Benutzer:LeonTrav/Grundlagen

Dieser Artikel ist im Entstehen und noch nicht Bestandteil der freien Enzyklopädie Wikipedia.

Solltest du über eine Suchmaschine darauf gestoßen sein, bedenke, dass der Text noch unvollständig sein und Fehler oder ungeprüfte Aussagen enthalten kann. Wenn du Fragen zum Thema hast, nimm Kontakt mit dem Autor LeonTrav auf.

 ␣ 

   pub   1024D/9C800ACA 2000-10-19 [verfällt: 2014-05-03]
   uid                  SuSE Package Signing Key <build@suse.de>
   sub   2048g/8495160C 2000-10-19 [verfällt: 2014-05-03]

   gpg (GnuPG) 2.0.22
   libgcrypt 1.5.3
   Copyright (C) 2013 Free Software Foundation, Inc.
   License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>
   This is free software: you are free to change and redistribute it.
   There is NO WARRANTY, to the extent permitted by law.
   Home: ~/.gnupg
   Unterstützte Verfahren:
   Öff. Schlüssel: RSA, ELG, DSA, ?, ?
   Verschlü.: IDEA, 3DES, CAST5, BLOWFISH, AES, AES192, AES256, TWOFISH,
              CAMELLIA128, CAMELLIA192, CAMELLIA256
   Hash: MD5, SHA1, RIPEMD160, SHA256, SHA384, SHA512, SHA224
   Komprimierung: nicht komprimiert, ZIP, ZLIB, BZIP2

Normaler Text gnu --version normaler Text Normaler Text gnu --version normaler Text

gnu <span style="color:green"> --version

Als Phil Zimmermann 1991 die erste Version von PGP schrieb, war E-Mail ein Medium der Kommunikationselite. E-Mail-Adressen gab es im wesentlichen für Mitarbeiter von Computerfirmen, Universitäten und Forschungseinrichtungen. Private Benutzer holten sich ihre elektronische Post per Modem von einem BBS-System ab. Es gab weder unverlangte Werbe-Mails ("Spam"), noch Phishing-Mails noch Viren oder Trojaner-Mails. Das World-Wide-Web wurde gerade erst erfunden und niemand ahnte, welche Datenmengen Google oder Bing einmal aufsaugen und durchsuchbar machen würden.

Wer elektronische Dienste nutzt, hinterlässt fast immer öffentlich zugängliche Datenspuren. Dank der Suchmaschinen kann praktisch jedermann diese Datenspuren zu einem Profil der jeweiligen Anwenders zusammensetzen. Auf diese Weise kann z.B. Google Mail personalisierte Werbung einblenden.

Das Internet vergisst nichts! Dies hat auch Folgen für die Wahl der GPG-Schlüssel. Die Daten eines Schlüssel können - sobald dieser den eigenen PC verlassen hat - nicht wieder gelöscht werden. Lediglich das Hinzufügen weiterer Informationen zu einem Schlüssel ist möglich. Man sollte sehr genau überlegen, welche Daten in den Schlüssel aufgenommen werden sollen. Insbesondere die Möglichkeit, mehrere Benutzerkennungen zu einem Schlüssel anzulegen, sollte sehr zurückhaltend benutzt werden.

Hermine Müller verwendet seit Jahren die Adresse hermue@provider.de. Sie kommuniziert regelmässig mit Ihrem Bekannten- und Freundeskreis. Sie möchte in Zukunft vertraulich kommunizieren und legt sich einen PGP-Schlüssel an. Ihr PGP-Programm schlägt vor, Name, Vorname und einen Kommentar einzugeben. Sie will das besonders gut machen und trägt noch Ihre Adresse als Kommentar ein. Ihr Schlüssel lautet Hermine Müller (Hauptstrasse 2, 99999 A-Stadt) <hermue@provider.de>.

Was ist die Folge? Ihre bekannten wissen schon längst, dass Hermine hermue@provider.de ist und wo sie wohnt. Ihnen nutzt die Zusatzinformation gar nichts. Aber alle Versender von Schad-Emails oder von Werbung haben nun neue, zuverlässige Daten, mit denen Sie Hermine gezielter mit Werbung, Viren oder Trojanern versorgen können. Kriminelle könnten die Daten sogar nutzen, um Hermine per E-Mail zu einer kostenlosen Veranstaltung einzuladen und dann in Ihrer Abwesenheit in die Wohnung einzubrechen - die Adresse haben sie ja.

Der Nutzer Jaap Modal besitzt die e-mail Adresse jaapm@provider.com; für die er auch einen PGP-Schlüssel besitzt. Er engagiert sich in einem Verein, der osteuropäische Waisenhäuser unterstützt. Darum legt er sich eine Vereinsadresse jaap@waisenhaus-verein.org zu und fügt sie als neue Benutzerkennung seinem PGP-Schlüssel an. Nach einiger Zeit zioeht Jaap aus beruflichen Gründen in eine andere Stadt um, er scheidet aus dem Verein aus und der Verein deaktiviert die Vereins-E-Mail-Adresse. Später muss Jaap mit Schreck aus der Zeitung erfahren, dass gegen seinen ehemaligen Verein ermittelt wird. Anscheinend ist die neue Vereinsvorsitzende Chefin eines Menschenhändlerrings und hat minderjährige Mädchen aus den Waisenhäusern in Bordelle vermittelt.

Jaap ist zu Recht entsetzt: zu seiner Zeit hat der Verein 100% sauber gearbeitet; nun taucht der Vereinsname im Internet nur noch im Zusammenhang mit Prostitution auf. Noch schlimmer ist, dass jedermann nachvollziehen kann, dass Jaap einmal mit dem Verein verbunden war, denn es existiert ein PGP-Schlüssel mit Jaaps Namen und der Vereins E-Mail-Adresse. Es gibt keine Möglichkeit, diese Information aus dem Internet zu entfernen; insbesondere kann jeder potentielle Arbeitgeber die Verbindung zwischen Jaap und dem Verein feststellen - er muss dazu nur Google bedienen können. Falls Jaap überhaupt noch zu Vorstellungsgesprächen eingeladen wird, hat er wohl einiges zu erklären. Auch ein Engagement in der Politik - und sei es nur Lokalpolitik - ist für Jaap nun eher unwahrscheinlich geworden.

Wer den Karrierekiller aus obigem Beispiel vermeiden will, legt sich zu jeder E-Mail einen eigenen PGP-Schlüssel an. Auch hier sollte man aufpassen, keine ähnlich aussehenden Schlüssel zu erzeugen und diese vor allem nicht nicht gleichzeitig zu erstellen.

Private Anwender haben keinen Grund, mehr Informationen in den Schlüssel zu packen als schon durch die E-Mail-Adresse bekannt ist. Benutzt man eine E-Mail Adresse der Form vorname.nachname@mail.de, so kann man einen Schlüssel der Form Vorname Nachname <vorname.nachname@mail.de>, hat man dagegen eine Adresse in teil-anonymer Form, z.B. jupp12@mail.de, kann der Schlüssel ruhig die Form Jupp <jupp12@mail.de> haben.

Ausnahme: Soll der Schlüssel durch eine Zerfizierungsstelle beglaubigt werden, so muss er den Namen in der amtlichen Schreibweise enthalten. Software-Projekte wie debian haben eigene Richtlinien für die PGP-Schlüssel ihrer Mitarbeiter.

Beruflich genutzte Schlüssel sollten den Namen und/oder Firmen- und Abteilungsname enthalten.

Für private GPG-Anwender gibt es keinen Grund, mehrere Benutzerkennungen mit einem einzigen Schlüssel zu verbinden. Daher sollte für jede E-Mail Adresse ein eigener Schlüssel erzeugt werden. Für alle diese Schlüssel kann ohne Weiteres dieselbe Passphrase verwendet werden.

Auch hier gilt: private Anwender haben keinen Nutzen von der Verwendung des Kommentar-Feldes im Schlüssel. Geschäftliche Anwender können das Feld benutzen, um den Schlüsselinhaber eindeutig zu identifizieren.

Beispiel: In der Redaktion einer grossen Zeitung arbeiten zwei Redakteure mit ähnlich Namen: Stefan Schmidt und Stefan Schmitt; einer arbeitet in der Wirtschaftsredaktion und hat die email sschmidt@redaktion, der andere in der Sportredaktion und hat die e-mail sschmitt@redaktion Mit Schlüsseln der Form

"Stefan Schmitt (Sportredaktion) sschmitt@redaktion"
"Stefan Schmidt (Wirtschaftsredaktion) sschmidt@redaktion"

ist die Zuordnung eindeutig.