Amiga MA Magazine 1998 #6

home *** CD-ROM | disk | FTP | other *** search

/ Amiga MA Magazine 1998 #6 / amigamamagazinepolishissue1998.iso / varia / pgp / pgp_docs / doc / pgpdoc2.de < prev next >

Wrap

Text File | 1994-12-10 | 126KB | 2,857 lines

Phils Pretty Good Software präsentiert: ===== PGP ===== Pretty Good Privacy Prima Geschützte Privatsphäre Chiffrierung mit öffentlichen Schlüsseln für die Allgemeinheit -------------------------- PGP Handbuch Teil II: Spezielle Themen -------------------------- von Philip Zimmermann Überarbeitet am 14. Juni 1993 Übersetzt von Christopher Creutzig und Abel Deuring PGP Version 2.3a 1. Juli 1993 Software von Philip Zimmermann sowie Branko Lancester, Hal Finney und Peter Gutmann Zusammenfassung: PGP verwendet eine System mit öffentlichen Schlüsseln für die Verschlüsselung von E-Mail und von Dateien. Es ermöglicht eine sichere Kommunikation zwischen Personen, die nie direkt getroffen haben müssen. Ein abhörsicherer Kanal für den Austausch eines Schlüssels ist nicht erforderlich. PGP bietet viele Möglichkeiten und ist schnell. Es hat eine ausgefeilte Schlüsselverwaltung, bietet digitale Unterschriften, komprimiert die unverschlüsselten Daten, und hat eine ergonomische Oberfläche. Copyright (c) für Programm und Dokumentation: Philip Zimmermann. Informationen zur Lizensierung von PGP, Distribution, Copyrights, Warenzeichen, Gewährleistungen, Exportbeschränkungen enthält der Abschnitt "Rechtsfragen" Inhalt ====== Kurzbeschreibung Spezielle Themen Auswahl eines Schlüssels über seine Schlüssel-ID Trennung der Unterschrift von der Nachricht Entschlüsselung einer Nachricht und Speicherung zusammen mit einer Unterschrift Der Austausch von ASCII-Text zwischen unterschiedlichen Computern Vermeidung von "Spuren des Klartextes" auf des Festplatte Anzeige des entschlüsselten Klartextes am Bildschirm Verschlüsseln einer Nachricht "nur für Augen der EmpfängerIn" Beibehaltung des originalen Dateinamens des Klartextes Ändern der BenutzerIn-ID und des Mantra Ändern der Vertrauensparameter für einen öffentlichen Schlüssel Prüfen, ob eine Datei mit öffentlichen Schlüsseln intakt ist telefonische Kontrolle eines öffentlichen Schlüssel PGP als Filterprogramm im Unix-Stil Unterdrückung nicht unbedingt notwendiger Fragen: BATCHMODE "Ja" als Standardantwort bei Bestätigungsabfragen: FORCE Der Beendigungscode (exit code) von PGP Umgebungsvariable (environment variable) für das Mantra Einstellen der Konfigurationsparameter: CONFIG.TXT TMP - Name des Verzeichnis für temporäre Dateien LANGUAGE - Auswahl der Sprache für Textmeldungen von PGP MYNAME - Standard-BenutzerIn-ID für Unterschriften TEXTMODE - standardmäßig ASCII-Text verschlüsseln CHARSET - Der Zeichensatz Ihres Computers ARMOR - ASCII Darstellung einer verschlüsselten Datei ARMORLINES - maximale Größe von ASCII-dargestellten Dateien KEEPBINARY - verschlüsselte Binärdatei nach Entschlüsselung nicht löschen COMPRESS - Datenkompression ein- oder ausschalten COMPLETES_NEEDED - Anzahl der erforderlichen voll vertrauenswürdigen Unterschriften MARGINALS_NEEDED - Anzahl der erforderlichen teilweise vertrauenswürdigen Unterschriften CERT_DEPTH - Schachtelungstiefe von Unterschriften BAKRING - Dateiname der Sicherheitskopie der Datei mit geheimen Schlüsseln PAGER - Auswahl der Programms für die Textanzeige am Bildschirm SHOWPASS - Anzeige des Mantra während der Eingabe TZFIX - Zeitzonenkorrektur CLEARSIG - Nachrichten im Klartext mit ASCII-Unterschrift VERBOSE - keine, normale oder ausführliche Meldungen INTERACTIVE - Bestätigungsabfrage beim Hinzufügen von öffentlichen Schlüsseln Schutz gegen gefälschte Zeitangaben Ein Blick aufs Detail Zufallszahlen Der konventionelle Verschlüsselungsalgorithmus bei PGP Datenkomprimierung Textprüfsummen (message digests) und digitale Unterschriften Kompatibilität mit alten Versionen von PGP Angriffsmöglichkeiten Bekannt gewordenes Mantra und bekannt gewordener geheimer Schlüssel Fälschung des öffentlichen Schlüssels Nicht richtig gelöschte Dateien Viren und Trojanische Pferde Lücken in der physischen Sicherheit "Sturmangriffe" (tempest attacks) Probleme bei Mehrplatz-Computern Statistik von Nachrichtenverbindungen Kryptanalyse Rechtsfragen Warenzeichen, Copyright, Garantie Patentrechte auf die Algorithmen Lizensierung und Vertrieb Exportkontrolle [auf die USA bezogen d.Ü.] Computer-orientierte politische Vereinigungen [in den USA] Literatur Die Adresse des Autors Anhang: Bezugsquellen für PGP Kurzbeschreibung ================ Pretty Good(tm) Privacy (PGP), von Phil's Pretty Good Software, ist ein sehr sicheres kryptographisches Programm für MSDOS, Unix, VAX/VMS, Commodore Amiga, Apple Macintosh und andere Computer. PGP kombiniert die Vorteile des Verschlüsselungsalgorithmus von Rivest, Shamir und Adleman (RSA), der mit öffentlichen Schlüsseln arbeitet, mit der Geschwindigkeit konventioneller Verschlüsselung, mit Textprüfsummen für digitale Unterschriften, mit guter Ergonomie und einem ausgefeilten System zur Schlüsselverwaltung. Dieser zweite Teil des Handbuchs beinhaltet spezielle Themen, die nicht im ersten Teil "Grundlagen" enthalten sind. Das Lesen dieses Teils ohne Kenntnis des ersten ist nicht sehr sinnvoll. Andererseits ist die Kenntnis dieses zweiten Teils für die Benutzung von PGP nicht unbedingt erforderlich. Spezielle Themen ================ Auswahl eines Schlüssels über seine Schlüssel-ID ------------------------------------------------ Bei allen Kommandos, die die Angabe einer BenutzerInnen-ID oder eines Teils der BenutzerInnen-ID erfordern, kann statt dessen auch die hexadezimale Schlüssel-ID benutzt werden. In diesem Fall muß vor der Schlüssel-ID ein "0x" geschrieben werden. Beispiel: pgp -kv 0x67F7 listet alle Schlüssel, in denen 67F7 ein Teil der Schlüssel-ID ist. Diese Option ist insbesondere dann praktisch, wenn es von einer Person zwei verschiedene Schlüssel mit ein und derselben BenutzerIn-ID gibt. In diesem Fall läßt sich mit Hilfe der Schlüssel-ID einer der beiden Schlüssel eindeutig auswählen. Trennung der Unterschrift von der Nachricht ------------------------------------------- Normalerweise wird eine Unterschrift in der selben Datei gespeichert wie der Text, der unterschrieben wird. Dadurch ist die Prüfung einer Unterschrift in den meistens Fällen einfach und bequem möglich. Unter bestimmten Umständen ist es aber sinnvoll, die Unterschrift in einer eigenen Datei, unabhängig von der Textdatei, zu speichern. Hierfür dient die Option "b" (für "break") zusammen mit der Option "s" (für "sign"). Beispiel: pgp -sb letter.txt Hier wird eine Datei "letter.sig" erzeugt, die nur die Unterschrift enthält. Der Inhalt der Datei "letter.txt" wird nicht in "letter.sig" gespeichert. Wenn die Unterschrift in einer eigenen Datei ("letter.sig" in obigem Beispiel) erzeugt wurde, werden beide Dateien (im Beispiel "letter.sig" und "letter.txt") an die EmpfängerIn geschickt. Sie benötigt beide Dateien, um die Echtheit Unterschrift zu prüfen. Wenn sie die Datei mit der Unterschrift durch PGP bearbeiten läßt, stellt das Programm fest, daß diese Datei keinen Text enthält, und fragt die BenutzerIn nach dem Namen der Textdatei. Erst danach kann PGP die Unterschrift prüfen. Wenn die EmpfängerIn bereits weiß, daß Text und Unterschrift in getrennten Dateien gespeichert sind, kann sie auch beide Dateinamen in der Kommandozeile angeben: pgp letter.sig letter.txt oder: pgp letter letter.txt In diesem Fall fragt PGP nicht nach dem Namen der Textdatei. Die Unterschrift in einer eigenen Datei zu speichern, ist dann sinnvoll, wenn die Unterschriften unabhängig vom Text protokolliert werden sollen. Die abgetrennte Unterschrift ist auch für die Dateien mit ausführbaren Programmen (bei MSDOS: *.EXE und *.COM) sinnvoll, um eine Virusprüfung durchzuführen. Sie ist auch dann sinnvoll, wenn mehrere Personen ein Dokument (beispielsweise einen Vertrag) unterschreiben sollen, ohne daß die Unterschriften "verschachtelt" werden. Die Unterschrift jeder einzelnen Person wird unabhängig von den anderen gespeichert. Wenn man eine verschlüsselte Nachricht erhält, bei der Unterschrift und Text in einer Datei stehen, kann die Unterschrift auch nachträglich vom Text getrennt werden. Dies geschieht mit der "-b" Option bei der Entschlüsselung: pgp -b letter Hier wird "letter.pgp" entschlüsselt. Falls eine Unterschrift vorhanden ist, wird sie geprüft und in einer eigenen Datei "letter.sig" gespeichert. Entschlüsselung einer Nachricht und Speicherung zusammen mit ------------------------------------------------------------- einer Unterschrift ------------------ Normalerweise will man eine verschlüsselte Nachricht vollständig entschlüsseln, die Unterschrift (oder mehrere verschachtelte Unterschriften) prüfen, und hierbei eine "Schicht" nach der anderen abtrennen, bis der originale Klartext übrig bleibt. Manchmal will man aber die Nachricht nur entschlüsseln, und die Unterschriften bei der Nachricht belassen. Dies ist beispielsweise dann sinnvoll, wenn man die Kopie einer unterschriebenen Nachricht an eine dritte Person weiterleiten möchte, gegebenenfalls erneut verschlüsselt. Angenommen, es kommt eine Nachricht, die Charlie unterschrieben hat, verschlüsselt mit dem öffentlichen Schüssel der EmpfängerIn. Die Nachricht soll entschlüsselt, und zusammen mit Charlie's Unterschrift an Alice weitergeleitet werden, gegebenenfalls mit ihrem öffentlichen Schlüssel verschlüsselt. Mit PGP kein Problem. Mit folgendem Kommando wird eine Nachricht entschlüsselt, ohne daß die Unterschriften abgetrennt werden: pgp -d letter Hier wird die Datei "letter.pgp" entschlüsselt, und Unterschriften werden, falls vorhanden, zusammen mit dem entschlüsselten Klartext in der Ausgabedatei gespeichert. Die Ausgabedatei kann archiviert werden, oder, gegebenenfalls wieder verschlüsselt, an eine andere Person weitergeleitet werden. Der Austausch von ASCII-Text zwischen unterschiedlichen -------------------------------------------------------- Computern. ---------- Mit PGP kann jede Art von "Klartext" verschlüsselt werden, irgendwelche Binärdaten ebenso wie ASCII-Text. Wahrscheinlich wird PGP am häufigsten für die Verschlüsselung von E-Mail benutzt, so daß der "Klartext" aus ASCII-Daten besteht. ASCII-Text wird aus verschiedenen Computern leicht unterschiedlich dargestellt. Beispielsweise endet eine Zeile bei MSDOS mit den beiden Zeichen für "Wagenrücklauf" und "Zeilenvorschub" (carriage return / line feed). Bei Unix endet eine Zeile nur mit dem Zeichen für "Zeilenvorschub". Beim Macintosh endet eine Zeile mit dem Zeichen für "Wagenrücklauf", ohne "Zeilenvorschub". Traurig, aber wahr. Nicht verschlüsselte ASCII-Daten werden bei E-mail-Systemen normalerweise in eine "kanonische", maschinenunabhängige Form gebracht, wenn sie zwischen zwei Computern ausgetauscht werden. Bei kanonischer Textdarstellung besteht ein Zeilenende aus den Zeichen "Wagenrücklauf" und "Zeilenvorschub". Beispielsweise konvertiert das weit verbreiteten KERMIT den ASCII-Text in diese kanonische Form, bevor der Text an einen anderen Computer gesendet wird, und das KERMIT auf dem Computer, der den Text empfängt, konvertiert ihn wieder in diejenige Form, die sein Betriebssystem braucht. Dadurch ist es einfach, Texte zwischen verschiedenen Computern auszutauschen. Diese automatische Anpassung der Textdarstellung an das jeweilige Betriebssystem ist bei verschlüsselten Nachrichten nicht möglich, weil der Klartext durch die Verschlüsselung dem Übertragungsprogramm verborgen bleibt. Diese Aufgabe muß das Verschlüsselungsprogramm übernehmen. Deshalb kann man bei PGP angeben, ob der "Klartext" als Binärdaten oder als ASCII-Text angesehen werden soll. In letzterem Fall wird der Klartext vor der Verschlüsselung in kanonische Form gebracht. Bei der Entschlüsselung wird er dann in die Form gebracht, die für das Betriebssystem des Computers, auf dem entschlüsselt wird, geeignet ist. Wenn die Option "t" beim Verschlüsseln und / oder Unterschreiben einer Nachricht mit angegeben wird, konvertiert PGP den Text vor der Verschlüsselung bzw. dem Unterschreiben in die kanonische Form: pgp -et message.txt EmpfängerIn_ID Diese Option schaltet PGP automatisch ab, sobald es in der zu verschlüsselnden Datei Daten findet, die es nicht als Text betrachtet. Falls der Klartext aus einem 8 Bit Zeichensatz besteht, falls er also mehr Zeichen enthält als der ASCII-Standard für den englischen Zeichensatz, verwendet PGP gegebenenfalls bei der Konvertierung in die kanonische Form den Zeichensatz LATIN1 (ISO 8859-1 Latin Alphabet 1). Dies hängt davon ab, was als Parameter "CHARSET" in der PGP-Konfigurationsdatei eingetragen ist. LATIN1 ist eine Obermenge von ASCII, mit diakritischen Zeichen für viele europäische Sprachen. Vermeidung von "Spuren des Klartextes" auf des Festplatte --------------------------------------------------------- Nachdem PGP eine Datei verschlüsselt hat, kann es bei Bedarf die Klartext-Datei überschreiben und danach löschen, so daß keine "Spuren" des Klartextes auf der Festplatte verbleiben. Dies verhindert, daß der Klartext mit einem Sektor-Editor oder einem ähnlichen Programm noch gelesen werden kann. Diese Option ist sinnvoll, um zu vermeiden, daß vertrauliche Informationen unkontrolliert auf der Festplatte verbleiben. Um den Klartext nach der Verschlüsselung und/oder dem Unterschreiben von der Festplatte zu löschen, wird die Option "w" (wipe = wischen) verwendet: pgp -esw message.txt EmpfängerIn_ID Hier wird eine verschlüsselte, unterschriebene Datei "message.pgp" erzeugt, und die Klartext-Datei wird danach überschrieben und gelöscht. Diese Option sollte mit Vorsicht benutzt werden. Zudem muß betont werden, daß hierdurch keinerlei Fragmente der Klartextes gelöscht werden, die ein Textverarbeitungsprogramm häufig auf der Festplatte ablegt, wenn man einen Text eintippt und bearbeitet. Die meisten Textverarbeitungsprogramm erzeugen Backup-Dateien und benutzen temporäre Dateien. Außerdem wird die Klartext-Datei nur einmal überschrieben. Das ist zwar ausreichend, um ein Lesen des Klartextes mit den üblichen Werkzeugen der Datenwiederherstellung zu verhindern, reicht aber nicht aus, um einen gezielten und ausgefeilten Leseversuch zu abzuwehren, bei dem eine schwache Restmagnetisierung der überschriebenen Daten mittels spezieller Hardware ausgewertet wird. [Weiteres hierzu steht weiter unten im Abschnitt "Nicht richtig gelöschte Dateien" d.Ü.] Anzeige des entschlüsselten Klartextes am Bildschirm ---------------------------------------------------- Um den entschlüsselten Klartext nur am Bildschirm zu lesen (ähnlich dem Unix-Kommando "more"), ohne daß er in eine Datei geschrieben wird, kann die Option "-m" ("more") verwendet werden: pgp -m letter.pgp Dieser Befehl zeigt den entschlüsselten Klartext am Bildschirm an. [Mit den Tasten "Leertaste", "Return", "b" kann im Text "geblättert" werden. Mit "q" wird das Lesen beendet. Diese Befehle gelten für die PGP-interne Textanzeigefunktion. Durch einen entsprechenden Eintrag in der Datei "config.txt" kann auch ein anderes Programm für die Textanzeige am Bildschirm gewählt werden. d.Ü.] Verschlüsseln einer Nachricht "nur für Augen der EmpfängerIn" ------------------------------------------------------------- Um festzulegen, daß die EmpfängerIn den entschlüsselten Klartext NUR am Bildschirm lesen, ihn aber nicht in eine Datei schreiben kann, kann die Option "-m" bei Verschlüsseln verwendet werden: pgp -sem message.txt EmpfängerIn_ID Wenn die EmpfängerIn eine so verschlüsselte Nachricht mit ihrem privaten Schlüssel und ihrem Mantra entschlüsselt, wird der Klartext nur auf ihrem Bildschirm angezeigt, aber nicht auf der Festplatte gespeichert. Die Textanzeige erfolgt auf dem Bildschirm so, wie zuvor unter "Anzeige des entschlüsselten Klartextes am Bildschirm" beschrieben. Wenn die EmpfängerIn die Nachricht ein zweites Mal lesen will, muß sie die Nachricht erneut entschlüsseln. Diese Option ist der sicherste Weg, um zu verhindern, daß vertrauliche Nachrichten versehentlich als Klartext auf der Festplatte der EmpfängerIn "liegen bleiben". Diese Option wurde in PGP auf Anfrage eines Benutzers eingebaut, der seiner Liebsten intime Nachrichten schicken wollte, aber befürchtete, daß sie unabsichtlich eine entschlüsselte Nachricht auf dem Computer ihres Ehemanns "liegen lassen" könnte. Beibehaltung des originalen Dateinamens des Klartextes ----------------------------------------------------- Normalerweise gibt PGP der Datei mit dem entschlüsselten Klartext den gleichen Namen wie der Datei mit dem verschlüsselten Text, aber ohne Suffix. Ein anderer Name für die Klartext-Datei kann mit der Option "-o" festgelegt werden. Bei den meisten E-Mail-Nachrichten ist dies sinnvoll, weil man so den Dateinamen bei der Entschlüsselung festlegen kann, und typische E-Mail-Nachrichten häufig unbrauchbare originale Dateinamen wie "to_phil.txt" oder "crypted.msg" haben. Wenn PGP eine Klartext-Datei verschlüsselt, fügt es den originalen Dateinamen dem Klartext vor der Komprimierung bei. Normalerweise verwendet PGP diesen originalen Dateinamen bei der Entschlüsselung nicht, aber bei Bedarf kann PGP angewiesen werden, der entschlüsselte Klartext-Datei diesen Namen zu geben. Das ist sinnvoll, wenn PGP dazu benutzt wird, Dateien zu ver- und entschlüsseln, deren Name von Bedeutung ist. [Bei der Amiga-Version von PGP ist letzteres die Standard-Einstellung. d.Ü.] Um den originalen Namen der Klartext-Datei bei der Entschlüsselung zu erhalten, kann die Option "-p" (preserve) verwendet werden: pgp -p verschlüsselte_datei Ich benutze diese Option normalerweise nicht, weil andernfalls ungefähr die Hälfte der an mich gerichteten E-Mail-Nachrichten den gleichen Dateinamen wie "to_phil.txt" oder "prz.txt" hätten. Ändern der BenutzerIn-ID und des Mantra --------------------------------------- Ab und zu kann es erforderlich sein, das Mantra zu ändern, beispielsweise dann, wenn jemand beim Eintippen des Mantra zugeschaut hat. Oder die BenutzerIn-ID muß geändert werden, wegen Heirat, oder wegen einer geänderten E-Mail-Adresse. Oder es soll dem Schlüssel eine zweite oder dritte BenutzerIn-ID hinzugefügt werden, um mehrere E-Mail-Adressen oder Berufsbezeichnungen einzutragen. Mit PGP können einem Schlüssel mehrere BenutzerIn- IDs hinzugefügt werden, und jede dieser IDs kann für die Auswahl des Schlüssel aus der Datei mit den öffentlichen Schlüsseln (keyring) verwendet werden. Die eigene BenutzerIn-ID und das Mantra kann mit folgendem Kommando geändert werden: pgp -ke BenutzerIn-ID [schlüsseldatei] PGP fragt dann nach der neuen BenutzerIn-ID und dem neuen Mantra. Wenn der optionale Parameter [schlüsseldatei] angegeben wird, muß es sich um eine Datei mit öffentlichen Schlüsseln sein, nicht mit geheimen. Der Parameter "BenutzerIn-ID" muß die eigene ID sein. PGP erkennt dies daran, daß diese ID sowohl in der Datei mit öffentlichen Schlüsseln als auch in der Datei geheimen Schlüsseln auftaucht. Beide Dateien werden geändert, auch wenn ein eine Datei mit öffentlichen Schlüsseln als Parameter angegeben wurde. Ändern der Vertrauensparameter für einen öffentlichen Schlüssel --------------------------------------------------------------- Manchmal muß die Vertrauens-Einstellung für einen öffentlichen Schlüssel geändert werden. Was diese Vertrauensparameter sind, steht in Teil 1 des Handbuchs im Abschnitt "Öffentliche Schlüssel vor Manipulation schützen" Mit folgendem Befehl können die Vertrauensparameter für einen öffentlichen Schlüssel geändert werden: pgp -ke BenutzerIn-ID [schlüsseldatei] Wenn der optionale Parameter [schlüsseldatei] angegeben wird, muß es eine Datei mit öffentlichen Schlüsseln sein, keine Datei mit geheimen Schlüsseln. Prüfen, ob eine Datei mit öffentlichen Schlüsseln intakt ist ------------------------------------------------------------ Normalerweise prüft PGP automatisch jeden Schlüssel und jede Unterschrift, die einer Datei mit öffentlichen Schlüssel hinzugefügt werden, und paßt automatisch die Vertrauenseinstellungen und Gültigkeitswert an. Theoretisch paßt es die Gültigkeitswerte für alle betroffenen Schlüssel an, wenn ein Schlüssel der Datei mit öffentlichen Schlüsseln hinzugefügt oder aus der Datei gelöscht wird. Manchmal möchte man aber auch dann eine umfassende Analyse haben, wenn keine Änderungen an der Datei erforderlich sind: Prüfen der Bestätigung(en) der einzelnen Schlüssel, Prüfen der Vertrauensparameter, Neuberechnung der Gültigkeitswerte, und Vergleich des eigenen, absolut vertrauenswürdigen Schlüssels mit der Sicherheitskopie auf einer schreibgeschützten Diskette. Es ist sinnvoll, diese Integritätsprüfung in regelmäßigen Abständen durchzuführen, um sicherzustellen, daß die Datei mit öffentlichen Schlüsseln wirklich intakt ist. Mit der Option "-kc" ("key ring check") führt PGP eine vollständige Analyse der Datei mit öffentlichen Schlüsseln aus: pgp -kc Mit folgendem Befehl prüft PGP die Unterschriften für einen bestimmten öffentlichen Schlüssel: pgp -kc BenutzerIn_ID [schlüsseldatei] Weitere Informationen darüber, wie der eigene Schlüssel mit einer Sicherheitskopie verglichen wird, stehen bei der Beschreibung des Parameters BAKRING im Abschnitt über die Konfigurationsdatei in diesem Handbuch. telefonische Kontrolle eines öffentlichen Schlüssel --------------------------------------------------- Es kann vorkommen, daß man einen öffentlichen Schlüssel bekommt, der nicht von einer anderen Person bestätigt ist, der man vertraut. Dann stellt sich die Frage, wie sich die Echtheit dieses Schlüssels feststellen läßt. Der beste Weg hierfür ist die Kontrolle des Schlüssels über einen anderen Kanal als den, über den der Schlüssel geschickt wurde. Wenn man die Person kennt, der der öffentliche Schlüssel gehört, und wenn man auch ihre Stimme am Telefon erkennt, besteht eine einfache und bequeme Lösung des Problems darin, sie anzurufen, und den Schlüssel im Gespräch zu kontrollieren. Hierzu braucht man sich nicht mühsam den ganzen - ASCII-dargestellten - Schlüssel vorzulesen. Es reicht, den verhältnismäßig kurzen "fingerprint" des Schlüssels zu vergleichen. Den "fingerprint" eines Schlüssel gibt PGP mit der Option "-kvc" aus: pgp -kvc BenutzerIn_ID [schlüsseldatei] PGP zeigt die BenutzerIn_ID zusammen mit dem 16 Byte langen "fingerprint" an. Wenn beide GesprächspartnerInnen diesen PGP- Befehl ausführen, können sie den Schlüssel anhand des "fingerprint" kontrollieren. Wenn die Echtheit sowohl des eigenen öffentlichen Schlüssel als auch des öffentlichen Schlüssels der GesprächspartnerIn überprüft ist, kann die Echtheit der Schlüssel wechselseitig durch eine Unterschrift bestätigt werden. Dies ist ein sicherer und komfortabler Weg, um mit dem Aufbau eines Netzes vertrauenswürdiger Schlüssel innerhalb eines Kreises von FreundInnen zu beginnen. PGP als Filterprogramm im Unix-Stil ----------------------------------- Unix-Fans sind es gewöhnt, "pipes" zu verwenden, um Daten zwischen zwei Programm auszutauschen. Der Output eines Programms kann mittels einer "pipe" als Input in ein zweites Programm gelenkt werden. Damit dies funktioniert, müssen die Programme ihre Daten aus "standard input" lesen und nach "standard output" schreiben. PGP kann in dieser Form arbeiten. Falls Ihnen schleierhaft ist, was obiges zu bedeuten hat, werden Sie diese Möglichkeit wahrscheinlich auch nicht brauchen, so daß Sie diesen Abschnitt überlesen können. Wenn die -f Option verwendet wird, arbeitet PGP als Unix- Filter. Beispiel: pgp -feast BenutzerIn-ID <inputfile >outputfile Diese Option kann die Verwendung von PGP zusammen mit E-Mail- Programmen vereinfachen. Wenn man PGP als Unix-Filter verwendet, möglicherweise in einem Unix-Script oder in einer MSDOS-Batchdatei, kann es sinnvoll sein, die Umgebungsvariable PGPPASS zu verwenden, damit man das Mantra nicht erst dann eingeben muß, wenn PGP nach ihm fragt. PGPPASS ist weiter unten beschrieben. Unterdrückung nicht unbedingt notwendiger Fragen: BATCHMODE ----------------------------------------------------------- Wird BATCHMODE in der PGP-Befehlszeile eingeschaltet, stellt PGP während des Programmlaufes keinerlei unnötige Fragen. Beispiel: pgp +batchmode verschlüsselte_datei Dies ist sinnvoll, wenn PGP aus Unix Shell-Scripts oder aus einer MSDOS-Batchdatei aufgerufen wird. Manche PGP-Befehle für die Schlüsselverwaltung brauchen in jedem Fall Eingaben durch die BenutzerIn. Sie sollten deshalb in Shell-Scripten vermieden werden. BATCHMODE kann auch bei der Prüfung der Echtheit einer Unterschrift verwendet werden. Ist die Unterschrift nicht in Ordnung, wird als Beendigungscode (exit code) 1 zurückgegeben. Bei einer intakten Unterschrift gibt PGP den Wert 0 zurück. "Ja" als Standardantwort bei Bestätigungsabfragen: FORCE -------------------------------------------------------- FORCE veranlaßt PGP, "ja" als Standardantwort anzunehmen, wenn es danach fragt, ob eine bereits existierende Datei überschrieben werden soll, oder ob ein öffentlicher Schlüssel aus der Datei mit öffentlichen Schlüsseln mit "-kr" entfernt werden soll. Beispiel: pgp +force verschlüsselte_datei oder: pgp -kr +force smith FORCE kann praktisch sein, wenn PGP aus einer MSDOS-Batchdatei bzw. einem Unix-Script aufgerufen wird. Der Beendigungscode (exit code) von PGP --------------------------------------- Um der Betrieb von PGP aus Unix-Scripten oder MSDOS- Stapeldateien zu unterstützen, gibt PGP eine Statusmeldung aus die aufrufende Shell zurück. Ein Beendigungscode von Null bedeutet, daß kein Fehler auftrat; jeder andere Wert signalisiert einen Fehler. Jeder Fehler erzeugt einen anderen Code. [Näheres hierzu bitte den Quelltexten entnehmen :) d.Ü.] Umgebungsvariable (environment variable) für das Mantra ------------------------------------------------------- Normalerweise fragt PGP das Mantra genau zu dem Zeitpunkt ab, wenn ein geheimer Schlüssel benötigt wird. Das Mantra kann aber auch in der Umgebungsvariablen PGPPASS gespeichert werden. Wenn PGPPASS definiert ist, versucht PGP, ihren Wert als Mantra für den Zugriff auf einen geheimen Schlüssel zu verwenden. Ist das in PGPPASS gespeicherte Mantra nicht korrekt, fragt PGP nach dem richtigen Mantra. Unter MSDOS könnte das Mantra so gesetzt werden: SET PGPPASS=Zaphod Beeblebrox wird Bundespräsident Die Eingabe eines Mantra während des Laufes von PGP ist dann nicht mehr erforderlich, vorausgesetzt, daß "Zaphod Beeblebrox wird Bundespräsident" wirklich das richtige Mantra ist. Die Verwendung von PGPPASS ist einerseits gefährlich, macht aber andererseits die Arbeit mit PGP wesentlich einfacher, wenn man regelmäßig größere Mengen verschlüsselter Nachrichten erhält. Die Auswertung einer Umgebungsvariablen (eben PGPPASS) habe ich auf vielfachen Wunsch hin in PGP aufgenommen. Die Verwendung von PGPPASS ist aber gefährlich, weil das Mantra dann nicht nur in Ihrem Gedächtnis, sondern auch irgendwo im Speicher Ihres Rechner steht. Leichtsinnig wäre es, das Mantra in einer Datei auf demselben Rechner speichern, auf dem auch Ihre Datei SECRING.PGP steht. Nicht nur sehr leichtsinnig, sondern einfach dumm wäre es, das Mantra in einer Batchdatei, am Ende gar AUTOEXEC.BAT, zu speichern. Jedermann könnte sich in der Mittagspause an Ihren Rechner setzen, und sowohl Ihr Mantra als auch die Datei mit Ihren geheimen Schlüssel mitgehen lassen. Die Gefährlichkeit von PGPPASS kann nicht stark genug betont werden. Bevor Sie sich überlegen, ob Sie PGPPASS trotzdem verwenden, sollten Sie auf jeden Fall die Abschnitte "Probleme bei Mehrplatzcomputern" und "Öffentliche Schlüssel vor Manipulation schützen" im ersten und im zweiten Teil des Handbuches genau lesen. Falls Sie PGPPASS unbedingt brauchen, ist es am sichersten, das Kommando zum Setzen von PGPPASS unmittelbar vor der Benutzung von PGP einzutippen, und unmittelbar nach der Benutzung von PGP PGPPASS wieder zu löschen, oder den Computer auszuschalten. Sie sollten PGPPASS auf keinen Fall verwenden, wenn andere Personen Zugang zu Ihrem Computer haben. Es könnte jemand vorbeikommen und Ihr Mantra ganz einfach durch Abfragen der Umgebungsvariablen herausfinden. Einstellen der Konfigurationsparameter: CONFIG.TXT ================================================== PGP kann über einige einstellbare Parameter anwendungsspezifisch konfiguriert werden. Diese Parameter stehen in der Textdatei "config.txt". "config.txt" muß in demjenigen Verzeichnis stehen, das durch die Umgebungsvariable PGPPATH angegeben wird. Durch die Einstellungen in "config.txt" kann PGP bequem auf die individuellen Bedürfnisse angepaßt werden, so daß es nicht erforderlich ist, bei jedem Aufruf von PGP mühsam eine größere Anzahl von Parametern in die Kommandozeile einzutippen. Die einzelnen Konfigurationsparameter können je nach Typ als Wert ganze Zahlen, Zeichenketten (also Text), oder "on/off" ("ein/aus") haben. Eine Beispielkonfiguration, an der man sich bei der individuellen Einstellung orientieren kann, ist PGP beigelegt. Leere Zeilen werden in "config.txt" ignoriert, ebenso alles, was in einer Zeile rechts von einem '#', der Kommentarmarkierung, steht. [Beachten Sie, daß in der Beispielkonfiguration die Zeilen für die Einstellung mancher Parameter ebenfalls mit einem '#' beginnen. Für die Aktivierung dieser Parametereinstellung muß das '#' am Zeilenanfang gelöscht werden. Die Verwendung eines '#' ist auch sinnvoll, um mehrere Parametereinstellungen auszuprobieren, ohne die Texte der einzelnen Einstellungen zu löschen. Beispiel: # Die folgende Einstellung ist besser, wenn Texte zu # ver- oder entschlüsseln sind, die unter Windows # bearbeitet wurden: # charset = latin1 # Für MSDOS ist das folgende besser: charset = cp850 Hier wertet PGP nur die Zeile "charset = cp850" aus; die Zeile "charset = latin1" wird ignoriert. Durch einfaches "Umstellen" des '#' kann die obere Einstellung aktiviert werden. d.Ü.] Bei den Parameternamen wird nicht zwischen Groß- und Kleinschreibung unterschieden. Ein Ausschnitt aus einer typischen Konfigurationsdatei: # TMP is the directory for PGP scratch files, such as a RAM disk. TMP = "e:\" # Can be overridden by environment variable TMP. Armor = on # Use -a flag for ASCII armor whenever applicable. # CERT_DEPTH is how deeply introducers may introduce introducers. cert_depth = 3 Wenn bestimmte Parameter nicht in "config.txt" definiert sind, oder wenn diese Datei nicht existiert, oder wenn PGP die Datei nicht findet, setzt es automatisch sinnvolle Standardwerte ein. Die Parameter aus "config.txt" können auch in der Kommandozeile angegeben werden. Dadurch ist es möglich, im Einzelfall mit anderen Parametern zu arbeiten, ohne daß "config.txt" extra hierfür geändert werden muß. Die beiden Kommandos im nachfolgenden Beispiel haben dasselbe Ergebnis: pgp -e +armor=on brief.txt mueller pgp -ea brief.txt mueller Zu den einzelnen Parametern in "config.txt": TMP - Name des Verzeichnis für temporäre Dateien ------------------------------------------------ Standardeinstellung: TMP = "" TMP gibt an, welches Verzeichnis PGP für temporäre Dateien verwendet. Ein sinnvoller Platz für temporäre Dateien ist - falls vorhanden - eine RAM-Disk. Bei Verwendung einer RAM-Disk wird PGP etwas schneller, zudem wird die Sicherheit ein wenig gesteigert. Wenn TMP nicht definiert ist, werden temporäre Dateien im aktuellen Verzeichnis gespeichert. Falls eine Umgebungsvariable TMP definiert ist, verwendet PGP deren Wert als Namen des Verzeichnisses für temporäre Dateien. LANGUAGE - Auswahl der Sprache für Textmeldungen von PGP -------------------------------------------------------- Standardeinstellung: LANGUAGE = en PGP gibt eine Reihe von Anfragen, Warnungen und Erläuterungen am Bildschirm aus. Normalerweise erscheinen diese Texte auf englisch. PGP kann so angepaßt werden, daß es diese Meldungen in anderen Sprachen ausgibt, ohne daß die Datei mit dem ausführbaren Programm (also z.B. PGP.EXE für MSDOS) geändert werden muß. Eine Reihe von Menschen aus verschiedenen Ländern haben die Textmeldungen von PGP in ihre Muttersprache übersetzt. Diese übersetzten Texte stehen in einer speziellen Datei namens "language.txt", die im PGP-Programmpaket enthalten ist. "language.txt" kann die Meldungen in mehreren Sprachen enthalten. Zur Zeit existieren neben den originalen englischen Texten Übersetzungen in Spanisch, Holländisch, Deutsch, Französisch, Italienisch, Russisch, Litauisch und Lettisch. Andere Sprachen können problemlos ergänzt werden. Mit dem Parameter LANGUAGE wird festgelegt, in welcher Sprache die Meldungen anzeigt werden sollen. LANGUAGE kann folgende Werte annehmen: "en" für Englisch "es" für Spanisch "de" für Deutsch "nl" für Holländisch "fr" für Französisch "it" für Italienisch "ru" für Russisch "lt3" für Litauisch "lv" für Lettisch "esp" für Esperanto. Bei der Einstellung: LANGUAGE = fr würden beispielsweise die Texte auf Französisch erscheinen - vorausgesetzt, LANGUAGE.TXT enthält französische Texte. Wenn PGP eine Meldung am Bildschirm anzeigen muß, sucht es in "language.txt" nach dem Text in der gewählten Sprache. Falls PGP die Datei nicht findet, oder wenn Texte in der gewählten Sprache in "language.txt" nicht vorhanden sind, oder wenn eine einzelne Meldung nicht übersetzt ist, wird der englische Text ausgegeben. Um Festplatten- und Diskettenplatz zu sparen, sind die meisten Übersetzungen nicht im Standard-PGP-Paket enthalten. Sie können aber getrennt erhältlich. [vgl. hierzu "Anhang: Bezugsquellen für PGP" am Ende dieses Textes. d.Ü.] [Sollen auch die Hilfetexte von PGP (Kommando "pgp -h" in einer anderen Sprache als englisch ausgegeben werden, muß außerdem eine Datei namens "???.hlp" existieren, wobei "???" für einen der oben genannten Werte steht, also z.B. "de.hlp" für Deutsch. d.Ü.] MYNAME - Standard-BenutzerIn-ID für Unterschriften -------------------------------------------------- Standardeinstellung: MYNAME = "" Mit MYNAME kann ausgewählt werden, welchen geheimen Schlüssel PGP automatisch für Unterschriften wählt. Wenn MYNAME nicht definiert ist, wird der neueste geheime Schlüssel verwendet. Wenn die Option "-u BenutzerIn_ID" beim Aufruf von PGP angegeben wird, hat diese Auswahl Vorrang vor der Auswahl durch MYNAME. TEXTMODE - standardmäßig ASCII-Text verschlüsseln ------------------------------------------------- Standardeinstellung: TEXTMODE = off (aus) Der Parameter TEXTMODE ist äquivalent zu der Kommandozeilen- Option "-t". Wenn "TEXTMODE=on" (ein) gewählt wird, geht PGP davon aus, daß die zu verschlüsselnden Daten kein Binärdaten, sondern ASCII-Text sind. Dann werden die Daten vor der Verschlüsselung in "kanonische Form" konvertiert. Text in kanonischer Form hat als Zeilentrennung die Zeichen "Wagenrücklauf" (carriage Return) und "Zeilenvorschub" (line feed). PGP schaltet die Konvertierung in kanonische Form automatisch aus, wenn es Daten erkennt, die es für Binärdaten hält. In der gegenwärtigen VAX/VMS-Implementierung ist "TEXTMODE=on" den Standardeinstellung. Genaueres zu Fragen der Textkonvertierung steht weiter oben in diesem Handbuch im Abschnitt "Der Austausch von ASCII-Text zwischen unterschiedlichen Computern." CHARSET - Der Zeichensatz Ihres Computers ----------------------------------------- Standardeinstellung: CHARSET = NOCONV PGP kann die Sonderzeichen vieler Sprachen für die Zeichensätze verschiedener Computer konvertieren. Damit dies korrekt funktioniert, müssen Sie den Parameter CHARSET richtig einstellen. Diese Konvertierung erfolgt nur bei der Verschlüsselung von Textdateien. Falls Sie mit PGP ausschließlich Texte verschlüsseln, die nur Buchstaben des "normalen Alphabet", also keine Umlaute, Buchstaben mit Akzenten oder anderen diakritischen Zeichen, enthalten, ist der Parameter CHARSET für Sie unwichtig. CHARSET teilt PGP mit, welchen Zeichensatz Ihr Computer verwendet. CHARSET kann folgende Werte annehmen: NOCONV - keine Konvertierung LATIN1 - ISO 8859-1 Lateinisches Alphabet 1 KOI8 - verwendet auf vielen russischen Unix-Anlagen ALT_CODES - verwendet auf russischen MSDOS- Computern ASCII CP850 - für die meisten westeuropäischen Sprachen unter MSDOS LATIN1 verwendet PGP für die interne kanonische Textdarstellung. Wenn also CHARSET = LATIN1 gewählt wird, findet keine Zeichenkonvertierung statt. Zu beachten ist, daß PGP auch KOI8 wie LATIN1 behandelt, obwohl KOI8 für einen völlig anderen Zeichensatz (kyrillisch) steht. Eine Konvertierung von KOI8 in LATIN1 oder CP850 wäre sinnlos. Die Einstellungen NOCONV, LATIN1 und KOI8 sind für PGP äquivalent. Wenn Sie mit MSDOS arbeiten und Nachrichten verschicken oder erhalten, die in einer westeuropäischen Sprache geschrieben sind, sollten Sie "CHARSET=CP850" einstellen. Wenn Sie eine Nachricht mit der Option "-t" oder "TEXTMODE=on" verschlüsseln, konvertiert PGP Ihren CP850-Text vor der Verschlüsselung in den LATIN1-Zeichensatz. Bei der Entschlüsselung wird LATIN1 in CP850 umgewandelt. Weiteres hierzu steht weiter oben in diesem Handbuch im Abschnitt "Der Austausch von ASCII-Text zwischen unterschiedlichen Computern." ARMOR - ASCII Darstellung einer verschlüsselten Datei ----------------------------------------------------- Standardeinstellung: ARMOR = off (aus) Der Parameter ARMOR ist äquivalent zur Kommandozeilenoption "-a". Wenn "ARMOR=on" (ein) gewählt wird, stellt PGP die verschlüsselten Daten im Radix-64-Format dar. Die Format ist für den Versand über manche E-Mail-Kanäle sinnvoll. Die von PGP erzeugten Dateien im Radix-64-Format haben das Suffix ".asc". Wenn Sie PGP hauptsächlich für E-Mail einsetzen, kann es sinnvoll sein, "ARMOR=on" (ein) zu wählen. Weiteres hierzu steht im ersten Teil des Handbuches im Abschnitt "Versand von Nachrichten im Radix-64 Format". ARMORLINES - maximale Größe von ASCII-dargestellten Dateien ----------------------------------------------------------- Standardeinstellung: ARMORLINES = 720 Wenn PGP eine sehr große Datei im Radix-64 Format erzeugen soll, teilt es diese Datei in mehrere Dateien auf, die jeweils klein genug sind, um im Internet versandt zu werden. Normalerweise lassen Mailer-Programme für das Internet keine Nachrichten zu, die mehr als ca. 50000 Byte groß sind. Eine Datei mit 720 Zeilen im Radix-64 Format liegt weit genug unter dieser Grenze, um problemlos versandt werden zu können. Die einzelnen Dateien, die PGP erzeugt, erhalten als Suffix ".as1", ".as2", ".as3" usw. Der Parameter ARMORLINES gibt an, wieviele Zeilen eine von PGP erzeugte "*.asc"-Datei maximal enthalten darf. Wird ARMORLINES auf Null gesetzt, kann eine "*.asc"-Datei beliebig groß werden. Im Fido-Netz dürften Nachrichten in der Regel nicht länger als 32 kB sein, so daß "ARMORLINES=450" eine sinnvolle Einstellung für Fido ist. Weiteres hierzu steht im ersten Teil des Handbuches im Abschnitt "Versand von Nachrichten im Radix-64 Format". KEEPBINARY - verschlüsselte Binärdatei nach Entschlüsselung ----------------------------------------------------------- nicht löschen ------------- Standardeinstellung: KEEPBINARY = off (aus) Wenn PGP eine "*.asc"-Datei einliest, erkennt es automatisch, daß es eine Datei im Radix-64 Format ist, und konvertiert sie zurück in ihre binäre Form (also eine "*.pgp Datei), bevor es mit der eigentlichen Entschlüsselung beginnt. Bei der Entschlüsselung erzeugt PGP natürlich auch eine Datei mit dem Klartext. PGP ermöglicht die Auswahl, ob man die "*.pgp"-Datei behalten möchte, oder ob sie nach der Entschlüsselung gelöscht werden soll. Die "*.asc"-Datei bleibt in jedem Fall erhalten. Wenn "KEEPBINARY = on" eingestellt wird, bleibt die "*.pgp" Datei erhalten; wird "KEEPBINARY = off" eingestellt, wird die "*.pgp" nach der Entschlüsselung gelöscht. Weiteres hierzu steht im ersten Teil des Handbuches im Abschnitt "Versand von Nachrichten im Radix-64 Format". COMPRESS - Datenkompression ein- oder aussschalten -------------------------------------------------- Standardeinstellung: COMPRESS = on Mit "COMPRESS = on / off" (ein/aus) kann eingestellt werden, ob PGP den Klartext vor der Verschlüsselung komprimiert. Die Einstellung "off" ist im wesentlichen für das Debuggen von PGP interessant. In der Regel sollte "COMPRESS = on" gewählt werden, damit PGP den Klartext vor der Verschlüsselung komprimiert. [Das reduziert Versandkosten und -zeit, und erschwert in der Regel eine Kryptanalyse. d.Ü.] COMPLETES_NEEDED - Anzahl der erforderlichen voll ------------------------------------------------- vertrauenswürdigen Unterschriften --------------------------------- Standardeinstellung: COMPLETES_NEEDED = 1 Mit COMPLETES_NEEDED läßt sich einstellen, wieviele voll vertrauenswürdige Unterschriften unter einem Schlüssel PGP verlangt, um diesen Schlüssel als vollständig bestätigt zu betrachten. Mit diesem Parameter hat man also die Möglichkeit, PGP mehr oder weniger mißtrauisch einzustellen. Genaueres hierüber finden Sie im Abschnitt "Öffentliche Schlüssel vor Manipulation schützen" im ersten Teil des Handbuches. MARGINALS_NEEDED - Anzahl der erforderlichen teilweise ------------------------------------------------------ vertrauenswürdigen Unterschriften --------------------------------- Standardeinstellung: MARGINALS_NEEDED = 2 Mit MARGINALS_NEEDED läßt sich einstellen, wieviele teilweise vertrauenswürdige Unterschriften unter einem Schlüssel PGP verlangt, um diesen Schlüssel als vollständig bestätigt zu betrachten. Mit diesem Parameter hat man also die Möglichkeit, PGP mehr oder weniger mißtrauisch einzustellen. Genaueres hierüber finden Sie im Abschnitt "Öffentliche Schlüssel vor Manipulation schützen" im ersten Teil des Handbuches. CERT_DEPTH - Schachtelungstiefe von Unterschriften -------------------------------------------------- Standardeinstellung: CERT_DEPTH = 4 CERT_DEPTH gibt an, bis zu welcher Tiefe PGP Unterschriften unter öffentliche Schlüssel prüft, d.h., wie "indirekt" die Bestätigung der Echtheit eines Schlüssels sein darf. Wenn Sie beispielsweise CERT_DEPTH = 1 wählen, erkennt PGP nur solche Schlüssel als voll vertrauenswürdig an, die von einer Person unterschrieben sind, deren öffentlichen Schlüssel Sie persönlich mit Ihrem geheimen Schlüssel unterschrieben haben. Setzen Sie CERT_DEPTH = 0, erkennt PGP nur die Schlüssel als voll vertrauenswürdig, die Sie selbst unterschrieben haben. Wenn Sie CERT_DEPTH = 2 setzen, ist für PGP auch der Schlüssel von Carol voll trauenswüdrig, wenn Carols Schlüssel von Bob, Bobs Schlüssel von Alice, und Alices Schlüssel von Ihnen selbst unterschrieben ist. Der kleinste zulässige Wert für CERT_DEPTH ist 0, der größte 8. Genaueres hierüber finden Sie im Abschnitt "Öffentliche Schlüssel vor Manipulation schützen" im ersten Teil des Handbuches. BAKRING - Dateiname der Sicherheitskopie der Datei mit geheimen --------------------------------------------------------------- Schlüsseln ---------- Standardeinstellung: BAKRING = "" Die Prüfung der Echtheit eines öffentlichen Schlüssels durch Unterschriften basiert letztlich auf die Echtheit Ihres eigenen Schlüssels, den PGP als absolut vertrauenswürdig ansieht. (Sie können auch mehrere eigene Schlüssel haben, die PGP als voll vertrauenswürdig anerkennt.) Um mögliche Fälschungen an Ihrer Datei mit öffentlichen Schlüsseln erkennen zu können, muß PGP kontrollieren, ob auch Ihr eigener Schlüssel nicht gefälscht wurde. Hierfür vergleicht PGP Ihren öffentlichen Schlüssel mit einer Sicherheitskopie Ihres geheimen Schlüssels, die auf einem fälschungssicherem Medium, z.B. einer schreibgeschützten Diskette, steht. Zusammen mit dem geheimen Schlüssel sind alle Informationen gespeichert, die Ihr öffentlicher Schlüssel hat. Dies bedeutet, daß PGP Ihren öffentlichen Schlüssel mit der Sicherheitskopie Ihres geheimen Schlüssels vergleichen kann. Mit dem Parameter BAKRING können Sie den Pfadnamen festlegen, unter dem PGP die Sicherheitskopie Ihres geheimen Schlüssels sucht. Für MSDOS können Sie z.B. "BAKRING = a:\secring.pgp" angeben, so daß PGP die Sicherheitskopie auf einer schreibgeschützten Diskette sucht. Den Vergleich mit der Sicherheitskopie führt PGP nur durch, wenn Sie mit "pgp -kc" Ihre gesamte Datei mit öffentlichen Schlüsseln prüfen. Wenn BAKRING nicht definiert ist, führt PGP diese Kontrolle Ihres eigenen öffentlichen Schlüssel nicht durch. Genaueres hierüber finden Sie im Abschnitt "Öffentliche Schlüssel vor Manipulation schützen" im ersten Teil des Handbuches. PAGER - Auswahl der Programms für die Textanzeige am Bildschirm --------------------------------------------------------------- Standardeinstellung: PAGER = "" Wenn Sie beim Entschlüsseln die Option "-m" angeben, können Sie den entschlüsselten Text am Bildschirm lesen, ohne daß PGP ihn in eine Datei schreibt. Standardmäßig verwendet PGP hierzu eigene Routinen, die ähnlich dem "more" Programm bei Unix arbeiten. Falls Sie ein anderes Programm für Textanzeige am Bildschirm bevorzugen, können Sie es unter "PAGER =..." eintragen. Unter MSDOS können Sie z.B. das populäre Shareware-Programm "list.com" verwenden. In diesem Fall würde der PAGER-Eintrag so lauten: PAGER = list Wenn jedoch die AbsenderIn einer Nachricht die Option "-m" (Klartext nach Entschlüsseln nicht in eine Datei schreiben) angegeben hat, verwendet PGP in jedem Fall seine eigene Anzeigefunktion. Weiteres hierzu steht im Abschnitt "Anzeige des entschlüsselten Klartextes am Bildschirm". SHOWPASS - Anzeige des Mantra während der Eingabe ------------------------------------------------- Standardeinstellung: SHOWPASS = off (aus) Normalerweise zeigt PGP das Mantra während der Eingabe nicht am Bildschirm an. Dadurch wird es für neugierige Augen schwerer, das Mantra mitzulesen. Es gibt aber Menschen, die Schwierigkeiten haben, ihr Mantra korrekt einzutippen, ohne daß sie es am Bildschirm sehen können. So entstand der Wunsch, PGP für die Anzeige des Mantra konfigurierbar zu machen. In der Abgeschiedenheit einer Wohnung ist es nicht allzu problematisch, das Mantra am Bildschirm anzuzeigen. Wird "SHOWPASS = on" eingestellt, zeigt PGP das Mantra beim Eintippen am Bildschirm an. TZFIX - Zeitzonenkorrektur -------------------------- Standardeinstellung: TZFIX = 0 PGP versieht Schlüssel und Unterschriften mit einer Zeitmarke in Greenwich Mean Time (GMT), oder Coordinated Unviersal Time (UTC), was für unsere Zwecke dasselbe ist. Wenn PGP das Betriebssystem nach Datum und Zeit fragt, nimmt es an, daß die Zeit als GMT-Zeit zurückgegeben wird. Unter Umständen wird die Zeit aber auf schlecht konfigurierten MSDOS-Rechnern als US Pacific Standard Time plus 8 Stunden zurückgegeben. Seltsam, nicht wahr? Vielleicht liegt es an einer Art US-Westküsten-Chauvinismus, daß MSDOS davon ausgeht, die lokale Zeit sei die US Pacific Time, und GMT hierauf basierend ausrechnet. Dies wirkt sich nachteilig aus auf das Verhalten der MSDOS-internen Funktionen, die PGP verwendet. Wenn jedoch die MSDOS Umgebungsvariable TZ für Ihre Zeitzone korrekt definiert ist, korrigiert dies auch irrtümliche Annahme von MSDOS, die ganze Welt lebe an der Westküste der USA. TZFIX gibt die Anzahl der Stunden an, die PGP zur "Betriebssystemzeit" addiert, um GMT-Zeitangaben für Unterschriften und Schlüssel zu erhalten. Wenn die MSDOS Umgebungsvariable TZ korrekt definiert ist, kann TZFIX auf dem Standardwert 0 bleiben. Unter Unix ist TZFIX in der Regel auch nicht notwendig. TZFIX kann aber für irgendwelche obskuren Betriebssysteme sinnvoll sein, die nie etwas von GMT gehört haben. Für MSDOS Systeme, bei denen TZ nicht definiert ist, sollten Sie TZFIX auf 0 setzen in Kalifornien, auf -1 in Colorado, -2 in Chicago, -3 in New York, -8 in London, -9 in Amsterdam. Während der Zeitumstellung im Sommer müssen Sie diese Werte um eins verringern. Was für ein Durcheinander. Die Definition der MSDOS Umgebungsvariablen TZ in AUTOEXEC.BAT ist eine wesentlich sauberere Lösung. In diesem Fall liefert MSDOS die korrekt GMT Zeit, und berücksichtigt auch die Sommerzeit, abhängig von der von der jeweiligen Zeitzone: In Los Angeles: SET TZ=PST8PDT In Denver: SET TZ=MST7MDT In Arizona: SET TZ=MST7 (In Arizona gibt es keine Sommerzeit... Zumindest wird dort die Uhr im Sommer nicht umgestellt,) In Chicago: SET TZ=CST6CDT In New York: SET TZ=EST5EDT In London: SET TZ=GMT0BST In Amsterdam: SET TZ=MET-1DST In Moskau: SET TZ=MSK-3MSD In Aukland: SET TZ=NZT-13 [Bei der Frage, wer an dem Durcheinander mit den Zeitangaben und Zeitzonen schuld ist, bin ich anderer Meinung als Philip Zimmermann: Dies kann man ausnahmsweise mal nicht nur Microsoft in die Schuhe schieben - MSDOS gehört zu den "obskuren Betriebssystemen", die nichts von GMT wissen -, sondern auch Borland. Die MSDOS-Version von PGP ist mit Borland C übersetzt worden. Die Funktion gmtime(...) der Laufzeitbibliothek gibt die Zeit als GMT zurück, und benötigt hierfür eine Angabe, um wieviel lokale Zeit und GMT differieren. Diese Angabe bezieht gmtime() aus der Umgebungsvariablen TZ. Der oben erwähnte "Westküstenchauvinismus" ist also meiner Meinung nach Borland anzulasten. Die ersten drei Zeichen des Wertes von TZ müssen Buchstaben sein, danach muß eine ein- oder zweistellige Zahl, ggf. mit einem Minuszeichen davor, stehen. Stehen hinter der Zahl noch Buchstaben, wertet gmtime() dies als Signal, daß es eine Sommerzeit gibt. Welche Buchstaben vor und ggf. hinter der Zahl stehen, wertet gmtime() nicht weiter aus. Bei der Sommerzeit-Option ist zu beachten, daß gmtime() als Beginn und Ende der Sommerzeit die in den USA zutreffenden Tage verwendet, die von den in Europa üblichen etwas abweichen. Wie es mit der Sommerzeit in anderen Weltgegenden aussieht, weiß ich nicht. Falls Ihnen jetzt von dem ganzen Durcheinander um Zeitzonen der Kopf raucht: Geben Sie einfach den MSDOS-Befehl SET TZ=MET-1 und prüfen Sie, mit dem Befehl pgp die GMT-Zeitangabe, die PGP dann liefert. Falls die GMT-Zeit falsch ist, wählen Sie solange einen anderen Wert für TZ, bis GMT richtig ist. Es kommen nur 24 Werte infrage... Ansonsten der Hinweis: "Zu Risiken und Nebenwirkungen lesen Sie das Borland Referenzhandbuch und den run time source code und fragen Sie Ihre Borland-Hotline und Ihren Borland-Händler". d.Ü.] CLEARSIG - Nachrichten im Klartext mit ASCII-Unterschrift --------------------------------------------------------- Standardwert: CLEARSIG = off (aus) Normalerweise liegen mit PGP unterschriebene Nachrichten in Binärform vor, auch dann, wenn sie nicht verschlüsselt werden. Auch die Unterschrift wird in Binärform an die unterschriebenen Daten angehängt. Um eine solche unterschriebene Nachricht über einen 7-Bit E-Mail-Kanal zu versenden, kann die ASCII- Darstellung im Radix-64-Format verwendet werden. (vgl. den ARMOR Parameter) Die Daten bestehen dann zwar aus druckbaren ASCII-Zeichen, der originale Text ist aber mit bloßen Auge trotzdem nicht mehr zu erkennen, obwohl die Nachricht nicht verschlüsselt ist. Die EmpfängerIn einer solchen Nachricht muß die "ASCII-Transportverpackung" mit Hilfe von PGP wieder "entfernen", bevor sie die Nachricht lesen kann. Wenn die originale Nachricht nicht eine Binärdatei, sondern ASCII-Text ist, besteht die Möglichkeit, eine Unterschrift so an den Text anzufügen, daß er nicht in seiner Darstellung geändert wird. In diesem Fall wird nur die Unterschrift im Radix-64 Format dargestellt. Der Text bleibt also auch ohne Hilfe von PGP für die EmpfängerIn lesbar. Für die Prüfung der Unterschrift ist PGP natürlich trotzdem erforderlich. Diese Option wird so eingeschaltet: CLEARSIG=on, ARMOR=on, (ersatzweise die "-a" Option), TEXTMODE=on (ersatzweise die "-t" Option). Beispiel: pgp -sta +clearsig=on message.txt Eine so unterschriebene Nachricht ähnelt einer "MIC-CLEAR"- Nachricht, die mit Privacy Enhanced Mail (PEM) erzeugt wurde. Wichtiger Hinweis: Eine solche Nachricht wird als Textnachricht versandt, und unterliegt dadurch möglichen Änderungen auf dem Versandweg. So können Zeichensatzkonvertierungen vorkommen, es können Leerzeichen eingefügt oder gelöscht werden. Wenn dies passiert, wird PGP die Nachricht als verändert erkennen, was zu einem in diesem Fall unberechtigten Verdacht einer echten, inhaltlichen Fälschung führt. Weil auch PEM dies Problem hat, schien es sinnvoll, diese Möglichkeit des unterschriebenen Klartextes trotz ihr Störanfälligkeit in PGP aufzunehmen. Seit PGP Version 2.2 werden Blanks am Ende einer Zeile bei der Berechnung einer Unterschrift nicht mehr berücksichtigt, wenn CLEARSIG=on gesetzt ist. VERBOSE - keine, normale oder ausführliche Meldungen ---------------------------------------------------- Standardeinstellung: VERBOSE = 1 VERBOSE kann auf 0, 1, oder 2 gesetzt werden, je nachdem, wie detaillierte Meldungen man von PGP haben möchte: 0 - Meldungen werden nur ausgegeben, wenn es Probleme gibt. Das richtige für Unix Fans. 1 - Die Standardeinstellung. PGP zeigt in sinnvollem Umfang diagnostische Meldungen und Bedienungshinweise 2 - ausführliche Meldungen. Diese Option ist hauptsächlich für die Fehlersuche gedacht. Normalerweise ist sie nicht sinnvoll. Ach so, PGP hat doch keinerlei Probleme, oder? INTERACTIVE - Bestätigungsabfrage beim Hinzufügen von ----------------------------------------------------- öffentlichen Schlüsseln ----------------------- Standardeinstellung: INTERACTIVE = off (aus) Wenn "INTERACTIVE=on" (ein) gesetzt wird, fragt PGP beim Bearbeiten einer Datei, die mehrere öffentliche Schlüssel enthält, für jeden Schlüssel einzeln nach, ob er in pubring.pgp aufgenommen werden soll. Schutz gegen gefälschte Zeitangaben =================================== Eine nicht ganz leicht verständliche Angreifbarkeit von PGP betrifft unehrliche BenutzerInnen, die gefälschte Zeitangaben für die Bestätigung ihrer öffentlichen Schlüssel und ihre Unterschriften verwenden. LeserInnen, die PGP nur gelegentlich benutzen, und mit den Tücken öffentlicher Schlüssel nicht sehr vertraut sind, können diesen Abschnitt überspringen. Nichts hindert eine unehrliche BenutzerIn daran, die Einstellung von Datum und Zeit auf ihrem Computer zu ändern, und bei dieser falschen Datumseinstellung ihre Schlüsselbestätigungen und Unterschriften zu erzeugen. So kann diese unehrliche BenutzerIn es so erscheinen lassen, als habe sie eine Unterschrift viel früher oder später geleistet, als es tatsächlich der Fall ist, oder als habe sie ihre Paar von öffentlichem und geheimem Schlüssel zu einem anderen Zeitpunkt generiert. Dies kann von juristischem oder finanziellem Nutzen sein. Beispielsweise kann dadurch ein Schlupfloch entstehen, um eine Unterschrift nicht anerkennen zu müssen. Abhilfe bieten könnte eine allgemein vertrauenswürdige Institution oder ein Notar, der/die notariell beglaubigte Unterschriften mit einer vertrauenswürdigen Zeitangabe machen kann. Dies setzt nicht notwendigerweise eine zentrale Institution voraus. Unter Umständen kann jede vertrauenswürdige VermittlerIn oder eine unbeteiligte dritte Person diese Aufgabe wahrnehmen, ähnlich öffentlich bestellten Notaren. Die Bestätigung eines öffentlichen Schlüssels könnte von dem Notar unterschrieben werden, und die Zeitmarke bei der Unterschrift des Notars könnte juristische Bedeutung erlangen. Der Notar könnte über solche Bestätigungen Protokoll führen. Das Protokoll wäre öffentlich einsehbar. Der Notar könnte auch die Unterschrift anderer durch seine eigene Unterschrift bestätigen. Dies könnte als urkundliche, beweiskräftige Unterschrift gelten, so, wie es "real existierende Notare" mit Unterschriften auf Papierdokumenten seit langem machen. Auch in diesem Fall würde der Notar über die Unterschriften Protokoll führen, indem er die von dem Textdokument abgetrennten Unterschriften archiviert. Die Unterschrift des Notars hätte eine vertrauenswürdige Zeitangabe, mit größerer Glaubhaftigkeit als die Zeitangabe der originalen Unterschrift. Eine Unterschrift würde durch die hinzukommende notarielle Unterschrift und das Protokoll des Notars "Beweiskraft" erhalten. Das Problem notariell beglaubigter Unterschriften und glaubwürdiger Zeitmarken bedarf weiterer Diskussion. Eine gute Abhandlung hierüber ist der Aufsatz von Denning in IEEE Computer 1983 (s. Literaturliste). Die möglichen Verfahren für Bestätigung und Beglaubigung müssen noch viel detaillierter ausgearbeitet werden. Dies wird sich durch die zunehmende Nutzung von PGP ergeben, und dadurch, daß bei anderen Programmen, die das Prinzip öffentlicher Schlüssel verwenden, andere Bestätigungsverfahren entwickelt werden. Ein Blick aufs Detail ===================== Zufallszahlen ------------- PGP verwendet einen kryptographisch zuverlässigen Pseudozufallszahlengenerator, um wechselnde Schlüssel für die konventionelle Verschlüsselung einzelner Dateien zu erzeugen. Die Datei, die den Startwert für den Zufallszahlengenerator enthält, heißt "randseed.bin". Sie kann ebenso wie die anderen von PGP benötigten Dateien in dem Verzeichnis stehen, das durch die Umgebungsvariable (environmental variable) PGPPATH angegeben wird. Falls die Datei nicht vorhanden ist, wird sie automatisch erzeugt. Sie erhält einen Startwert aus echten Zufallszahlen, die aus dem zeitlichen Abstanden von Tastatureingaben abgeleitet werden. In die Datei "randseed.bin" werden bei jedem Aufruf des Zufallszahlengenerators neue Daten geschrieben, unter Einbeziehung der aktuellen Uhrzeit und anderer echter Zufallsdaten. Im Zufallszahlengenerator wird der konventionelle Verschlüsselungsalgorithmus verwendet. Die Datei "randseed.bin" sollte wenigstens ein bißchen vor Mitlesen geschützt sein, um das Risiko klein zu halten, daß ein Angreifer die nächsten Schlüssel, die PGP generieren wird, oder die letzten Schlüssel, die PGP generiert hat, berechnet. Dieser Angreifer hätte Schwerstarbeit zu erledigen, weil PGP die Datei "randseed.bin" vor und nach jeder Benutzung kryptographisch "in die Mangel nimmt". Trotzdem ist es keine unangebrachte Vorsicht, darauf zu achten, daß die Datei nicht in die falsche Hände gerät. LeserInnen, denen diese algorithmisch abgeleiteten Zufallszahlen unheimlich sind, sollten nicht vergessen, daß sie der Sicherheit desselben konventionellen Verschlüsselungsalgorithmus vertrauen, um eine Nachricht zu verschlüsseln. Wenn der Algorithmus für die Verschlüsselung sicher genug ist, sollte er hinreichend zuverlässig sein, um Zufallszahlen zu erzeugen, die den konventionellen Schlüssel bilden. Zu beachten ist noch, daß PGP zur Erzeugung eines Paares von öffentlichem und geheimem Schlüssel, die über längere Zeit sicher sein sollen, echte Zufallszahlen verwendet, die im wesentlichen aus den Zeitabständen von Tastatureingaben abgeleitet werden. [Anmerkung des Übersetzers: Die Erzeugung von Pseudozufallszahlen, also von Zahlen, die zwar "zufällig aussehen", die aber aus einem Algorithmus abgeleitet werden, ist eine schwierige Aufgabe. Wegen der "guten Zufallsqualität" wird auch bei Anwendungen, die nichts mit Verschlüsselung zu tun haben, wie Statistik oder numerischer Mathematik, gerne ein Verschlüsselungsalgorithmus verwendet, um Zufallszahlen zu erzeugen. Die Probleme bei Verschlüsselung und bei der Erzeugung von Zufallszahlen sind ähnlich: In beiden Fällen geht es darum, Bitfolgen zu erzeugen, die möglichst wenig Systematik zeigen. Bei der Verschlüsselung sind diese Bitfolgen der verschlüsselte Text, bei der Erzeugung von Zufallszahlen sind die Bitfolgen eben die Zufallszahlen. LeserInnen, denen die Verwendung der Datei "randseed.bin" trotz dieser Argumente unheimlich bleibt, können sie immer noch vor jedem Start von PGP einfach löschen. Allerdings müssen sie dann für die Verschlüsselung eines Klartextes jedesmal ungefähr 90 Tastendrücke für die Erzeugung einer echten Zufallszahl ausführen. d.Ü.] Der konventionelle Verschlüsselungsalgorithmus bei PGP ------------------------------------------------------ Wie weiter oben bereits erwähnt, verwendet PGP für die Verschlüsselung des Klartextes einen schnellen konventionellen Verschlüsselungsalgorithmus; der mit öffentlichen Schlüsseln arbeitende Algorithmus wird nur dazu verwendet, den aktuell für eine Nachricht verwendeten konventionellen Schlüssel zu chiffrieren, so daß er zusammen mit der verschlüsselten Nachricht verschickt werden kann. Im folgenden werden wir über diesen Algorithmus sprechen. Von DES reden wir nicht. Der "Federal Data Encryption Standard" (DES) ist ein guter Algorithmus für die meisten kommerziellen Anwendungen. Allerdings vertraut die US-Regierung nicht auf DES, um ihre eigenen geheimen Daten zu schützen. Vielleicht liegt der Grund darin, daß der Schlüssel bei DES nur 56 Bit lang ist, kurz genug für einen Angriff "mit brutaler Gewalt", bei dem eine spezielle Maschine verwendet wird, die aus einer Vielzahl von DES-Verschlüsselungschips besteht, die einfach alle 2^56 möglichen Schlüssel "ausprobiert". Auch hatten Biham und Shamir kürzlich einigen Erfolg beim Angriff auf eine volle 16-Runden- DES-Verschlüsselung. ["16 Runden" bedeutet, daß der DES- Algorithmus 16 mal hintereinander für die Verschlüsselung desselben Datenblocks verwendet wird, also gewissermaßen eine 16-fache Verschlüsselung. Diese 16 Runden sind Standard bei DES; übrigens auch bei der im folgenden beschriebenen IDEA- Verschlüsselung. d.Ü.] PGP verwendet DES nicht für die konventionelle Verschlüsselung. Statt dessen wird ein anderer blockorientierter Ein-Schlüssel Algorithmus namens IDEA(tm) verwendet. Eine künftige Version von PGP könnte DES optional unterstützen, falls genug BenutzerInnen danach fragen. Aber ich nehme an, daß IDEA besser als DES ist. IDEA verwendet - kryptographisch ungewöhnlich - 64 Bit lange Blöcke für Klartext und verschlüsselten Text, mit 128 Bits langen Schlüsseln. Der Algorithmus basiert auf dem Konzept der Mischung von Operationen verschiedener algebraischer Gruppen. Eine Software-Implementierung von IDEA ist wesentlich schneller als ein DES-Software-Implementierung. Ähnlich wie DES, kann IDEA für "cipher feedback" (CFB, Rückführung der verschlüsselten Textes) und für "cipher block chaining" (CBC, Verkettung von Blöcken verschlüsselten Textes) verwendet werden. PGP verwendet IDEA mit 64-Bit CFB. Die IPES/IDEA-Verschlüsselung wurde an der ETH Zürich von James L. Massey und Xuejia Lai entwickelt und 1990 veröffentlicht. IDEA ist keine Entwicklung aus dem Bastelkeller. Seine Entwickler haben unter Kryptologen einen hervorragenden Ruf. In ihren ersten Veröffentlichungen nannten sie den Algorithmus IPES (Improved Proposed Encryption Standard - Vorschlag für einen verbesserten Verschlüsselungsstandard), später änderten sie den Namen in IDEA (International Data Encryption Standard - Internationaler Standard für Datenverschlüsselung). Bis heute hat IDEA kryptanalytischen Angriffen wesentlich besser stand gehalten als andere Verfahren wie FEAL, REDOC-II, LOKI, Snefru und Khafre. Es gibt erste Anhaltspunkte dafür, daß IDEA dem sehr erfolgreichen differentiellen kryptanalytischen Angriff von Biham und Shamir wesentlich besser standhält als DES. Biham und Shamir untersuchten IDEA erfolglos auf Schwachstellen. Akademische Arbeitsgruppen von Kryptanalytikern aus Belgien, England und Deutschland suchen Angriffsmöglichkeiten bei IDEA, ebenso militärische Geheimdienste mehrerer europäischer Länder. Je mehr und je länger dieser neue Algorithmus Angriffsversuche aus den gefürchtetsten Arbeitsgruppen der kryptanalytischen Welt auf sich zieht, desto mehr steigt das Vertrauen in ihn. Ein berühmter Eishockeyspieler sagte einmal: "Ich versuche, an die Stelle zu laufen, von der ich meine, daß der Puck dort sein müßte." Viele Leute beginnen zu glauben, daß die Tage von DES gezählt sind. Ich bin dabei, in Richtung IDEA zu laufen. Die ausschließliche Verwendung von RSA mit langen Schlüsseln ist wegen der langen Rechenzeit für die Ver- und Entschlüsselung großer Datenmengen ergonomisch unsinnig. Das macht absolut niemand im wirklichen Leben. Trotzdem liegt die Frage nahe, ob die Kombination einer Verschlüsselung mit öffentlichen Schlüsseln und einer zweiten, konventionell arbeitenden Verschlüsselung die Gesamtsicherheit herabsetzt, und das nur, um das Programm schneller zu machen. Schließlich ist eine Kette nur so stark wie ihr schwächstes Glied. Viele Leute, die wenig Erfahrung mit Kryptographie haben, sind der Meinung, daß RSA vom Prinzip her sicherer sei als eine konventionelle Verschlüsselung. Das stimmt nicht. RSA kann durch "weiche" Schlüssel leicht angreifbar werden, andererseits können konventionelle Verschlüsselungen bei Wahl eines guten Algorithmus sehr sicher sein. In den meisten Fällen ist es schwierig, genau zu sagen, wie gut eine konventionelle Verschlüsselung ist, ohne sie wirklich zu knacken. Ein guter konventioneller Algorithmus könnte durchaus schwerer zu knacken sein als ein RSA-Schlüssel nach militärischem Standard. Der Reiz einer Verschlüsselung mit öffentlichen Schlüsseln besteht nicht darin, daß sie aus sich heraus sicherer als eine konventionelle Verschlüsselung ist - ihr Reiz besteht in der wesentlich bequemeren und vielseitigeren Handhabung der Schlüssel. Datenkomprimierung ------------------ Normalerweise komprimiert PGP den Klartext, bevor er verschlüsselt wird. Verschlüsselte Daten lassen sich nicht mehr komprimieren. [Das liegt daran, daß verschlüsselte Daten sehr "zufällig aussehen", Kompressionsalgorithmen aber darauf basieren, eine bestimmte Systematik in den Daten zu erkennen, und auf Grundlage dieser Systematik eine kürzere Darstellung der Daten zu suchen. d.Ü.] Die Kompression spart Übertragungszeit und Festplattenkapazität, und, viel wichtiger, sie erhöht die Sicherheit der Verschlüsselung. Die meisten kryptanalytischen Techniken gehen von der Redundanz des Klartextes aus, um die Verschlüsselung zu knacken. Die Datenkompression reduziert die Redundanz des Klartextes, und erhöht dadurch wesentlich die Sicherheit vor kryptanalytischen Angriffen. Die Datenkompression kostet zwar etwas Rechenzeit, aber vom Standpunkt der Sicherheit aus ist das gerechtfertigt, wenigstens nach meiner bescheidenen Meinung. Dateien, die für eine Kompression zu klein sind, oder die sich nicht gut komprimieren lassen, werden von PGP nicht komprimiert. Bei Bedarf läßt sich auch PKZIP oder ein anderes Datenkomprimierungsprogramm verwenden, um den Klartext vor der Verschlüsselung zu komprimieren. PKZIP ist ein weit verbreitetes und effizient arbeitendes Kompressionsprogramm von PKWare Inc. für MSDOS, das als Shareware vertrieben wird. Oder man kann ZIP benutzen, ein PKZIP-kompatibles Freeware-Programm für Unix und andere Betriebssysteme, zu erhalten bei Jean-Loup Gailly. Die Verwendung von PKZIP oder ZIP hat unter bestimmten Umständen Vorteile, weil diese Programme im Gegensatz zu PGP in der Lage sind, mehrere Dateien in einer einzigen komprimierten Datei zusammenzufassen. Bei der Dekompression werden natürlich wieder die einzelnen Originaldateien erzeugt. PGP versucht nicht, eine bereits komprimiert vorliegende Klartext-Datei erneut zu komprimieren. Die EmpfängerIn einer so komprimierten Datei muß sie nach der Entschlüsselung mit PKUNZIP dekomprimieren. Wenn der entschlüsselte Klartext eine PKZIP- komprimierte Datei ist, erkennt PGP das automatisch, und weist die EmpfängerIn darauf hin, das es sich wahrscheinlich um eine PKZIP-Datei handelt. Für die technisch interessierten LeserInnen sei noch erwähnt, daß die aktuelle Version von PGP die Freeware-Kompressions- Routinen enthält, die Jean-Loup Gailly, Mark Adler und Richard B. Wales geschrieben haben. Diese ZIP-Routinen verwenden Algorithmen, die funktionsäquivalent zu denjenigen von PKZIP 2.0 von PKWare sind. Diese ZIP-Routinen wurde im wesentlichen deshalb in PGP eingebaut, weil sie als gut portierbarer C- Quellcode zu Verfügung stehen, weil sie wirklich gut komprimieren, und weil sie schnell sind. Peter Gutmann hat ein schönes Kompressions- und Archivierungsprogramm namens HPACK geschrieben, das von vielen FTP-Servern im Internet zu beziehen ist. HPACK verschlüsselt komprimierte Dateien, unter Verwendung des PGP-Dateiformats und der PGP-Schlüsseldateien. Es bat mich, hier auf HPACK aufmerksam zu machen. Textprüfsummen (message digests) und digitale Unterschriften ------------------------------------------------------------ Um eine digitale Unterschrift zu erzeugen, verwendet PGP den geheimen Schlüssel, jedoch nicht für die "Verschlüsselung" des gesamten Textes - das würde zuviel Rechenzeit kosten. Statt dessen "verschlüsselt" PGP eine "Textprüfsumme" mit dem geheimen Schlüssel. Diese Textprüfsumme ist ein kleines (128 Bit langes) "Destillat" einer Nachricht, von der Idee her ähnlich einer Quersumme oder eine CRC-Summe. Man kann sich die Textprüfsumme auch als eine Art Fingerabdruck der Nachricht vorstellen. Die Textprüfsumme "repräsentiert" die Nachricht in dem Sinn, daß sich bei jeder Änderung an der Nachricht eine andere Textprüfsumme für die Nachricht ergibt. An der Textprüfsumme läßt sich also erkennen, ob sich ein Fälscher an der Nachricht zu schaffen gemacht hat. Die Textprüfsumme wird durch eine kryptographisch zuverlässige Einweg-Hash-Funktion berechnet. [Eine Einwegfunktion ist eine Funktion, bei der es keine Möglichkeit gibt - oder keine Möglichkeit bekannt ist -, aus dem Funktionswert auf das Funktionsargument zurückzuschließen. Eine Hashfunktion ist eine Funktion, die eine große Menge von Funktionsargumenten möglichst gleichmäßig auf eine vergleichsweise kleine Menge von Funktionswerten abbildet. d.Ü.] Ein Fälscher kann wegen des immensen erforderlichen Rechenaufwands keine zweite Nachricht produzieren, die dieselbe Textprüfsumme wie die Originalnachricht hat. In dieser Hinsicht ist das bei PGP verwendete Verfahren zur Berechnung der Textprüfsumme wesentlich besser als die üblichen Quersummen oder CRC-Summen, bei denen es einfach ist, zu einer gegebenen Nachricht eine zweite Nachricht zu finden, die die identische Quer- oder CRC-Summe hat. Andererseits kann aus der Textprüfsumme ebenso wenig wie aus einer Quer- oder CRC-Summe die Originalnachricht berechnet werden. Die Textprüfsumme alleine reicht nicht aus, um die Echtheit einer Nachricht zu kontrollieren. Der Algorithmus für ihre Berechnung ist allgemein bekannt, und er verwendet keinen geheimen Schlüssel. Wenn man die Textprüfsumme einfach so zur Nachricht hinzufügte, könnte ein Fälscher die Nachricht ändern und die Prüfsumme für die geänderte Nachricht neu berechnen. Für eine zuverlässige Kontrolle der Echtheit einer Nachricht muß die AbsenderIn die Prüfsumme mit ihrem geheimen Schlüssel "verschlüsseln". Erst hierdurch entsteht eine authentische Unterschrift. Die Textprüfsumme wird von dem PGP-Programm der AbsenderIn einer Nachricht berechnet. Die digitale Unterschrift entsteht dadurch, daß die AbsenderIn die Textprüfsumme und die Zeitmarke mit ihrem geheimen Schlüssel "verschlüsselt". Die AbsenderIn verschickt Nachricht und digitale Unterschrift. Die EmpfängerIn erhält Nachricht und digitale Unterschrift; ihr PGP-Programm ermittelt die Textprüfsumme, indem es die digitale Unterschrift mit dem öffentlichen Schlüssel der AbsenderIn "entschlüsselt". Zur Kontrolle wird die Textprüfsumme aus der erhaltenen Nachricht berechnet. Wenn die aus der Nachricht berechnete Textprüfsumme und die in der Unterschrift enthaltene Textprüfsumme übereinstimmen, ist gewährleistet, daß die Nachricht nicht geändert wurde, und daß sie von derjenigen Person stammt, deren öffentlicher Schlüssel für die Kontrolle der Unterschrift verwendet wurde. Ein Fälscher müßte die Nachricht entweder so ändern, daß die Textprüfsumme gleich bleibt - was unmöglich ist, oder er müßte mit der geänderten Textprüfsumme eine neue digitale Unterschrift erzeugen - was ohne den geheimen Schlüssel der AbsenderIn auch nicht möglich ist. Eine digitale Unterschrift beweist, wer eine Nachricht abgeschickt hat, und ob die Nachricht aufgrund eines technischen Fehlers oder absichtlich geändert wurde. Ebenso verhindern sie, daß eine AbsenderIn die Unterschrift unter einer Nachricht ableugnen kann. Die Verwendung der Textprüfsumme für die digitale Unterschrift hat neben der Geschwindigkeit noch weitere Vorteile im Vergleich zur "Verschlüsselung" der gesamten Nachricht mit dem geheimen Schlüssel. Die Unterschriften haben alle die gleiche geringe Länge, unabhängig von der Größe der jeweiligen Nachricht. Sie ermöglichen der Software eine automatische Kontrolle der Korrektheit einer Nachricht, ähnlich wie Quer- oder CRC-Summen. Die Unterschrift kann getrennt von der Nachricht gespeichert werden, bei Bedarf sogar in einem öffentlich zugänglichen Archiv, ohne daß vertrauliche Informationen aus der Nachricht offengelegt werden, weil es unmöglich ist, aus der Kenntnis der Textprüfsumme irgend etwas über den Inhalt der Nachricht zu ermitteln. De bei PGP verwendet Algorithmus für die Berechnung der Textprüfsumme ist MD5 (Message Digest 5), von der RSA Data Security Inc. für Public Domain Verwendung freigegeben. Ronald Rivest, der Entwickler von MD5, schreibt darüber: "Es ist zu vermuten, daß der Rechenaufwand, zwei Nachrichten mit derselben Textprüfsumme zu erhalten, in der Größenordnung von 2^64 Rechenoperationen liegt, und daß der Rechenaufwand, eine Nachricht mit einer vorgegebenen Prüfsumme zu erzeugen, in der Größenordnung von 2^128 Operationen liegt. Der MD5- Algorithmus ist sorgfältig auf Schwachstellen untersucht. Andererseits ist er verhältnismäßig neu, so daß eine weitere Analyse seiner Sicherheit natürlich gerechtfertigt ist, wie bei jedem neuen Vorhaben dieser Art. Der Grad von Sicherheit, den MD5 bietet, dürfte ausreichen, um zusammen mit RSA hochgradig sichere Systeme für digitale Unterschriften zu implementieren." Kompatibilität mit alten Versionen von PGP ========================================== Es tut mir leid, aber Version 2.x von PGP ist nicht kompatibel zu Version 1.0. Für Version 1.0 generierte Schlüssel müssen durch neue ersetzt werden. Ab Version 2.0 verwendet PGP andere Algorithmen für die konventionelle Verschlüsselung, für die Datenkompression und für die Berechnung der Textprüfsummen. Außerdem gibt es ab Version 2.0 ein wesentlich besseres Konzept für die Verwaltung der Schlüssel. Die Änderungen sind zu umfangreich, um eine Kompatibilität mit Version 1.0 aufrecht zu erhalten. Vielleicht hätten wir ein Konvertierungsprogramm für die Schlüssel von Version 1.0 schreiben können oder sollen, aber wir alle waren nach Fertigstellung von PGP 2.0 erschöpft, und wir wollten endlich die neue Version auf die Menschheit loslassen und hinter dem Projekt die Tür zu machen. Außerdem könnte die Konvertierung der alten in neue Schlüssel möglicherweise mehr Probleme schaffen als Probleme zu lösen, weil wir einen neuen einheitlichen Stil für die BenutzerIn-ID empfehlen, die den vollen Namen und die E-Mail-Adresse in einer speziellen Syntax umfaßt. Version 2.0 ist weitgehend kompatibel mit neueren Versionen. Weil neue Versionen von PGP auch neue Möglichkeiten bieten, können die älteren Versionen manche Dateien, die mit neueren erzeugt wurden, nicht in jedem Fall bearbeiten. Wir haben uns Mühe gegeben, die internen Datenstrukturen dieser Version von PGP so zu entwerfen, daß sie an künftige Änderungen angepaßt werden können, so daß hoffentlich niemand noch einmal bei einer kommenden Version von PGP die alten Schlüssel wegschmeißen und neue Schlüssel generieren muß. Angriffsmöglichkeiten ===================== Kein Datensicherheitssystem ist unangreifbar. Die Sicherheit von PGP kann auf vielerlei Art ausgehebelt werden. Bei jedem Datensicherheitssystem müssen AnwenderInnen beurteilen, ob die Daten, die geschützt werden sollen, für den Angreifer so viel Wert haben, daß sich für ihn der Aufwand eines Angriffs lohnt. Dies kann durchaus zu der Entscheidung führen, sich nur von simplen Angriffen zu schützen, ohne sich um aufwendige Angriffe Gedanken zu machen. Die folgende Diskussion mag manchmal maßlos paranoid erscheinen, aber so eine Einstellung ist für eine fundierte Auseinandersetzung mit möglichen Angriffen durchaus angemessen. Bekannt gewordenes Mantra und bekannt gewordener geheimer --------------------------------------------------------- Schlüssel --------- Die wahrscheinlich einfachste Angriffsmöglichkeit ergibt sich, wenn man das Mantra für den geheimen Schlüssel irgendwo aufschreibt. Falls jemand dies Mantra lesen kann und ihm/ihr dann noch die Datei mit dem geheimen Schlüssel in die Hände fällt, kann er/sie alle verschlüsselten Nachrichten lesen und mit dem geheimen Schlüssel gefälschte digitale Unterschriften erzeugen. Offensichtliche Paßworte, die einfach zu raten sind, sind ungeeignet, wie die Namen von Kindern oder der PartnerIn. Ein einzelnes Wort als Mantra kann ebenfalls leicht geraten werden, wenn ein Computer die Wörter eines Lexikons solange als Paßwort ausprobiert, bis das richtige gefunden ist. Deshalb ist eine Paß-Phrase, [also eine Kombination mehrerer Worte - von uns "Mantra" genannt d.Ü.] wesentlich besser als ein einfaches Paßwort. Ein verfeinerter Angriff könnte darin bestehen, einen Computer ein Lexikon mit berühmten Zitaten durcharbeiten zu lassen, um das Mantra zu finden. Eine leicht zu merkendes, aber schwer erratbares Mantra läßt bequem aus ein paar kreativ sinnlosen Sprüchen oder weithin unbekannten literarischen Zitaten zusammenstellen. Weiteres hierzu steht im Abschnitt "Private Schlüssel vor Diebstahl schützen" in Teil 1 des Handbuchs. Fälschung des öffentlichen Schlüssels ------------------------------------- Eine der gefährlichsten Angriffsmöglichkeiten besteht darin, daß der öffentliche Schlüssel gefälscht werden kann. Dies ist der ernsteste, wichtigste Ansatzpunkt für das Knacken einer Verschlüsselung mit öffentlichen Schlüsseln, unter anderem, weil die meisten Neulinge die Gefahr nicht sofort erkennen. Die Bedeutung der Fälschbarkeit eines Schlüssels und geeignete Gegenmaßnahmen sind detailliert im Abschnitt "Öffentliche Schlüssel vor Manipulation schützen" in Teil 1 des Handbuchs beschrieben. Zusammengefaßt: Wenn man einen öffentlichen Schlüssel für die Verschlüsselung einer Nachricht oder für die Prüfung einer Unterschrift verwenden will, muß sichergestellt sein, das er nicht gefälscht ist. Der Echtheit eines neu erhaltenen öffentlichen Schlüssels sollte man nur dann vertrauen, wenn man ihn unmittelbar, auf sicherem Weg, von seiner BesitzerIn erhalten hat, oder wenn seine Echtheit von jemandem bestätigt ist, dem/der man vertraut. Man muß auch dafür sorgen, daß kein Fremder Änderungen an der eigenen Datei mit öffentlichen Schlüsseln vornehmen kann. Man braucht physikalische Kontrolle sowohl über die Datei mit öffentlichen Schlüsseln wie auch über die Datei mit geheimen Schlüsseln. Am besten aufgehoben sie diese beiden Dateien auf dem eigenen PC, um einiges schlechter auf einem, am Ende auch noch räumlich weit entfernten Mehrplatz- Rechner. Auf jeden Fall sollte man Sicherheitskopien der beiden Schlüsseldateien haben. Nicht richtig gelöschte Dateien ------------------------------- Ein weiteres potentielles Sicherheitsproblem entsteht dadurch, wie bei den meisten Betriebssystemen Dateien gelöscht werden. Wenn man eine Klartext-Datei verschlüsselt, und danach löscht, löscht das Betriebssystem die Daten nicht physikalisch. Es markiert nur diejenigen Datenblöcke der Festplatte oder Diskette als "gelöscht", die den Inhalt der "gelöschten" Datei enthalten, so daß sie für die Speicherung anderer Daten freigegeben werden. Das ist das gleiche, als würde man vertrauliche Papiere einfach zum Altpapier legen, anstatt sie von einen Reißwolf klein häckseln zu lassen. Die Blöcke auf der Festplatte enthalten nach wie vor die originalen vertraulichen Daten, und werden vielleicht unter Umständen demnächst mal irgendwann in naher oder ferner Zukunft durch neue Daten überschrieben. Wenn ein Angreifer diese "gelöschten" Datenblöcke kurz nach ihrer Freigabe liest, hat er einige Aussicht, den kompletten Klartext zu erhalten. Genau dies, die Wiederherstellung einer schon vor langem gelöschten Datei, kann sogar ganz zufällig passieren, wenn aus irgend einem Grund etwas mit der Festplatte schief geht, und wichtige Dateien gelöscht oder beschädigt sind. Die übliche "Rettungsmaßnahme" besteht darin, ein Dateiwiederherstellungsprogramm laufen zu lassen, um die Dateien zu "reparieren". Hierbei werden häufig auch alte, schon vor dem "Unfall" gelöschte Dateien wieder ausgegraben. Auf diese Art können auch vertrauliche Daten wieder ans Tageslicht kommen, von denen man annahm, daß sie für immer gelöscht seien. Folglich können diese Daten von jedem/jeder gelesen werden können, der/die ein solches Programm laufen läßt. Darüber hinaus legen die meisten Textverarbeitungsprogramme auch Backup- Dateien an, und erzeugen häufig auch aus technischen Gründen eine oder mehrere temporäre Dateien, die den gesamten Text oder Teile davon enthalten. Diese Dateien werden vom Textverarbeitungsprogramm automatisch gelöscht - aber eben nur in dem Sinn, daß die Blöcke auf der Festplatte / Diskette für ein Überschreiben freigegeben werden. Der Text selbst steht nach wie vor noch in diesen Blöcken. Hierzu eine wahre Horrorgeschichte: Eine Freundin von mir, verheiratet und Mutter kleiner Kinder, hatte eine kurze und nicht sehr ernstzunehmende Liebesaffaire. Sie schrieb ihrem Liebhaber auf dem Computer einen Brief, und nachdem sie den Brief abschickte, löschte sie die Datei. Nachdem die Affaire schon vorbei war, ging die Diskette kaputt, auf der der Brief gespeichert war. Weil die Diskette einige andere wichtige Daten enthielt, bat sie ihren Ehemann, die Diskette zu reparieren. Der ließ die Diskette von einem Datenwiederherstellungsprogramm bearbeiten, wobei neben den von seiner Frau benötigten Dateien auch der besagte Brief wieder zu Tage kam, was eine Kette tragischer Ereignisse auslöste. Um zu verhindern, daß der Klartext irgendwann mal ausgegraben wird, gibt es nur den einen Weg, die "gelöschten" Daten auch wirklich zu überschreiben. Solange man nicht wirklich sicher weiß, daß die freigegebenen Blöcke der Festplatte /Diskette sehr schnell wieder mit anderen "echten" Daten überschrieben werden [dieses Wissen haben bei den meisten Betriebssystemen, wenn überhaupt, nur ausgekochte BetriebssystemspezialistInnen d.Ü.], muß man selbst dafür sorgen, daß die Klartext-Datei und die temporären Dateien, die das Textverarbeitungsprogramm angelegt hat, wirklich überschrieben werden. Die Klartext-Datei überschreibt PGP, wenn die Option "-w" (wipe = wischen) bei der Verschlüsselung angegeben wird. Sämtliche Textfragmente, ob aus der "richtigen" Klartext-Datei oder aus temporären Dateien, lassen sich mit einem geeigneten Hilfsprogramm löschen, das alle freien Blöcke einer Festplatte/Diskette überschreibt. Für MSDOS sind beispielsweise die Norton Utilities geeignet. [Eine weitere Stelle, an der bei den meisten Betriebssystemen "Textspuren" verbleiben können, sind die "swap files" (auch Auslagerungsdateien genannt) bzw. Swap-Partitionen: Wenn ein Programm mehr Hauptspeicher benötigt, als real im Computer vorhanden ist, wird ein Teil des Hauptspeicherinhalts in diese Auslagerungsdatei bzw. -partition geschrieben, so daß der Hauptspeicher gewissermaßen auf die Festplatte "verlängert" wird. Auch in dieser "Auslagerungsdatei" können Teile eines Textes stehen. MSDOS kennt keine Auslagerungsdateien - endlich mal ein Vorteil dieses Betriebssystems, wenn auch nur im Hinblick auf "Spurensicherheit". Aber selbst Microsoft Windows benutzt eine Auslagerungsdatei. d.Ü.] Selbst wenn man den Klartext auf der Platte/Diskette überschreibt, kann ein technisch gut ausgestatteter Angreifer die Daten wiedergewinnen. Geringe magnetische Spuren der Originaldaten bleiben auch nach einem Überschreiben auf der Platte/Diskette. Diese Spuren können unter Umständen mittels spezieller Hardware gelesen werden. Viren und Trojanische Pferde ---------------------------- Eine andere Angriffsmöglichkeit könnte ein speziell entwickelter Virus und Wurm sein, der PGP oder das Betriebssystem infiziert. Dieser hypothetische Virus könnte so entworfen sein, daß er das Mantra, den geheimen Schlüssel oder den entschlüsselten Klartext "mithört", und unbemerkt in eine Datei schreibt, oder über ein Netzwerk zum Besitzer des Virus schickt. Er könnte auch das Verhalten von PGP so ändern, daß Unterschriften nicht richtig geprüft werden. So ein Angriff ist einfacher und billiger als ein kryptanalytischer Angriff. Ein Schutz hiergegen fällt unter das allgemeine Thema des Schutzes gegen Viren. Es gibt einige relativ brauchbare kommerzielle Anti-Virus Produkte, und es gibt "Hygienemaßnahmen", deren Beachtung das Risiko einer Virusinfektion erheblich reduzieren kann. Eine umfassende Abhandlung dieses Themas würde den Rahmen dieses Handbuchs sprengen. PGP selbst hat keinerlei inneren Schutz gegen Viren, es geht davon aus, daß der PC, auf dem es benutzt wird, eine "vertrauenswürdige Umgebung" ist. Falls es einmal so einen Spezialvirus für PGP geben sollte, ist zu hoffen, daß eine entsprechende Warnung schnell bekannt würde und viele Leute erreicht. Ein ähnlicher Angriff könnte eine geschickte Imitation von PGP sein, die sich im Wesentlichen wie PGP verhält, aber nicht so arbeitet, wie anzunehmen wäre. Beispielsweise könnte diese Imitation absichtlich dahingehend verstümmelt sein, daß Unterschriften nicht mehr korrekt geprüft werden, so daß gefälschte Schlüssel nicht mehr erkannt werden können. Eine solche "Trojanisches-Pferd-Version" von PGP ist von einem Angreifer verhältnismäßig einfach erstellt, weil der Quellcode von PGP weit verbreitet ist. Deshalb ist es kein Problem, den Quellcode dahingehend zu manipulieren, daß eine gehirnamputierte Zombie-Imitation von PGP entsteht, die echt aussieht, jedoch nur die Anweisungen ihres teuflischen Meisters ausführt. Diese "Trojanisches-Pferd-Version" von PGP könnte breit verteilt werden, mit dem Anschein, sie käme von mir. Wie hinterhältig. [Die allgemeine Verfügbarkeit des Quellcodes von PGP hat aber auch einen anderen, vertrauensschaffenden Aspekt: Die entsprechenden Programmierkenntnisse vorausgesetzt, ist es nur noch eine Frage des Fleißes, den Quelltext auf obskure Stellen durchzusehen. Außerdem kann man das Programm neu übersetzen, und sich so eine eigene Arbeitsversion erstellen. Der im nächsten Absatz erwähnte Vergleich mehrerer PGP- Versionen aus unterschiedlichen Bezugsquellen sollte aber zumindest für die selbst erstellte Version vorsichtig interpretiert werden: Selbst wenn der gleiche Compiler verwendet wird, besteht immer noch die Möglichkeit, daß die eigene PGP-Version mit der Compiler-Version 12.34a1 übersetzt wird, während das Entwicklerteam Version 12.34b3 verwendet hat. Unterschiede in den PGP-Versionen bedeuten deshalb nicht gleich das Schlimmste. Auf der anderen Seite heißt das aber auch, daß ein neu übersetztes PGP andere BenutzerInnen verunsichern kann. Deshalb sollte man normalerweise besser die Originalversion weitergeben. d.Ü.] Man sollte sich die Mühe machen, PGP von einer zuverlässigen Bezugsquelle zu erhalten, was auch immer das heißen mag. Oder man besorgt sich PGP von mehreren unabhängigen Quellen, und vergleicht die einzelnen Versionen mit einem geeigneten Programm. Mit Hilfe digitaler Unterschriften ergeben sich weitere Möglichkeiten, festzustellen, ob an PGP herumgepfuscht wurde. Wenn eine Person, der man vertraut, eine digitale Unterschrift für die Datei mit dem ausführbaren PGP-Programm [welch komplizierte Formulierung... für MSDOS ganz schlicht: PGP.EXE d.Ü.] leistet, und damit garantiert, daß die Datei zum Zeitpunkt der Unterschrift nicht infiziert oder anderweitig verfälscht ist, kann man einigermaßen sicher sein, eine brauchbare Kopie zu haben. Mit Hilfe einer älteren, vertrauenswürdigen Version von PGP kann die Unterschrift für die neue, zunächst zweifelhafte Version kontrolliert werden. Dieser Test setzt natürlich voraus, daß der für die Kontrolle der Unterschrift verwendete öffentliche Schlüssel einen hohen Grad an Vertrauen hat. Lücken in der physischen Sicherheit ----------------------------------- Die meisten bisher besprochenen Sicherheitsprobleme ergeben sich, auch ohne daß ein Angreifer unmittelbaren Zugang zu dem Computer hat, auf dem die geheim zu haltenden Daten gespeichert sind. Ein direkter Zugriff auf den Computer oder ausgedruckte Texte ist auch denkbar, durch Einbruch, Durchsuchen des Mülls, eine unerwartete / unbegründete Hausdurchsuchung, Bestechung, Erpressung, oder Bespitzelung. Von einigen dieser Angriffe dürften insbesondere politische Basisorganisationen (grassroots organizations) betroffen sein, die weitgehend auf freiwillige Mitarbeit angewiesen sind. Die Presse hat einiges darüber berichtet, daß das FBI im Rahmen seines COINTELPRO-Programms mit Einbruch, Infiltration und illegalen Wanzen gegen Antikriegs- und Bürgerrechtsgruppen gearbeitet hat. Nicht zu vergessen: Die Watergate-Affaire. [Für die Bundesrepublik gilt ähnliches - Spitzel von Verfassungsschutz und Polizei hat es schon häufig gegeben. Mittlerweile geht die Diskussion ihres legalen Einsatzes bis zu der Frage, ob verdeckt arbeitende Polizeibeamte mit Gesetzessegen auch Straftaten sollen begehen können. d.Ü.] Die Verwendung eines Verschlüsselungsprogramms kann ein trügerischen, einschläferndes Gefühl der Sicherheit entstehen lassen. Kryptographische Techniken schützen Daten aber nur solange, wie sie verschlüsselt sind - Löcher in der unmittelbaren physischen Sicherheit können nach wie vor Klartextdaten und geschriebene oder gesprochene Information offenlegen. Diese Art von Angriffen ist einfacher und billiger als ein kryptanalytischer Angriff auf PGP. "Sturmangriffe" (tempest attacks) --------------------------------- Eine andere Angriffsmöglichkeit für einen gut ausgerüsteten Gegner ist Auswertung der elektromagnetischen Strahlung, die ein Computer aussendet. Ein solcher Angriff ist zwar teuer und arbeitsintensiv, aber wahrscheinlich immer noch billiger als eine richtige Kryptanalyse. Ein entsprechend ausgerüsteter Kleinbus könnte in der Nähe des abzuhörenden Computer geparkt sein, und jeden Tastendruck und jeden Bildschirminhalt aufzeichnen. Das würde alle Paßworte, Nachrichten usw. offenlegen. Abwehren läßt sich dieser Angriff durch eine geeignete Abschirmung des Computers, des Zubehörs (Drucker usw.) und gegebenenfalls der Netzwerk-Verkabelung. Eine solche Abschirmung ist unter dem Begriff "sturmsicher" bekannt, und wird von einigen Regierungsbehörden und Rüstungsfirmen eingesetzt. Es gibt Firmen, die diese Abschirmungen anbieten, allerdings ist der Kauf möglicherweise genehmigungspflichtig. Woher das wohl kommt? Probleme bei Mehrplatz-Computern -------------------------------- Ursprünglich entworfen wurde PGP für (Ein-Platz)-MSDOS- Computer, zu denen man unmittelbaren Zugang hat. Ich benutze PGP zu Hause auf meinem privaten PC, und solange niemand einbricht oder die elektromagnetischen Signale des PC auswertet, sind die Klartext-Dateien und die geheimen Schlüssel wahrscheinlich sicher. Aber mittlerweile gibt es PGP auch für Unix und VAX/VMS, also Mehrplatz-Betriebssysteme. Bei diesen Betriebssystemen besteht ein wesentlich höheres Risiko, daß Klartext-Dateien, Schlüssel oder Paßworte offengelegt werden. Der Systemverwalter oder ein versierter Eindringling kann die Klartext-Dateien lesen, und unter Umständen auch mittels spezieller Software heimlich die Tastatureingaben und die Bildschirmausgaben mitlesen. Unter Unix kann jede BenutzerIn mit dem Kommando "ps" einiges an Informationen über die anderen BenutzerInnen erhalten, beispielsweise alle Umgebungsvariablen (environment variables). [Wenn jemand dann auf einer Unix-Mehrplatz-Maschine noch aus Faulheit "pgppass" - nicht zu verwechseln mit "pgppath"! - setzt, legt er sein Mantra allen anderen BenutzerInnen offen. d.Ü.] Ähnliche Probleme gibt es für MSDOS-Rechner, die in einem Netzwerk arbeiten. Das aktuelle Sicherheitsrisiko hängt von der jeweiligen Situation ab. Ein Mehrplatz-Rechner kann sicher sein, wenn man allen BenutzerInnen traut, oder wenn die Sicherheitsmechanismen ausreichen, um den Angriffen von Eindringlingen standzuhalten, oder auch, wenn es ganz einfach keine hinreichend interessierten potentiellen Eindringlinge ging. Manche Unix-Systeme sind schon dadurch sicher, daß sie von nur einer Person benutzt werden - es gibt bereits Notebooks, die mit Unix arbeiten. PGP vollkommen von der Benutzung unter Unix auszuschließen, wäre unsinnig. PGP ist nicht dafür gedacht, Daten zu schützen, die als Klartext auf einem schlecht geschützten oder "aufgeflogenen" Rechner vorhanden sind. Ebenso wenig kann es einen Eindringling davon abhalten, einen geheimen Schlüssel während seiner Benutzung mitzulesen. Diese Risiken muß man sich gerade für Mehrplatz-Rechner klar machen, und die Erwartungen an PGP und das eigene Verhalten darauf abstimmen. Aber vielleicht hat die LeserIn doch die Möglichkeit, PGP auf einem "isolierten", also nicht an ein Netzwerk angeschlossenen, Ein-Platz-PC zu verwenden, der unter ihrer unmittelbaren physischen Kontrolle ist. So setze ich PGP ein, und dazu rate ich auch. Statistik von Nachrichtenverbindungen ------------------------------------- Selbst wenn ein Angreifer nicht in Lage ist, den Inhalt der verschlüsselten Nachrichten zu lesen, hat er immer noch die Möglichkeit, brauchbare Informationen daraus zu gewinnen, woher Nachrichten kommen, an wen sie gehen, aus der Länge, aus Datum und Uhrzeit der Nachrichten. Dies entspricht der Auswertung, wann man mit wem wie lange telefoniert, ohne daß die einzelnen Gespräche abgehört werden. Das ist mit "Statistik von Nachrichtenverbindungen" gemeint. PGP schützt hiervor nicht. Um dies Problem zu lösen, wären speziell hierfür entworfene Übertragungsprotokolle nötig, die möglicherweise kryptographische Elemente enthalten. [Diese Art der Überwachung, die eigentlich auch noch das durch PGP verhinderte Durchsuchen der ganzen Post nach Schlüsselworten einschließt, ist wohl die am besten genutzte Informationsquelle, die Nachrichtendiensten zur Verfügung steht. d.Ü.] Kryptanalyse ------------ Ein teurer und schwieriger kryptanalytischer Angriff könnte von einem Geheimdienst durchgeführt werden, der über ein ausreichendes Arsenal von Supercomputertechnologie verfügt. Dieser Geheimdienst könnte einen RSA-Schlüssel unter Verwendung eines bahnbrechenden neuen, geheimgehaltenen Algorithmus für die Primfaktorzerlegung knacken. Das ist denkbar, aber man sollte nicht vergessen, daß die US-Regierung dem RSA- Algorithmus soweit vertraut, daß mit ihm nach Aussage von Ron Rivest Kernwaffen gesichert werden. Und im zivilen Bereich gibt es seit 1978 intensive, aber erfolglose Versuche, RSA zu knacken. Möglicherweise hat die Regierung auch geheimgehaltene Methoden, um IDEA(tm) zu knacken, den bei PGP verwendeten konventionellen Verschlüsselungsalgorithmus. Das wäre der schlimmste Alptraum jedes Kryptographen. In der praktischen Kryptographie gibt es keine Garantie für absolute Sicherheit. Doch nach wie vor ist etwas Optimismus gerechtfertigt. Die Entwickler von IDEA gehören zu den besten Kryptographen Europas. Die besten Kryptanalytiker der nicht geheimen Welt haben IDEA einer ausgedehnten Analyse und eingehenden Überprüfung unterzogen. Einer differentiellen Kryptanalyse, mit der DES geknackt wurde, scheint IDEA besser standzuhalten. Aber selbst wenn IDEA die eine oder andere subtile Schwachstelle haben sollte, so komprimiert PGP der Klartext vor der Verschlüsselung, was die von einer solchen Schwachstelle ausgehende Gefährdung um einiges reduzieren dürfte. Der für das Knacken erforderliche Rechenaufwand dürfte in den meisten Fällen um einiges höher sein, als der Wert der entschlüsselten Nachricht. Wenn man in einer Situation ist, in der die Furcht vor so einem Angriff größten Kalibers berechtigt ist, wäre an der Zeit, die Dienste einer SicherheitsberaterIn in Anspruch zu nehmen, die auf die jeweilige Situation zugeschnittene Lösungen anbieten kann. Boulder Software Engineering bietet diese Leistungen an. Die Adresse und Telefonnummer stehen am Ende dieses Handbuchs. Kurz gesagt, kann ein Gegner mühelos, sogar routinemäßig, Datenkommunikation abhören, insbesondere, wenn ein Modem oder E- Mail benutzt wird, es sei denn, die Daten die Daten sind gut kryptographisch geschützt. Wenn man PGP verwendet, und die erforderlichen Vorsichtsmaßnahmen beachtet, muß ein Angreifer erheblich mehr Arbeit und Kosten aufbringen, um in die Privatsphäre einzubrechen. Wenn man sich von einfachen Angriffen schützt, und annehmen kann, daß man nicht einem entschlossenen und sehr gut ausgestatteten Angreifer gegenüber steht, dann dürfte die Verwendung von PGP sicher sein. PGP (Pretty Good Privacy) sorgt für Prima Geschützte Privatsphäre. Rechtsfragen ============ [Hinweis: Der folgende Abschnitt ist - wie der Rest des Handbuches auch - eine Übersetzung des von Philip Zimmermann geschriebenen englischen Handbuches. Im Gegensatz zum Rest des Handbuches, das sprachunabhängig "internationale Gültigkeit" hat, bezieht sich der folgende Abschnitt im wesentlichen auf die rechtliche Lage in den USA. Eine deutschsprachige Ergänzung, die rechtliche Fragen für die BRD, die Schweiz oder Österreich behandelt, wäre zwar sinnvoll, ist aber z. Zt. nicht in Sicht. d.Ü.] Warenzeichen, Copyright, Garantie --------------------------------- "Pretty Good Privacy", "Phils's Pretty Good Software", und "Pretty Good" als Warenezeichen für Computerhardware und Software sind Warenzeichen von Philip Zimmermann und von Phil's Pretty Good Software. PGP ist (c) Copyright by Philip R. Zimmermann 1990-1993. Philip Zimmermann hat auch das Copyright für das PGP-Handbuch, und für Übersetzungen von Handbuch und Software in andere Sprachen. Der Autor übernimmt keine Haftung für Schäden, die aus der Nutzung der Software entstehen, auch dann nicht, wenn die Schäden aus Fehlern der Software resultieren. Der Autor macht keine Angaben über die Verkaufbarkeit der Software, oder ihre Brauchbarkeit für bestimmte Anwendungen. Die Software wird zur Verfügung gestellt "as is", ohne jede explizite oder implizite Garantie. Patentrechte auf die Algorithmen -------------------------------- Das Verschlüsselungsverfahren RSA wurde am MIT entwickelt. Dem MIT wurde ein Patent auf RSA erteilt (U.S. patent #4,405,829, erteilt am 20. September 1983). Eine kalifornische Firma namens Public Key Partners besitzt die alleinigen Rechte an diesem Patent für den Verkauf und die Lizensierung des RSA- Verschlüsselungssystems. PKP hat für die Nutzung von RSA bei PGP keine Lizenz erteilt. Der Autor der Software stellt diese Implementierung nur für Lehrzwecke zur Verfügung. Die Verantwortung für die Lizensierung von RSA durch PKP liegt bei Ihnen als AnwenderIn, nicht beim Autor. Der Autor übernimmt keine Verantwortung für eine mögliche Verletzung von Patentrechten, die sich aus der Nutzung von PGP auf dem Computer einer AnwenderIn ohne eine Lizenz durch den Inhaber des RSA-Patents ergeben können. Für AnwenderInnen außerhalb der USA sei angemerkt, daß das US- Patent auf RSA nur innerhalb des USA gilt, und daß es kein RSA- Patent in anderen Ländern gibt. US-Bundesbehörden können RSA nutzen, weil die Entwicklung von RSA staatlich finanziert wurde durch Zuschüsse der National Science Foundation und der US- Marine. Firmen, die bereits eine Lizenz für die Nutzung von RSA haben, dürfen PGP nutzen, falls sie einen geeigneten Lizenzvertrag abgeschlossen haben. Ich schrieb PGP vollständig selbst, mit einer eigenständig entwickelten Implementierung des RSA-Algorithmus. Vor der Veröffentlichung von PGP erhielt ich das Rechtsgutachten eines Patentanwalt mit großer Erfahrung bei Softwarepatenten. Ich bin überzeugt, daß die Art, in der ich PGP veröffentlicht habe, keinen Verstoß gegen das Patentrecht darstellt. PKP erhielt nicht nur die ausschließlichen Patentrechte für RSA, sondern auch die ausschließlichen Rechte für drei andere Patente für public key Verschlüsselungssysteme, die an der Stanford University mit Bundeszuschüssen entwickelt wurden. Im Prinzip entscheidet damit in den USA eine einzige Firma über die Verwendung von public key Verschlüsselungssystemen. PKP beansprucht sogar das Patentrecht an dem grundlegenden Konzept der Kryptographie mit öffentlichen Schlüsseln, unabhängig davon, wie intelligent auch immer ein neuer Algorithmus sein wird, der unabhängig von PKP entwickelt werden könnte. Ich halte ein derart umfassendes Monopol für gefährlich, weil ich der Meinung bin, das Kryptographie mit öffentlichen Schlüsseln einen zentralen Beitrag zum Schutz der Bürgerrechte und der Privatsphäre in unserer immer mehr verkabelten Gesellschaft leisten kann. Zumindest setzt das Monopol von PKP diese lebenswichtige Technologie dem Risiko der Einflußnahme durch die Regierung aus. Es laufen Verhandlungen mit RSA Data Security Inc. (RSADSI), einer Schwesterfirma von PKP, über die Legalisierung von PGP in den USA. Dies würde abgeschlossen werden durch die Integration von RSAREF in PGP. RSAREF ist Softwarepaket von RSADSI, das die RSA-Algorithmen implementiert. Diese Routinen aus RSAREF würden dann die bisherigen RSA-Routinen in PGP ersetzen. Die Einbindung von RSAREF verursacht ein paar technische Probleme, aber dafür werden sich Lösungen ergeben, wenn die Verhandlungen mit RSADSI erfolgreich verlaufen. Wenn RSAREF in PGP integriert ist, wird PGP von RSADSI für den nichtkommerziellen Gebrauch in den USA lizensiert werden. Ausländische Versionen von PGP werden die schnelleren PGP-eigenen RSA-Routinen behalten. RSADSI verlangt möglicherweise, den Namen von PGP zu ändern. Halten Sie sich auf dem laufenden. [Mittlerweile ist es soweit: PGP wird in den USA unter dem Namen Viacrypt ganz legal verkauft. d.Ü.] Unabhängig davon, ob die Lizensierungsprobleme mit PKP gelöst werden können, wird es mit ziemlicher Sicherheit neue Versionen von PGP geben. Wenn PKP keine Lizenz für PGP erteilt, werden die neuen Versionen wahrscheinlich nicht mehr von mit kommen. PGP hat zahllose Fans auch außerhalb der USA, und viele von ihnen sind Softwareentwickler, die PGP verbessern und fördern wollen, unabhängig davon, was ich mache. Die zweite Version von PGP ist das Ergebnis gemeinsamer Arbeit eines internationalen Entwicklungsteams, dem unter meiner Leitung eine Reihe von Verbesserungen gegenüber der originalen Version gelang. Branko Lancaster hat diese Version in Holland veröffentlicht, Peter Gutmann in Neuseeland, außerhalb des Geltungsbereichs des amerikanischen Patentrechts. Obwohl diese Version nur in Europa und Neuseeland veröffentlicht wurde, verbreitete sie sich spontan bis in die USA, ohne daß ich oder Entwicklungsteam dazu irgend etwas beigetragen haben. Das bei PGP ebenfalls verwendete blockorientierte Verschlüsselungsverfahren IDEA unterliegt in Europa einem Patent, das der ETH Zürich und einer Schweizer Firma namens Ascom-Tech AG gehört. Die Patentnummer ist PCT/CH91/00117. [Nach meiner Kenntnis können Algorithmen innerhalb der EG nicht patentiert werden. Aber für eine endgültige Antwort wäre hier eine JuristIn zu fragen. d.Ü.] Internationale Patente sind angemeldet. Für die nichtkommenzielle Verwendung von IDEA werden keine Lizenzgebühren verlangt. Die Ascom-Tech AG hat eine Lizenz für die Nutzung von IDEA bei PGP erteilt, auch für den kommerziellen Einsatz von PGP. Die Verwendung der IDEA- Routinen aus PGP in anderen, kommerziellen Produkten ist ohne eine Lizenz von Ascom Tech nicht erlaubt. Kommerzielle Anwender von IDEA können Details zur Lizensierung bei Dieter Profoss, Ascom Tech AG, Solothurn Lab, Postfach 151, 4502 Solothurn, Switzerland, Tel +41 65 242885, Fax +41 65 235761, erfahren. Die bei PGP verwendeten ZIP-Kompressionsroutinen stammen aus Freeware-Quellcode und werden mit Erlaubnis des Autors verwendet. Mir sind keine Patente bekannt, die für die Kompressionsalgorithmen erteilt worden wären, aber Sie können diese Frage gerne selbst genauer untersuchen. Lizensierung und Vertrieb ------------------------- In den USA kontrolliert PKP die Lizensierung von RSA auf der Basis des US-Patentgesetzes. Aber ich selbst habe keinerlei Einwände dagegen, daß jemand PGP benutzt oder weitergibt, und ich verlangt auch keine Nutzungsgebühren. Die Copyrightvermerke im Programm und in dieser Dokumentation dürfen nicht gelöscht oder geändert werden. Innerhalb der USA sind damit aber nicht unbedingt die rechtlichen Verpflichtungen erfüllt, die Sie möglicherweise gegenüber PKP wegen der Verwendung des RSA- Algorithmus haben. PGP ist keine Shareware, es ist Freeware. Verbotene Freeware. Veröffentlicht als gesellschaftliche Dienstleistung. Daß PGP kostenlos ist, ermutigt viele Menschen, PGP auch zu verwenden, und dies wird hoffentlich größere soziale Auswirkungen haben. Hieraus könnte sich ein großer Bekanntheitsgrad und eine weite Verbreitung von RSA ergeben. Der gesamte Quellcode von PGP ist frei verfügbar im Rahmen des "Copyleft" der General Public License der Free Software Foundation. Eine Kopie der General Public License der FSF gehört zum Programmpaket von PGP. Unabhängig von General Public License, und in manchen Punkten ihr unter Umständen widersprechend, gelten die folgenden Bedingungen: 1) Besprechungen von PGP in Zeitungen oder Büchern dürfen unbeschränkt Auszüge des PGP-Quellcodes und der Dokumentation enthalten 2) Die General Public License läßt zwar die Verwendung von Programmen oder Programmteilen für andere Produkte zu, wenn diese Produkte ebenfalls frei und kostenlos erhältlich sind, untersagt aber die Verwendung in kommerziellen Programmen. Abweichend von dieser Regelung bin ich im Prinzip bereit, eine spezielle Lizenz für die Verwendung von Teilen von PGP in kommerziellen Produkten zu erteilen. Ob diese Lizenz Geld kostet, hängt von den jeweiligen Umständen ab. Gegebenenfalls reicht schon ein Copyrightvermerk und ein Quellenhinweis. In einem Telefongespräch läßt sich das genauer bereden. Ich bin ziemlich leicht zufriedenzustellen. Eine solche Lizenz enthebt Sie aber nicht der Pflicht, die Rechte an den Patenten zu berücksichtigen. Scheuen Sie sich nicht, das vollständige PGP-Paket soweit wie möglich zu verbreiten. Geben Sie es allen Ihrem FreundInnen. Wenn Sie Zugang zu Mailboxen haben, stellen Sie PGP in möglichst allen Mailboxen öffentlich zur Verfügung. Auch den Quellcode können Sie beliebig verbreiten. Die ausführbare PGP- Version 2.3(a) für MSDOS steht zusammen mit der Dokumentation, einigen öffentlichen Schlüsseln, darunter mein eigener, sowie Unterschriften unter das Programm in einer Datei namens PGP23[a].ZIP. Das Paket mit Quellcode für MSDOS enthält alle C- und Assemblerdateien in einer PKZIP-Datei namens PGP23src.ZIP. Die Dateinamen ergeben sich aus der Versionsnummer. Kostenlose Kopien und Updates von PGP finden Sie weltweit in tausenden von Mailboxen und anderen öffentlich zugänglichen Archiven, wie FTP-Servern im Internet. Mich selbst brauchen Sie nicht nach PGP zu fragen, weil ich weitere rechtliche Probleme mit PKP vermeiden möchte. Woher Sie PGP bekommen können, kann ich Ihnen aber schon sagen. Nach all der Arbeit an PGP möchte ich noch anmerken, daß ich gegen Fanpost nichts einzuwenden habe, allein schon, um seine Popularität abschätzen zu können. Teilen Sie mir mit, was Sie von PGP halten, und wieviele Ihrer FreundInnen es verwenden. Hinweise auf Fehler und Verbesserungsvorschläge sind natürlich ebenfalls gerne gesehen. In künftigen PGP-Versionen werden Ihre Anregungen möglicherweise berücksichtigt werden. Das PGP-Projekt wurde nicht finanziell gefördert, und hat mir beinahe die Haare vom Kopf gefressen. Sie dürfen deshalb nicht mit einer Antwort auf Ihren Brief rechnen, es sei denn, Sie legen einen frankierten Rückumschlag bei. Lieber antworte ich auf E-Mail. Bitte schreiben Sie auf Englisch, weil meine Fremdsprachenkenntnisse begrenzt sind. Wenn Sie mich anrufen, und ich bin nicht da, probieren Sie am besten etwas später noch einmal. Rückrufe auf Ferngespräche mache ich in der Regel nicht, es sei denn, Sie akzeptieren ein R-Gespräch. Falls Sie mich für längere Zeit brauchen: Ich stehe als Berater auf entsprechender finanzieller Basis zu Verfügung, und antworte auch auf derartige Anfragen. Die ungelegenste Post, die ich bekomme, stammt von Menschen, die mir in der besten Absicht ein paar Dollar schicken mit Bitte, ihnen PGP zuzusenden. Ich mache das nicht, um rechtlichen Problemen mit PKP aus dem Weg zu gehen. Noch schlechter ist es, wenn so eine Anfrage aus dem Ausland kommt. In dem Fall würde ich es riskieren, die US-amerikanischen Gesetze über den Export von Kryptographie zu verletzen. Aber auch wenn es keine rechtliche Auseinandersetzung um PGP gäbe: Normalerweise reicht das Geld in so einem Brief nicht aus, um den Zeitaufwand zu rechtfertigen, den ich mit dem Versand hätte. Ich bin nicht darauf eingerichtet, im Nebenberuf preiswertes Versandhaus zu spielen. Andererseits kann ich das Geld auch nicht einfach behalten, weil es als Honorar für eine Leistung gedacht ist. Um das Geld aber zurückzuschicken, muß ich mich in mein Auto setzen, zum Postamt fahren, und Briefmarken kaufen. Normalerweise kommen diese Anfragen ohne frankierten Rückumschlag. Als nächstes muß ich mir die Zeit nehmen, eine freundliche Antwort zu schreiben, daß ich dem Wunsch der Absender nicht nachkommen kann. Wenn ich die Beantwortung zurückstelle und den Brief einfach auf meinen Schreibtisch lege, kann es passieren, das er innerhalb von Minuten unter Papierstapeln vergraben wird, und erst Monate später wieder ans Tageslicht kommt. Wenn Sie all diese kleinen Unbequemlichkeiten mit der Anzahl der Anfragen multiplizieren, wird Ihnen das Problem klar. Reicht es nicht, daß PGP nichts kostet? Wie schön wäre es, wenn diese Leute versuchen würden, PGP aus irgendeiner der unzähligen vorhandenen Quellen zu beziehen. Wenn Sie kein Modem haben, fragen Sie in Ihrem Bekanntenkreis. Wenn Sie keine Bezugsquelle finden, können Sie mich kurz anrufen. Wer immer freiwillig an der Verbesserung von PGP mitarbeiten möchte, möge mir das mitteilen. PGP könnte weitere Arbeit durchaus vertragen. Ein paar Optionen wurden zurückgestellt, um PGP ohne zu große Verzögerung veröffentlichen zu können. Viele Leute haben ihre Zeit damit verbracht, PGP auf Unix für Sun Sparcstations, auf Ultrix, auf VAX/VMS, auf den Amiga und auf den Atari ST zu portieren. Vielleicht können auch Sie dabei helfen, PGP auf weitere Maschinen zu portieren. Aber schreiben Sie mir, bevor Sie mit einer Portierung oder Verbesserung von PGP anfangen, um doppelte Arbeit oder die Verwendung veralteter Versionen der Quellcodes zu vermeiden. Es gibt so viele fremdsprachige Übersetzungen von PGP, daß die meisten Sprachkits nicht im Standardpaket von PGP enthalten sind, um Speicherplatz zu sparen. Einzelne Sprachkits können Sie aus einer großen Zahl unabhängiger Quellen beziehen. Häufig sind es die gleichen Quellen, bei denen Sie auch das eigentliche PGP-Paket finden. Diese Kits enthalten übersetzte Versionen von LANGUAGE.TXT, PGP.HLP und vom Handbuch. Falls Sie daran denken, PGP in Ihre Muttersprache zu übersetzen, setzen Sie sich mit mir in Verbindung, damit Sie die neuesten Informationen und Standardisierungsrichtlinien bekommen, und um herauszufinden, ob es bereits eine Übersetzung in Ihre Sprache gibt. Colin Plumb (colin@nyx.cs.du.edu) verwaltet eine umfangreiche Sammlung von Sprachkits. Bei künftigen Versionen von PGP kann sich unter Umständen das Datenformat von Nachrichten, Unterschriften, Schlüsseln oder Schlüsseldateien ändern, wenn dadurch wichtige neue Funktionen ermöglicht werden. Daraus können sich Probleme mit der Kompatibilität zur gegenwärtig aktuellen Version ergeben. Diese Versionen werden möglicherweise Konvertierungsprogramme für alte Schlüssel enthalten, aber Nachrichten, die mit alten PGP- Versionen erzeugt wurden, werden nicht unbedingt kompatibel zu den neuen Versionen von PGP sein. Wenn Sie Zugang zum Internet haben, achten Sie auf Ankündigungen neuer Versionen in "sci.crypt" und in der speziellen PGP newsgroup "alt.security.pgp". Es gibt eine mailing list namens "info-pgp", gedacht für Leute ohne Zugang zu "alt.security.pgp". Hugh Miller moderiert info-pgp. Mit einer Nachricht an info-pgp-request@lucpul.it.luc.edu können Sie sich von ihm in die mailing list eintragen lassen. Vergessen Sie nicht, Ihren Namen und Ihre Internet-Adresse anzugeben. Wenn Sie wissen wollen, woher Sie PGP beziehen könne, kann Hugh Ihnen eine Liste mit FTP-Servern im Internet und Telefonnummern von Mailboxen schicken. Hugh erreichen Sie auch unter hmiller@lucpul.it.luc.edu. Exportkontrolle [auf die USA bezogen d.Ü.] ------------------------------------------ Die Regierung hat schon häufig den Export guter kryptographischer Technologie verboten, und dies Verbot kann auch PGP betreffen. Diese Art von Programmen wird wie Kriegswaffen behandelt. Die Rechtsgrundlage hierfür ist eine einfache Verordnung des State Departement, kein richtiges Gesetz. Ich selbst werde diese Art Software nicht aus den USA oder Kanada exportieren, für den Fall, daß dies gemäß den Verordnungnen des State Departement illegal ist, und ich übernehme keine Verantwortung für den möglichen Export durch andere. Wenn Sie außerhalb der USA und Kanadas leben, rate ich Ihnen, gegen diese Verordnungen des State Departement nicht dadurch zu verstoßen, daß Sie sich PGP aus den USA besorgen. Tausende von US-BürgerInnen haben sich PGP nach seiner ersten Veröffentlichung besorgt, und irgendwie ist es dann aus den USA herausgekommen, und hat sich dann wie Pusteblumen [xxx dandelion seed] von selbst weiterverbreitet. Wenn PGP bereits den Weg in Ihr Land gefunden hat, dann werden Sie wahrscheinlich keine US-Exportgesetze verletzen, wenn Sie sich PGP aus einer Quelle außerhalb der USA besorgen. Einige Juristen , mit denen ich sprach, haben den Eindruck, daß die Rahmenbedingungen der US-Exportkontrolle nicht dafür ausgelegt wurden, auf so etwas wie kryptographische Freeware, die sich ganz von allein verbreitet, angewandt zu werden. Es ist schwer vorstellbar, daß ein US-amerikanischer Staatsanwalt versucht, jemanden anzuklagen wegen des "Exportes" von Software, die in den USA kostenlos erhältlich ist. Ich kenne niemanden, der ein entsprechendes Beispiel nennen kann, obwohl es eine Reihe von Verstößen gegen die Exportgesetze gibt. Ich bin kein Jurist und gebe auch keinen juristischen Rat -- ich versuche nur deutlich zu machen, was der allgemeinen Auffassung entspricht. [Exakt wegen illegalen Exports kryptographischer Technologie ermittelt der US-Zoll z.Zt. gegen Philip Zimmermann. d.Ü.] Seit Version 2.0 wird PGP nicht mehr aus den USA heraus veröffentlicht, sondern über öffentlich zugängliche Computer in Europa. Jede neue Version wird von PGP- und Privatsphären- AktivistInnen in die USA geschickt, und dort auf öffentlich zugänglichen Computern bereitgestellt. Es gibt in den USA zwar auch Einschränkungen für den Import von Kriegswaffen, aber ich kenne keinen Fall, in dem diese Regelung auf den Import kryptographischer Software angewandt worden wäre. Ich denke, daß ein Verfahren hiergegen eine recht spektakuläre Kontroverse werden würde. Einige ausländische Regierungen verhängen hohe Strafen allein für verschlüsselte Kommunikation. In manchen Ländern kann man dafür sogar erschossen werden. Aber wenn man in so einem Land lebt, braucht man PGP vielleicht um so mehr. Computer-orientierte politische Vereinigungen [in den USA] ========================================================== PGP ist ein sehr politisches Programm, so daß ein Hinweis angebracht ist auf politische Gruppen, die sich mit EDV beschäftigen. Genaueres zu diesen Gruppen, und wie sie erreichbar sind, steht in einer eigenen Datei, die zum PGP- Paket gehört. Die Electronic Frontier Foundation (EFF) wurde im Juli 1990 gegründet, mit dem Ziel, die Freiheit des Wortes in digitalen Medien zu verteidigen, insbesondere, um sicherzustellen, daß die Grundsätze der Verfassung der USA und ihrer Ergänzungen (Bill of Rights) auch bei computerbasierter Kommunikation zur Geltung kommen. Die EFF ist in Washington DC unter der Telefonnummer (202) 347-5400 erreichbar. Ihre Internet-Adresse ist eff@eff.org. Die Computer Professionals For Social Responsibility (CPSR) unterstützen EDV Fachleute und AnwenderInnen, die sich für einen verantwortungsvollen Umgang mit Informationstechnologie einsetzen, und fördern die breite politische Auseinandersetzung um die gesellschaftlichen Auswirkungen der Informationstechnologie. Sie sind in Palo Alto unter der Telefonnummer 415-322-3778 und unter der Internet-Adresse cpsr@csli.stanford.edu erreichbar. Die League for Programming Freedom (LPF) ist eine "grass-root"- Vereinigung von ProfessorInnen, Studierenden, Geschäftleuten, ProgrammierInnen und AnwenderInnen, die sich dem Ziel der uneingeschränkten Freiheit bei der Programmerstellung widmen. Die LPF sieht Patente auf Computeralgorithmen als schädlich für die US-amerikanische Computerindustrie an. Telefon: (617) 433- 7071. E-Mail: lpf@uunet.uu.net. Genauere Informationen zu diesen Gruppen stehen in der Datei "politic.doc". [Eine vergleichbare Datei über Gruppen aus dem deutschen Sprachraum ist nicht in Arbeit. d.Ü.] Empfohlene Literatur für den Einstieg in Kryptographie: ======================================================= 1) Dorothy Denning, "Cryptography and Data Security", Addison- Wesley, Reading, MA 1982 2) Dorothy Denning, "Protecting Public Keys and Signature Keys", IEEE Computer, Feb 1983 3) Martin E. Hellman, "The Mathematics of Public-Key Cryptography," Scientific American, Aug 1979 4) Steven Levy, "Crypto Rebels", WIRED, May/Jun 1993, page 54. (Ein "muß" zu PGP und verwandten Themen) Weitere Literatur ================= 5) Ronald Rivest, "The MD5 Message Digest Algorithm", MIT Laboratory for Computer Science, 1991 6) Xuejia Lai, "On the Design and Security of Block Ciphers", Institute for Signal and Information Processing, ETH- Zentrum, Zurich, Switzerland, 1992 7) Xuejia Lai, James L. Massey, Sean Murphy, "Markov Ciphers and Differential Cryptanalysis", Advances in Cryptology- EUROCRYPT'91 8) Philip Zimmermann, "A Proposed Standard Format for RSA Cryptosystems", Advances in Computer Security, Vol III, edited by Rein Turn, Artech House, 1988 9) Bruce Schneier, "Applied Cryptography: Protocols, Algorithms, and Source Code in C", John Wiley & Sons, 1993 (erscheint im November) 10) Paul Wallich, "Electronic Envelopes", Scientific American, Feb 1993, page 30. (Handelt von PGP) Die Adresse des Autors ====================== Philip Zimmermann Boulder Software Engineering 3021 Eleventh Street Boulder, Colorado 80304 USA Telefon/Fax 303-541-0140 (10:00am - 7:00pm Mountain Time) Internet: prz@acm.org Anhang: Bezugsquellen für PGP =============================== [Die folgenden Angaben von Bezugsquellen stammen unmittelbar von Philip Zimmermann. Sie nicht unbedingt jetzt noch gültig, außerdem sind andere Bezugsquellen hinzugekommen. Eine ständige Aktualisierung einer solchen Liste würde sehr viel Arbeit kosten. Für aktuelle Listen sei an dieser Stelle auf die englischen FAQs, die regelmäßig in alt.security.pgp veröffentlicht werden, sowie auf die deutschen FAQs, die in /T-NETZ/PGP/ALLGEMEIN und in comp.security.de veröffentlicht werden. d.Ü] Im folgenden wird erläutert, wie man das Freeware-Programm PGP von einem anonymen FTP-Server im Internet und aus anderen Quellen bekommen kann. PGP hat eine ausgeklügelte Schlüsselverwaltung, verwendet eine Kombination von RSA und einer konventionellen Verschlüsselung, erzeugt digitale Unterschriften, komprimiert zu verschlüsselnde Daten, und ist sehr ergonomisch zu bedienen. PGP ist gut ausgestattet und schnell, und es hat ein exzellentes Handbuch. Der Quellcode ist kostenlos erhältlich. PGP verwendet das Verschlüsselungsverfahren RSA, das durch ein Patent im Besitz der Firma Public Key Partners geschützt ist. Für PGP-AnwenderInnen außerhalb der USA sei angemerkt, daß es nur in den USA ein Patent auf RSA gibt. Zu beachten ist, daß es allen Personen, die in den USA und Kanada leben, aufgrund der Exportgesetze dieser Staaten verboten ist, kryptographische Software dieser Art zu exportieren. Wenn Sie jedoch außerhalb der USA leben, begehen Sie wahrscheinlich keinen Verstoß gegen das US-Exportgesetz, wenn Sie sich PGP von einer Quelle außerhalb der USA besorgen. Beachten Sie, daß sich der Name "PGP" aufgrund der Verhandlungen mit den RSA-Patentinhabern bei zukünftigen Version möglicherweise ändern wird. Im folgenden finden Sie eine kleine Auswahl von Stellen, an denen Sie angeblich PGP bekommen können (Stand: Juni 1993). Für die Richtigkeit diese Informationen gibt es keine Garantie. Einige Einrichtungen in den USA haben PGP aus Angst vor juristischen Einschüchterungsversuchen durch die RSA- Patentinhaber zurückgezogen. Das Standardpaket von PGP besteht aus zwei komprimierten Dateien, wobei die Dateinamen die Versionsnummer enthalten. Die Version 2.3a steht in der Datei "PGP23A.ZIP". Diese Datei enthält das ausführbare Programm für MSDOS und dieses Handbuch [im englischen Original. d.Ü.] Außerdem gibt es die Datei "PGP23SRC.ZIP", die den Quellcode enthält. Diese Dateien können mit PKUNZIP Version 1.10 oder neuer dekomprimiert werden. Unix- AnwenderInnen, die keine UNZIP-Implementierung haben, können den Quellcode auch in der komprimierter tar-Datei pgp23src.tar.Z finden. Zur Erinnerung: wählen Sie Binärübertragung, wenn Sie sich die Dateien per FTP holen. Unter Kermit muß auf beiden Seiten die Betriebsart "8 Bit binär" gewählt werden. Und nun eine kleine Liste von anonymen FTP-Server, die PGP haben: Finnland: nic.funet.fi (128.214.6.100) Directory: /pub/unix/security/crypt/ Italien: ghost.dsi.unimi.it (149.132.2.1) Directory: /pub/security/ Vereinigtes UK: src.doc.ic.ac.uk Königreich: Directory: /computing/security/software/PGP Falls Sie FTP nicht einsetzen können: nic.funet.fi bietet auch "FTP-Mail-Service" an. Um PGP zu bekommen, senden Sie die folgende Nachricht an mailserv@nic.funet.fi: ENCODER uuencode SEND pub/unix/security/crypt/pgp23src.zip SEND pub/unix/security/crypt/pgp23a.zip [Der Name der Quellcodedatei varriert nach meiner Erfahrung etwas. d.Ü.] Spätestens 24 Stunden später haben Sie in Ihrem Postfach ca. 15 UU-codierte Nachrichten, aus denen Sie mit UUDecode die beiden *.zip-Dateien erhalten. In den USA finden Sie PGP in unzähligen Mailboxen. Gott allein weiß, in wievielen. Es sind mehr, als hier aufgeführt werden können. Falls Sie keine Telefonnummern von Mailboxen an Ihrem Wohnort kennen, hier eine kleine Auswahl: GRAPEVINE BBS in Little Rock, Arkansas, hat einen speziellen Pseudoaccount eingerichtet, über den man kostenlos PGP "saugen" kann. Der Sysop ist Jim Wenzel <jim.wenzel@grapevine.lrk.ar.us> Die folgenden Telefonnummern sollten Sie in der Reihenfolge ausprobieren, in der sie aufgeführt sind (an der ersten Nummer ist das schnellste Modem): (501) 753-6859, (501) 753-8121, (501) 791-0124. Als Username geben Sie "PGP USER" an; als Paßwort "PGP". PGP hat auch im Fido-Netz weite Verbreitung gefunden. PGP werden Sie in vielen US-amerikanischen und ausländischen Fido- Boxen finden. In Neuseeland können Sie die folgende (wahrscheinlich kostenlos arbeitende) Mailbox anrufen: Kappa Crucis: +64 9 817-3714, -3725, -3324, -8424, -3094, -3393 Quell- und Maschinencode von PGP können Sie auch von der öffentlich zugänglichen Bibliothek des Kanadischen Rundfunk (Canadian Broadcasting Corporation) bekommen. Die Bibliothek hat Zweigstellen in Toronto, Montreal und Vancouver. Für weitere Fragen können Sie sich an Max Allen, Tel. +1 416 205- 6017, wenden. Zu Informationen zu PGP-Implementierungen für den Apple Macintosh, den Commodore Amiga, den Atari ST können Sie Hugh Miller <hmiller@lucpul.it.luc.edu> fragen. Er kann Ihnen wahrscheinlich auch bei der Frage weiterhelfen, für welche anderen Rechner und Betriebssysteme es bereits PGP gibt. Hier die E-Mail-Adressen oder Telefonnummern einiger Personen, die Sie fragen können, wo es PGP in einem bestimmten Land gibt: Peter Gutmann Hugh Kennedy pgut1@cs.aukuni.ac.nz 70042.710@compuserve.com Neuseeland Deutschland Branko Lankester Miguel Angel Gallardo lankeste@fwi.uva.nl gallardo@batman.fi.upm.es +31 2159 42242 (341) 474 38 09 Holland Spanien Hugh Miller Colin Plumb hmiller@lucpul.it.luc.edu colin@nyx.cs.du.edu (312) 508-2727 Toronto, Ontario, Canada USA Jean-loup Gailly jloup@chorus.fr Frankreich Drei weitere Adressen in der BRD Marc Aurel <4-tea-2@hit.zer.de> Christopher Creutzig <c.creutzig@hot.gun.de> Abel Deuring <a.deuring@bionic.zer.de>