ULD-SH
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Unabhängiges Landeszentrum für Datenschutz chleswig-Holstein
www.datenschutzzentrum.de/

Gibt's sonst noch etwas,
auf das ich achten muss?

> Können Trojanische Pferde die Sicherheit von PGP beeinträchtigen?

Ja. Der aktuell kursierende eMail-Wurm SirCam zum Beispiel verschickt wahllos Daten von befallenen Festplatten. Das kann unter Umständen Ihr Privater PGP-Schlüssel sein, der dann plötzlich gar nicht mehr so geheim ist. Unvorsichtigerweise abgespeicherte Paßwörter wären ebenfalls denkbar.
Bereits 1999 tauchten in Word-Dokumenten enthaltene Makro-Trojaner auf, die gezielt nach PGP-Schlüsseln spähen und diese dann per Internet verschicken. Aufgrund der Makro-Funktionalität sind insbesondere Dokumente des Microsoft Office-Pakets ein beliebtes Medium zur Verbreitung von Trojanischen Pferden und Viren.

Doch auch mit anderen Trojanischen Pferden (Programme, die neben ihrer eigentlichen Funktion auch eine nicht offensichtliche Schädigungsfunktion enthalten) oder den bekannten Angriffsprogrammen "Back Orifice" oder "Netbus" läßt sich die Datei, in der der geheime Schlüssel abgelegt ist, leicht ausspähen. Diese ist zwar ebenfalls verschlüsselt und durch eine Passphrase (in einigen PGP-Versionen auf deutsch auch "Mantra" genannt) geschützt; wenn diese jedoch nicht ausreichend komplex gewählt wird, ist dieser Schutz relativ leicht durch automatisiertes Ausprobieren zu knacken.
Sie sollten daher einige grundlegende Prinzipien bei der Wahl Ihrer Passphrase beachten.
Eine weitere sinnvolle Idee ist es, die Datei mit den geheimen Schlüsseln (secring.pgp) nicht auf der Festplatte, sondern z.B. auf einer Diskette, die bei Nichtgebrauch weggeschlossen wird, zu speichern.

> Internet Explorer gefährdet Sicherheit von PGP!

Der Internet Explorer bietet Webseiten die Möglichkeit, den Inhalt der Zwischenablage auszulesen. Die standardmäßig aktivierte Option stellt insbesondere im Zusammenhang mit PGP eine massive Gefahr dar. Wird mit Hilfe von PGP über die Zwischenablage ver- und entschlüsselt, kann ein Webserver unter Umständen diesen Inhalt auslesen - im schlimmsten Fall im Klartext. Abhilfe schafft hier entweder das Deaktivieren dieser Funktionalität oder - besser noch - der Umstieg auf einen anderen Browser.

Die Sicherheitslücke betrifft die Versionen 5 und 6 des Internet Explorers. Zum Deaktivieren rufen Sie nebenstehenden Dialog auf. Sie finden die Einstellungen unter Extras / Internetoptionen / Sicherheit / Stufe anpassen.
Die Funktion "Einfügeoperationen über ein Skript zulassen" steuert den Zugriff der Webseiten auf die Zwischenablage.

Eine Demonstration der Sicherheitslücke finden Sie beim Heise Verlag im Browsercheck.

Alternativen zum Microsoft Browser sind Mozilla, Opera oder Netscape.

> Wo kann ich meinen PGP-Schlüssel signieren lassen?

Sie können Ihren öffentlichen Schlüssel grundsätzlich von jeder Person signieren lassen, die ebenfalls über ein PGP-Schlüsselpaar verfügt. Darüber hinaus gibt es verschiedene Anbieter, die nach Feststellung der Identität des Schlüssel-Inhabers dessen Schlüssel zertifizieren. Bitte beachten Sie, dass ein solches Zertifikat keine Vertrauensgarantie darstellt. Wem Sie vertrauen und wem nicht, sollten Sie nicht allein davon abhängig machen, ob ein PGP-Schlüssel von einer bestimmten Stelle signiert / zertifiziert ist oder nicht.
Zertifizierende Stellen sind z.B.:

Die Zertifizierung ist für Privatpersonen zum Teil kostenfrei.

> Wo kann ich den öffentlichen Schlüssel eines Kommunikationspartners bekommen?

Zunächst einmal vom Kommunikationspartner selbst; der sicherste Weg ist dabei immer noch der direkte persönliche Kontakt.
Lassen Sie sich den Schlüssel per eMail schicken, sollten Sie anhand des Fingerprints sicherstellen, dass es sich um den echten Schlüssel handelt.
Weiterhin gibt es die sogenannten Key-Server. Das sind Internet-Datenbanken, die eine große Zahl öffentlicher Schlüssel zum Abruf gespeichert haben. Diese sind meist auch untereinander vernetzt. Einen deutschen Vertreter der Gattung Key-Server finden Sie z.B. an der Universität Paderborn.

Achten Sie darauf, nach Erhalt eines öffentlichen Schlüssels seinen "digitalen Fingerabdruck" zu überprüfen. Damit gehen Sie sicher, den richtgen Schlüssel erhalten zu haben. Den Fingeprint eines Schlüssels können Sie sich anzeigen lassen, indem Sie mit der rechten Maustaste auf den Schlüssel klicken und Eigenschaften (bzw. Properties) auswählen. Nun können Sie zum Beispiel am Telefon mit dem Besitzer des Schlüssels den Fingerprint abgleichen. Ist er identisch, ist sichergestellt, dass Ihr Schlüsselexemplar echt ist. Fingerprints werden häufig auch auf Internetseiten oder Visitenkarten veröffentlichet.