Pretty Good Privacy

Pretty Good Privacy (PGP)⁹ ist ein frei verfügbares (nicht kommerziellen Bereich) und auf vielen Plattformen lauffähiges Programm zur Verschlüsselung von Daten und EMails, das ursprünglich 1991 von Philip Zimmermann entwickelt wurde¹⁰. PGP ist das im privaten wie im geschäftlichen Bereich am weitesten verbreitete Kryptowerkzeug. Die Beliebtheit in Deutschland ist sicherlich Initiativen gegen die drohende Krypto-Regulierung durch die Bundesregierung zu verdanken¹¹. PGP liegt mittlerweile in der Version 6.0 vor und gestattet starke Kryptographie.

3.1 Schlüsselerstellung

Zur Schlüsselgenerierung benötigt PGP eine Zufallszahl. Da in einem Computer keine Quelle wirklicher Zufallszahlen vorhanden ist, kreiert der Benutzer durch zufällige Bewegungen mit dem Maus eine Zufallszahl. Der private Schlüssel ist paßwortgeschützt. Die Datei mit dem privaten

Schlüsselring - dem private-key ring - und die Datei mit den öffentlichen Schlüsseln - dem public-key ring - werden auf der Festplatte des lokalen Rechners abgelegt. Bei jedem Zugriff auf den privaten Schlüssel verlangt das Programm die Eingabe des Paßwortes, um mit diesem die Daten zu

entschlüsseln.

3.2 Schlüsselverwaltung

Nachdem ein Benutzer ein Schlüsselpaar erzeugt hat, gibt er seinen öffentlichen Schlüssel auf einem Weg seiner Wahl bekannt, zum Beispiel über sogenannte Key-Server (z.B. [PGP-Serv]) oder durch

persönlichen Austausch. Die Authentizität des Schlüssels wird durch Vergleich des Hashwertes (PGP-Fingerprint) über einen vertrauenswürdigen (authentischen) Kanal, meist ein Telefonat, festgestellt.

Dieser konzeptionelle Ansatz ist Ausdruck von Zimmermanns Mißtrauen gegenüber jeder Big-Brother-fähigen zentralen Instanz, wie es CAs in einer PKI darstellen.

PGP setzt auf verteilte Schlüsselverwaltung. Es gibt keine Instanzen zur Schlüsselverwaltung.

Jeder Benutzer verwaltet seinen öffentlichen Schlüsselring selbst. Die Benutzer unterzeichnen ihre öffentlichen Schlüssel gegenseitig und schaffen so eine zusammenhängende

Gemeinschaft von PGP-Benutzern (siehe 3.3). Das Ziel, ist ein "Netz des Vertrauens" (web of trust) zu schaffen, welches eine Verallgemeinerung der "Zertifizierungshierarchien"

darstellt.¹²

3.3 Zertifizierung

Jeder Eintrag im public-key-ring besitzt ein Feld für die Schlüssellegitimation, das anzeigt, in welchem Maße der Benutzer der Gültigkeit des Schlüssels traut. Ein weiteres Feld gibt an, wie weit der

Benutzer dem Unterzeichner zutraut, die öffentlichen Schlüssel anderer Benutzer zu zertifizieren. So ist es also möglich, die Zertifikate gewisser Aussteller komplett zu ignorieren¹³. Das Prinzip der Schlüsseleinführung wird in Abbildung 5 an einem Beispiel beschrieben.

Wenn Alice beispielsweise mit Carol sicher kommunizieren möchte, könnte Alice ihren öffentlichen Schlüssel Bob direkt aushändigen. Da Bob Alice kennt, unterzeichnet er ihren öffentlichen Schlüssel. Dann gibt er ihr den unterschriebenen Schlüssel zurück und behält eine Kopie für sich. Alice schickt Carol nun eine Kopie ihres von Bob unterschriebenen öffentlichen Schlüssels. Carol, die bereits über Bobs öffentlichen Schlüssel (aus einer

früheren Kommunikation) verfügt und Bobs Schlüssel vertraut, verifiziert dessen Unterschrift auf Alices Schlüssel und vertraut damit auch Alices Schlüssel. Somit hat Bob Alice bei Carol eingeführt.

Abbildung 5: Prinzip der Schlüsseleinführung in PGP

PGP sieht kein spezielles Verfahren vor, um Vertrauen herzustellen. Die Benutzer

entscheiden selbst, wen sie für zuverlässig halten und wen nicht. Man spricht deshalb auch bei PGP von einer Selbstzertifizierung.

3.4 Sperrung von Zertifikaten

Die Schlüsselrücknahme ist das schwächste Glied im PGP-System. Es gibt keine Garantie, daß ein kompromittierter Schlüssel nicht von irgend jemandem verwendet wird.

Wird Alices Schlüssel gestohlen, kann sie ein sogenanntes Schlüsselzurücknahmezertifikat (key revocation certificate) losschicken. Da aber die Schlüsselverteilung bei Bedarf und durch Mund-zu-Mund-Propaganda erfolgt, gibt es keinerlei Garantie, daß dieses Zertifikat alle erreicht, die Alices Schlüssel in ihrem Schlüsselring haben. Alice muß außerdem das Schlüsselrücknahmezertifikat mit ihrem privaten Schlüssel unterschreiben. Hat sie diesen jedoch verloren, kann sie ihren Schlüssel nicht zurücknehmen. Es ist aber möglich, sich schon vorher ein Schlüsselrücknahmezertifikat zu erstellen und aufzubewahren, falls es irgendwann benötigt wird.

Neben einer Rücknahme besteht seit Version 5.0 auch die Möglichkeit, bei der

Schlüsselerstellung eine Lebensdauer des Schlüssels zu vereinbaren, so daß der Schlüssel nach einer bestimmten Zeit automatisch ungültig wird.

3.5 Bewertung von PGP

Unter kryptographischen Gesichtspunkten sind die Verfahren und Algorithmen, die in PGP verwendet werden kaum zu beanstanden. Lediglich der Hash-Algorithmus MD5<¹⁴ wird inzwischen als nicht mehr ganz so sicher angesehen¹⁵. Ein wesentlicher Faktor für die Sicherheit von PGP ist die sachgemäße Bedienung, da dem Benutzer viele Freiheiten gelassen werden. Eine leichtfertige Benutzung und unkundiger Gebrauch kann das Ziel des "Web of Trust" - auch für alle anderen Benutzer - zunichte machen.

3.5.1 Stärken von PGP

PGP hat unbestreitbare Stärken, die es für viele Anwendungsbereiche attraktiv machen: Es

• ist seit mehreren Jahren erprobt

• liegt im Quellcode vor, so daß es auf Sicherheitslücken, Implementierungsfehler oder

"Hintertürchen" überprüft werden konnte und kann

• ist plattformunabhängig - Portierungen existieren für DOS, Windows, MacOS und fast alle gängigen UNIX-Varianten

• hat große Verbreitung erlangt

• ist unabhängig von einer bestimmten Zertifizierungs- oder Registrierungsinfrastruktur und damit auch besonders für geschlossene Benutzergruppen geeignet, die auf diese Weise vertraulich und authentisch kommunizieren können

• wenige Aufgaben werden der Zertifizierungsinfrastruktur übertragen

• ist sehr flexibel einsetzbar, auch in hierarchisch strukturierten Zertifizierungsumgebungen.

Beispiel hierfür ist die Zertifizierungsinfrastruktur des Individual Network e. V. [HeRS98].

3.5.2 Schwächen von PGP

Es gibt jedoch auch einige Schwächen in der Konzeption und Fehler in der Implementierung. G.

Howland beschreibt unter [Howl97] einige Kuriositäten mit PGP. Darüber hinaus gibt es aber ernstere Angriffe.

• Das folgende Szenario ist mit der Version 2.6.3ia möglich: Mit einem widerrufenen Schlüssel können vor dem Widerruf andere Schlüssel zertifiziert worden sein. Auch wenn für einen bestimmten Schlüssel bereits ein Widerruf vorliegt, zeigt PGP bei einem Keyring-Check die mit diesem Schlüssel unterschriebenen Zertifikate weiterhin als "gültig" an.

• Ebenso hat PGP eine digitale Unterschrift als "gültig" verifiziert, deren Erstellungsdatum ausweislich eben diesen Programmes in der Zukunft liegt, und die - angeblich - erzeugt wurde (eher: "...erzeugt worden sein wird"), bevor der zum Signieren verwendete Schlüssel überhaupt existierte¹⁶.

• Aufgrund des Selbstzertifierungskonzeptes von PGP gelang es im Sommer 1997 Unbekannten, "exponierte" Schlüssel mit falschem Namen in öffentliche Key-Server einzuschleusen, um andere PGP-Anwender zu verwirren und die betreffenden CAs zu diskreditieren.

Diese Art der Angriffe sind in der aktuellen Version 6.0 größtenteils behoben worden: Es wurden Plausibilitätstests für Gültigkeitszeiträume und Funktionsbeschränkungen für Schlüssel eingeführt.

Doch bleiben einige designbedingte Schwächen: Die Verteilung von Rücknahmezertifikaten und damit die Gültigkeitsprüfung von Zertifikaten ist unzureichend gelöst. Die Verfügbarkeit eines öffentlichen Schlüssels über einen Key-Server sagt nichts über dessen Authentizität aus!

Durch die Selbstzertifizierung wird im allgemeinen keinen Verbindlichkeit erreicht, sondern nur Integrität. Es sei denn, der Benutzer eines öffentlichen Schlüssels überzeugt sich - beispielsweise telefonisch - von der Authentizität des öffentlichen Schlüssels. Zu bemerken ist auch, daß PGP konzeptbedingt nicht Signaturgesetz konform ist und sich auch nur mit größtem Aufwand anpassen ließe. Dennoch ist PGP der de-facto Standard für sichere Kommunikation via EMail.