GnuPG Testbericht
ab 8,90 €
Billiger bei eBay?
Bei Amazon bestellen
Paid Ads from eBay.de & Amazon.de
Auf yopi.de gelistet seit 09/2003
Auf yopi.de gelistet seit 09/2003
Erfahrungsbericht von MOFFt
WER KANN MEINE MAILS LESEN?
31.08.2003, 16:50 Uhr
von
MOFFt
Hallo ... ich bin bereits ein "alter Yopi-User" ... zumindest war ich bereits einige Monate dabei...
Pro:
freie Alternative zu PGP, auf vielen Betriebssystemen erhältlich, Schutz der mails vor Dritten
Kontra:
bedarf einiges an Einarbeitungszeit
Empfehlung:
Ja
Eine Frage dessen Antwort jetzt wahrscheinlich einige erschrecken wird ... im Prinzip JEDER (sofern er das Wissen besitzt mails abzufangen), den die mail selbst geht als Klartext durch die Weiten des Internets und kann somit von jedem gelesen werden.
Doch es gibt Abhilfe mit GnuPG, von dem dieser Bericht handelt!
=ALLGEMEINES===
Wen interessieren schon meine mails, werden sich viele fragen. Nun ja - wahrscheinlich sind nicht viele interessante Inhalte für Dritte dabei, aber abgesehen davon dass ich es einfach nicht will das meine mails auch andere lesen können, braucht man nur kurz nachzudenken und findet einige Mailinhalte die sicherlich kein Dritter bekommen sollte ...
Du verschickst zb. in Form eine Frage Informationen über deine Umgebung/IPs usw., die einem möglichen Angreifer schon nützliche Informationen bieten können. Du möchtest einem Freund Zugangscodes zu deinem Computer übersenden, die ganz gewiss kein anderer erhalten sollte. Du versendest deine Visa-Nummer oder sogar PIN-Codes (was zugegeben sowieso nie gemacht werden darf/sollte) ... man sieht es gibt genügend Gründe, warum man seine Mailinhalte vor anderen schützen möchte.
Die einzige mir bekannte Möglichkeit ist die mails nicht mehr als Klartext zu verschicken, sondern sie zu verschlüsseln/codieren. Zwar können die mails immer noch abgefangen werden, aber der Dritte erhält nur wirren Zahlen/Zifferncode den er nicht entschlüsseln kann ...
=GnuPG===
Vielleicht hat schon der ein oder anderer von PGP gelesen oder gehört ... PGP steht für Pretty Good Privacy und dient eben zum Verschlüsseln von mails. PGP stammt meines Wissens nach von Amerika und es haften Lizensen/Patente darauf, die sich ein privater sicherlich nicht leisten möchte (man muss das Programm kaufen)
So wurden weitere Varianten GPG bzw. GnuPG entwickelt (The GNU Privacy Guard). Lt homepage www.gnupg.org ist GnuPG somit eine freie Lösung, die PGP vollkommen ersetzt. Frei kann GnuPG nur sein, da es die patentierten IDEA Algorithmen nicht verwendet und erblickte im Sept. 1999 als Version 1.0.0 die Bits der Datenwelt.
Mittlerweile ist Version 1.2.x aktuell und für eine Reihe von Betriebssystemen verfügbar.
Natürlich unter Linux (wo es eigentlich bei jeder aktuellen Distribution als vorkonfiguriertes Paket dabei sein sollte), FreeBSD, OpenBSD, NetBSD, Windows (95-2000) und MacOS X.
Ich verwende hier GnuPG 1.2.1 unter Debian woody (wobei ich mir die neuere Version nachinstalliert hatte, da woody standardmässig eine ältere verwendet, die neuere keys nicht kannte)
Die Installation gestaltet sich erwartungsgemäß sehr einfach mit den jeweiligen Paketen, ich denke auch unter Windows u.a. ist es kein Problem GnuPG zu installieren. Etwas heikler wird da schon die Anwendung ...
=FUNKTION/EINDRUCK===
Die Hilfeseite bzw. man-page von gpg ist ellenlang, dementsprechend anstrengend ist auch das erste Einarbeiten in die Materie bzw. gpg. Es gibt gute HowTOs, die relativ einfach erklären wie man mit gpg mails ver- bzw. entschlüsselt.
In der Praxis sieht es so aus, dass man gpg in sein Mailprogramm miteinbindet, das dann die Ver- bzw. Entschlüsselung für einen übernimmt. Natürlich kann man den Befehl auch in der Konsole auf einen verschlüsselten Text anwenden, oder ihn für einen Freund verschlüsseln.
Bevor man gpg jedoch anwenden kann, muss man sich erst einmal ein eigenes Schlüsselpaar erzeugen, auf dem das ganze Prinzip von gpg/pgp basiert.
Mit gpg --gen-key kann man ein solches Schlüsselpaar erzeugen, man durchläuft einige Fragen wie stark die Verschlüsselung sein soll (je besser, desto langsamer) für welche email Adresse das Paar gelten soll, ein geheimes Passwort u.a., wobei immer genügend Information bzw. eine vernünftige Voreinstellung vorhanden ist.
Somit erhält man einen sogn. secret key, der fix im eigenen Verzeichnis gespeichert wird (den man sich zusätzlich auch auf Diskette sichern sollte) und den kein anderer erhalten darf. Weiters erzeugt man so einen public (also öffentlichen) key, den man für alle frei verfügbar auf einen keyserver legen, ihn einmalig an seinen Mailpartner per Diskette weitergeben oder als Signatur an seine (unverschlüsselten) mails anhängen kann.
Hat auch der Mailpartner diesen Prozess durchlaufen bzw. beide deren öffentliche Keys ausgetauscht (die man per gpg in seinen digitalen Schlüsselbund dazuhängt) kann man ab nun mails für genau diesen Partner mit dessen public key verschlüsseln und NUR ER kann diese mail mit seinem eigenen secret key entschlüsseln bzw. lesen. Signiert man die mail auch noch, kann sich der Partner auch sicher sein dass die mail vom richtigen Gegenüber stammt und nicht gefälscht ist.
Ohne jetzt im obigen Text konkrete Befehlsketten eingebaut zu haben, merkt man sicherlich dass die Thematik keine einfache ist. Zwar gibt es mittlerweile auch schon grafische GUIs als Unterstützung zum Erzeugen von Schlüssel bzw. Verwalten seines Schlüsselbundes doch den Hintergrund der Verschlüsselung muss man sich erst erarbeiten.
Zum zweiten ist gpg/pgp leider noch viel zu wenig verbreitet, vor allem bei den home-usern. Kaum einer macht sich die Mühe seine mails zu verschlüsseln oder zumind. die Möglichkeit anzubieten ihm eine verschlüsselte mail zu schicken (dh. Erzeugen und Veröffentlichen von Public-keys) ... wahrscheinlich weil auch kaum einer weiss, wie leicht man mails abfangen/lesen kann.
Ich persönlich nutze gpg auch nur mit wenigen email-Partnern (die ausschließlich Linux verwenden), versuche doch immer wieder auch einen public key von Partnern zu erfragen mit denen ich öfter email-Verkehr habe.
Ich denke mit zunehmender Anzahl an Fake-mails und Missbrauch fremder Adressen wird zumindest das Signieren immer wichtiger, sicherlich wird es aber noch einige Zeit dauern bis sich so nützliche tools wie gpg/pgp flächendeckend verbreitet haben.
Auf jeden Fall vertraue ich offenen Möglichkeiten wie gpg um ein Vielfaches mehr, wie zukünftigen Vorhaben alla Longhorn (wo Microsoft die User-Daten verschlüsseln will)
=ZUSAMMENFASSUNG===
Ich hoffe der Bericht war nicht zu verwirrend, ich habe versucht die Thematik so einfach wie möglich darzustellen ... ein richtiger Profi bin ich zugegeben auch nicht auf dem Gebiet, aber ein Anwender im Home-Bereich. Und genau das sollte nun vielleicht auch der ein oder andere unter Euch werden - zumindest mal ein Reinschnuppern und probieren kann nicht schaden.
Somit wünsche ich allen private mails ... und Dank fürs Lesen --- heute schon geMOFFt?
Doch es gibt Abhilfe mit GnuPG, von dem dieser Bericht handelt!
=ALLGEMEINES===
Wen interessieren schon meine mails, werden sich viele fragen. Nun ja - wahrscheinlich sind nicht viele interessante Inhalte für Dritte dabei, aber abgesehen davon dass ich es einfach nicht will das meine mails auch andere lesen können, braucht man nur kurz nachzudenken und findet einige Mailinhalte die sicherlich kein Dritter bekommen sollte ...
Du verschickst zb. in Form eine Frage Informationen über deine Umgebung/IPs usw., die einem möglichen Angreifer schon nützliche Informationen bieten können. Du möchtest einem Freund Zugangscodes zu deinem Computer übersenden, die ganz gewiss kein anderer erhalten sollte. Du versendest deine Visa-Nummer oder sogar PIN-Codes (was zugegeben sowieso nie gemacht werden darf/sollte) ... man sieht es gibt genügend Gründe, warum man seine Mailinhalte vor anderen schützen möchte.
Die einzige mir bekannte Möglichkeit ist die mails nicht mehr als Klartext zu verschicken, sondern sie zu verschlüsseln/codieren. Zwar können die mails immer noch abgefangen werden, aber der Dritte erhält nur wirren Zahlen/Zifferncode den er nicht entschlüsseln kann ...
=GnuPG===
Vielleicht hat schon der ein oder anderer von PGP gelesen oder gehört ... PGP steht für Pretty Good Privacy und dient eben zum Verschlüsseln von mails. PGP stammt meines Wissens nach von Amerika und es haften Lizensen/Patente darauf, die sich ein privater sicherlich nicht leisten möchte (man muss das Programm kaufen)
So wurden weitere Varianten GPG bzw. GnuPG entwickelt (The GNU Privacy Guard). Lt homepage www.gnupg.org ist GnuPG somit eine freie Lösung, die PGP vollkommen ersetzt. Frei kann GnuPG nur sein, da es die patentierten IDEA Algorithmen nicht verwendet und erblickte im Sept. 1999 als Version 1.0.0 die Bits der Datenwelt.
Mittlerweile ist Version 1.2.x aktuell und für eine Reihe von Betriebssystemen verfügbar.
Natürlich unter Linux (wo es eigentlich bei jeder aktuellen Distribution als vorkonfiguriertes Paket dabei sein sollte), FreeBSD, OpenBSD, NetBSD, Windows (95-2000) und MacOS X.
Ich verwende hier GnuPG 1.2.1 unter Debian woody (wobei ich mir die neuere Version nachinstalliert hatte, da woody standardmässig eine ältere verwendet, die neuere keys nicht kannte)
Die Installation gestaltet sich erwartungsgemäß sehr einfach mit den jeweiligen Paketen, ich denke auch unter Windows u.a. ist es kein Problem GnuPG zu installieren. Etwas heikler wird da schon die Anwendung ...
=FUNKTION/EINDRUCK===
Die Hilfeseite bzw. man-page von gpg ist ellenlang, dementsprechend anstrengend ist auch das erste Einarbeiten in die Materie bzw. gpg. Es gibt gute HowTOs, die relativ einfach erklären wie man mit gpg mails ver- bzw. entschlüsselt.
In der Praxis sieht es so aus, dass man gpg in sein Mailprogramm miteinbindet, das dann die Ver- bzw. Entschlüsselung für einen übernimmt. Natürlich kann man den Befehl auch in der Konsole auf einen verschlüsselten Text anwenden, oder ihn für einen Freund verschlüsseln.
Bevor man gpg jedoch anwenden kann, muss man sich erst einmal ein eigenes Schlüsselpaar erzeugen, auf dem das ganze Prinzip von gpg/pgp basiert.
Mit gpg --gen-key kann man ein solches Schlüsselpaar erzeugen, man durchläuft einige Fragen wie stark die Verschlüsselung sein soll (je besser, desto langsamer) für welche email Adresse das Paar gelten soll, ein geheimes Passwort u.a., wobei immer genügend Information bzw. eine vernünftige Voreinstellung vorhanden ist.
Somit erhält man einen sogn. secret key, der fix im eigenen Verzeichnis gespeichert wird (den man sich zusätzlich auch auf Diskette sichern sollte) und den kein anderer erhalten darf. Weiters erzeugt man so einen public (also öffentlichen) key, den man für alle frei verfügbar auf einen keyserver legen, ihn einmalig an seinen Mailpartner per Diskette weitergeben oder als Signatur an seine (unverschlüsselten) mails anhängen kann.
Hat auch der Mailpartner diesen Prozess durchlaufen bzw. beide deren öffentliche Keys ausgetauscht (die man per gpg in seinen digitalen Schlüsselbund dazuhängt) kann man ab nun mails für genau diesen Partner mit dessen public key verschlüsseln und NUR ER kann diese mail mit seinem eigenen secret key entschlüsseln bzw. lesen. Signiert man die mail auch noch, kann sich der Partner auch sicher sein dass die mail vom richtigen Gegenüber stammt und nicht gefälscht ist.
Ohne jetzt im obigen Text konkrete Befehlsketten eingebaut zu haben, merkt man sicherlich dass die Thematik keine einfache ist. Zwar gibt es mittlerweile auch schon grafische GUIs als Unterstützung zum Erzeugen von Schlüssel bzw. Verwalten seines Schlüsselbundes doch den Hintergrund der Verschlüsselung muss man sich erst erarbeiten.
Zum zweiten ist gpg/pgp leider noch viel zu wenig verbreitet, vor allem bei den home-usern. Kaum einer macht sich die Mühe seine mails zu verschlüsseln oder zumind. die Möglichkeit anzubieten ihm eine verschlüsselte mail zu schicken (dh. Erzeugen und Veröffentlichen von Public-keys) ... wahrscheinlich weil auch kaum einer weiss, wie leicht man mails abfangen/lesen kann.
Ich persönlich nutze gpg auch nur mit wenigen email-Partnern (die ausschließlich Linux verwenden), versuche doch immer wieder auch einen public key von Partnern zu erfragen mit denen ich öfter email-Verkehr habe.
Ich denke mit zunehmender Anzahl an Fake-mails und Missbrauch fremder Adressen wird zumindest das Signieren immer wichtiger, sicherlich wird es aber noch einige Zeit dauern bis sich so nützliche tools wie gpg/pgp flächendeckend verbreitet haben.
Auf jeden Fall vertraue ich offenen Möglichkeiten wie gpg um ein Vielfaches mehr, wie zukünftigen Vorhaben alla Longhorn (wo Microsoft die User-Daten verschlüsseln will)
=ZUSAMMENFASSUNG===
Ich hoffe der Bericht war nicht zu verwirrend, ich habe versucht die Thematik so einfach wie möglich darzustellen ... ein richtiger Profi bin ich zugegeben auch nicht auf dem Gebiet, aber ein Anwender im Home-Bereich. Und genau das sollte nun vielleicht auch der ein oder andere unter Euch werden - zumindest mal ein Reinschnuppern und probieren kann nicht schaden.
Somit wünsche ich allen private mails ... und Dank fürs Lesen --- heute schon geMOFFt?
Meinungen
-
Privacy first ..! 24.02.2007 von anonym -
WER KANN MEINE MAILS LESEN? 31.08.2003 von MOFFt
Informationen
Die Erfahrungsberichte in den einzelnen Kategorien stellen keine Meinungsäußerung der Yopi GmbH dar, sondern geben ausschließlich die Ansicht des jeweiligen Verfassers wieder. Beachten Sie weiter, dass bei Medikamenten außerdem gilt: Zu Risiken und Nebenwirkungen fragen Sie Ihren Arzt oder Apotheker.
¹ Alle Preisangaben inkl. MwSt. und ggf. zzgl. Versand. Zwischenzeitl. Änderung der Preise, Lieferzeiten & Lieferkosten sind in Einzelfällen möglich. Alle Angaben erfolgen ohne Gewähr.
Bewerten / Kommentar schreiben