den Fingerprint des Schlüssels per Telefon oder bei einem persönlichen Treffen austauschen und vergleichen. Bei sogenannten Key-Signing-Partys kann ich auch die Keys von Fremden, die sich per Ausweis auf der Party ausweisen, verifizieren und austauschen.

Einen solchen Key kann ich dann selbst signieren, um zu bestätigen, dass ich ihn verifiziert habe und der Key authentisch ist. Ein dritter, der meinem Key bereits vertraut, kann dann dem Key, den ich unterzeichnet habe, ebenfalls aus echt betrachten. So entsteht das sogenannte Web-of-Trust.

Gerade für Blogger, die nicht die Möglichkeit haben, sich persönlich zu treffen und ihre Keys zu signieren, gibt es auf der kommende Cebit wieder die Möglichkeit, sich auf dem Stand des Heise-Verlags im Rahmen der Krypto-Kampagne seinen Key signieren zu lassen. Da der Fingerprint des Keys, mit dem der eingene Key unterzeichnet ist, in jedem Heft des Verlages abgedruckt ist, kann man so unterzeichnete Keys relativ sicher als "echt" einstufen.

Datenschutz und Privatsphäre

Bei der Nutzung von PGP oder GnuPG sollte man auch bedenken, dass der öffentliche Schlüssel auch personenbezogene Daten enthält, und jeder jeden Schlüssel auf einen Key-Server hochladen kann. Die Löschung eines Keys, der einmal hochgeladen wurde, ist nicht möglich. Hierüber sollte man sich bei der Nutzung dieses Systems und bei der Veröffentlichung seines Schlüssels im Klaren sein.

Nutzung in Thunderbird

Wer den Mailer Thunderbird nutzt, kann PGP oder GnuPG-Verschlüsselung übrigens bequem mit dem Enigmail-Plugin nutzen.


Trackbacks

Trackback-URL für diesen Eintrag

Dieser Link ist nicht aktiv. Er enthält die Trackback-URI zu diesem Eintrag. Sie können diese URI benutzen, um Ping- und Trackbacks von Ihrem eigenen Blog zu diesem Eintrag zu schicken. Um den Link zu kopieren, klicken Sie ihn mit der rechten Maustaste an und wählen "Verknüpfung kopieren" im Internet Explorer oder "Linkadresse kopieren" in Mozilla/Firefox.

www.station9111.de am : PingBack

Keine Einträge vorhanden

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

stef am :

Super, danke für die Teilnahme an der Aktion. Und ja, das Thema Verifizierung ist natürlich auch wichtig, hatte ich bei mir gar nicht erwähnt. Danke dafür. Ich habe dich und diesen Artikel bei mir auf der Startseite verlinkt (Zufallsgenerator oben rechts in der Sidebar). Wenn du magst, schick mir ein eigenes Bild dazu (100x100 Pixel) und ich hinterlege das entsprechend. :-)

Dürrbi am :

Alles in allem ist das Thema "Emailverschlüsselung" nicht wirklich massentauglich, weil nicht Benutzerfreundlich. Zudem können die wenigsten WebMailer - wenn denn überhaupt einer - mit dem Thema umgehen und somit ist man damit schon "ausgeschlossen". Wenn ich mir dann noch zudem Gedanken machen muss, wie und wo ich den Schlüssel ablege, und mir dessen Echtheit nicht sicher sein kann,ist es nicht wirklich verwunderlich, dass das ganze bisher sehr stiefmütterlich behandelt wird.

Mario Hommel am :

So lange man sich dessen bewusst ist, dass die Mails von jedermann lesbar durchs Internet schwirren und dass ich nicht darauf vertrauen kann, dass der angegebene Absender auch tatsächlich der Absender ist, kann man vielleicht auf Verschlüsselung und Signieren verzichten. Insofern ist in dieser Hinsicht Aufklärung der E-Mail-Nutzer notwendig, dann kann jeder für sich entscheiden, ob der Aufwand für die Verschlüsselung die zusätzliche Sicherheit und Privatsphäre rechfertigt.

Joaquin am :

Es liegt wohl eher daran, dass zum einen den meißten Internetnutzern nichts darüber wissen, zweitens es vollkommen egal ist und drittens auch kleinste Mühe schon viel zu viel Arbeit sind. Teenies die ihr privates Zeug twittern und per Facebook veröffentlichen, die werden sich der Privatsphäre erst bewußt, wenn es eh schon zu spät ist. Hier ist eher die Frage, wie man die Leute dafür sensibilisiert.

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.