Non-Technical PGP (Pretty Good Privacy) FAQ
by
Andre Bacard, Author of
Computer Privacy Handbook ("The Scariest Computer Book of the Year")
[FAQ Updated November 5, 1996]
Translated by Lutz
Donnerhacke to spread this knowledge. This translation is GPLed.
Last changes: 17.12.1997
Die geplante Kryptoregulierung der
Bundesregierung kann die Benutzung dieser Software für ILLEGAL erklären!
Dieser Text stellt eine nichttechnische Einführung zu PGP dar, die Dir bei
der Entscheidung helfen soll, diese weltweit beliebte Computersoftware zum
Schutz Deiner Dateien und eMail einzusetzen oder nicht. Ich habe ihn
speziell für humorvolle Personen geschrieben. Diese (unveränderte) FAQ kann
für den nichtkommerziellen Gebrauch frei verbreitet werden.
Was ist PGP?
PGP (ausgeschrieben "Pretty Good Privacy" (ziemlich gute
Privatsphäre)) ist ein Computerprogramm, das Daten verschlüsselt (unlesbar
macht) und entschlüsselt (lesbar macht). Beispielsweise kann PGP
"Andre" verschlüsseln, was "457mRT%$354." ergibt. Dein
Rechner entschlüsselt den Datenmüll zurück zu "Andre", wenn Du PGP
hast.
Wer hat PGP geschrieben?
Philip Zimmermann schrieb das erste Programm. Phil -ein Held für viele
Unterstützer des Datenschutzes- arbeitet als Sicherheitsexperte in Boulder,
Colorado. Andere Programmierer aus der ganzen Welt haben an den nachfolgenden
PGP Versionen und Benutzungsoberflächen mitgeholfen.
PGP benutzt das RSA Public-Key Verschlüsselungssystem. RSA wurde 1977
von seinen Erfindern vorgestellt: Ronald Rivest vom MIT, Adi Shamir vom
Weizmann Institute in Israel und Leonard Adelman vom USC. Nach den
Anfangsbuchstaben der Nachnamen dieser Leute wird es "RSA"
genannt. PGP verwendet außerdem ein Verschlüsselungssystem namens IDEA
welches 1990 von Xuejia Lai und James Massey entwickelt wurde.
Wer benutzt PGP Verschlüsselung (oder andere RSA-basierte Systeme)?
Leute, die Wert auf ihre Privatsphäre legen; Politiker, die Wahlkampagnen
durchstehen; Steuerzahler, die ihre Steuererklärung abspeichern; Ärtze, die
Patientendaten schützen; Unternehmer, die Firmengeheimnisse wahren müssen;
Journalisten, die ihre Informanten schützen, und Menschen, die Kontakte
suchen, sind nur einige wenige der gesetzestreuen Bürger, die PGP benutzen,
um ihre Dateien und eMail geheim zu halten.
Geschäftleute benutzen ebenfalls PGP. Stell Dir vor, Du bist ein
Geschäftsführer und mußt per eMail einen Angestellten nach seinem
Vorankommen befragen. Du könntest gesetzlich verpflichtet sein, diese eMails
geheimzuhalten. Stell Dir vor, Du bist eine Verkäuferin und Du mußt mit
Deiner Zentrale über ein öffentliches Computernetzwerk hinweg, Deine
Kundenliste pflegen. Deine Firma und der Gesetzgeber kann fordern, daß diese
Liste geheim bleibt. Dies sind nur einige wenige Gründe weswegen im
Geschäftsleben Verschlüsselung zum Schutz der Kunden, der Angestellten und
der Firmen selbst eingesetzt wird.
PGP hilft auch bei sichere Finanzübertragungen. Bspw. die Electronic
Frontier Foundations (EFF) benutzt PGP zur Verschlüsselung von
Mitgliedernummern, so daß die Mitglieder per eMail ihre Beiträge bezahlen
können.
Thomas G. Donlan, ein Redakteur bei Barron's (einer
Finanzpublikation, die zum The Wall Street Journal gehört),
schrieb ein ganzseitiges Editorial am 25.April 1994. Barron's
übertitelte es mit "Privacy and Security: Computer
Technology Opens Secrets, And Closes Them." (Datenschutz und
Datensicherheit: Computertechnik öffnet Geheimnisse und verschließt sie)
Mr. Donlan schrieb (auszugsweise):
"RSA Data Security, the company founded by the three
inventors, has hundreds of satisfied customers, including
Microsoft, Apple, Novell, Sun, AT&T and Lotus. Versions of RSA
are available for almost any personal computer or workstation, many
of them built into the operating systems. Lotus Notes, the network
communications system, automatically encrypts all it messages using
RSA. Other companies have similar products designed around the same
basic concept, and some versions are available for free on computer
bulletin boards."
RSA Data Security, gegründet von den drei Erfindern, hat Hunderte von
zufriedenen Kunden, zu denen auch Microsoft, Apple, Novell, Sun, AT&T
und Lotus gehören. Implementationen von RSA stehen in fast jedem
Personalcomputer oder Workstation zur Verfügung, oft ins Betriebssystem
eingebaut. Lotus Notes, das Netzkommunikationssystem, verschlüsselt
automatisch alle Nachrichten mit RSA. Andere Firmen haben vergleichbare
Produkte, entwickelt nach dem gleichen Prinzip, und einige Versionen sind
in Mailboxen frei verfügbar.
Donlan fährt fort:
"Without security, the Internet is little more than the world's
biggest bulletin board. With security, it could become the information
supermarket of the world. RSA lets people and banks feels secure putting
their credit-card numbers on the public network. Although it still seems
that computers created an age of snoopery, the age of privacy is at
hand."
Ohne Sicherheit ist das Internet nicht viel mehr als die weltgrößte
Mailbox. Mit Sicherheit kann es der Informationssupermarkt der Zukunft
werden. RSA gestattet es Menschen und Banken, sich bei der Angabe der
Kreditkartennummer im öffentlichen Netz sicher zu fühlen. Obwohl es
noch den Anschein hat, daß Computer ein Zeitalter der Schnüffelei begannen,
liegt das Zeitalter der Privatsphären vor uns.
Sind nicht Computer und eMail schon sicher?
Deine Computerdateien (ohne Verschlüsselung) können von jedem gelesen
werden, der Zugriff auf Deinen Rechner hat. EMail ist notorisch unsicher.
Die typische eMail wandert über viele Systeme. Die Personen, die diese
Systeme betreiben, können Deine Nachrichten lesen, kopieren und speichern.
Viele Mitbewerber und Voyeure sind hochmotiviert eMail abzufangen. Eine
geschäftliche, offizielle oder persönliche Nachricht mit dem Computer zu
versenden, ist weniger geschützt als das gleiche auf einer Postkarte zu
verschicken. PGP ist ein sicherer "Briefumschlag", der Mitbewerber
und Kriminelle abhält, Dir zu schaden.
Ich habe nichts zu verbergen. Wozu brauche ich Datenschutz?
Zeig mir einen Menschen, der keine Geheimnisse vor seiner Familie, seinen
Nachbarn oder seinen Kollegen hat und ich zeige Dir jemanden, der entwerder
ein ungewöhnlicher Exhibitionist oder ein unglaublicher Dummkopf ist.
Zeige mir eine Firma, die keine Firmengeheimnisse hat und ich zeige Dir ein
Geschäft, das nicht läuft.
In einem Brief schrieb mir ein Student folgendes:
"I had a part-time job at a dry cleaner. One day I returned a
diamond ring that I'd found in a man's coat pocket to his wife.
Unfortunately, it was NOT her ring! It belonged to her husband's
girlfriend. His wife was furious and divorced her husband over this
incident. My boss told me: 'Return jewelry ONLY to the person whose
clothes you found it in, and NEVER return underwear that you find
in pockets!' Until that moment, I thought my boss was a finicky
woman. But she taught me the need for PGP."
Ich hatte einem einen Teilzeitjob als Reinigungskraft. Eines Tages brachte
ich einen Diamantring, den ich in einer Manteltasche eines Mannes gefunden
hatte, seiner Frau zurück. Unglücklicherweise war es NICHT ihr Ring! Er
gehörte der Freundin ihres Mannes. Seine Frau wurde fuchsteufelswild und
ließ sich wegen dieses Vorkommnisses scheiden. Mein Chef sagte mir: 'Gib
Juwelen NUR der Person zurück, in deren Sachen Du es fandest. Und gib
NIEMALS Unterwäsche zurück, die Du in einer Tasche fandest.' Bis zu diesem
Moment dachte ich, mein Chef wäre eine engstirnige Frau. Aber sie lehrte
mich die Notwendigkeit von PGP.
Geheimhaltung, Diskretion, Vertraulichkeit und Besonnenheit sind die
Markenzeichen dieser Zivilisation.
Ich habe gehört, die Polizei sage, daß Verschlüsselung verboten werden
soll, weil Kriminelle sie zur Tarnung benutzen. Ist das wahr?
Das nächste Mal, wenn Du jemanden das erzählen hörst, frag ihn, ob er Thomas
Jefferson verbieten möchte, den "Vater der amerikanischen
Kryptographie", der die amerikanische Unabhängigkeitserklärung
schrieb.
Viele Regierungen, Firmen und Gesetzeshüter benutzen Verschlüsselung um
ihre Operationen zu verstecken. Ja, einige Kirminelle benutzen auch
Verschlüsselung. Kriminelle benutzen aber häufiger Autos, Handschuhe und
Masken, um zu entkommen.
PGP ist "Verschlüsselung für die Massen". Es gestattet dem
gesetzestreuen Durchschnittbürger einige der Schutzmaßnahmen, die die
Regierungen und Firmen für sich beanspruchen.
Wie arbeitet PGP?
PGP ist ein "öffentliches Schlüsselsystem" (public key
cryptography). Wenn Du PGP das erste Mal startest, generiert es zwei
"Schlüssel", die nur zu Dir gehören. Stell Dir diese Schlüssel wie
ein Gegenstück zu den Schlüssel Deiner Tasche vor. Ein PGP-Schlüssel ist der
GEHEIME Schlüssel und bleibt auf Deinem Rechner. Der andere Schlüssel ist
ÖFFENTLICH. Du gibst diesen öffentlichen Schlüssel Deinen Gesprächspartnern.
Hier ist ein Beispiel eines ÖFFENTLICHEN Schlüssels:
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: 2.7
mQA9Ai2wD2YAAAEBgJ18cV7rMAFv7P3eBd/cZayI8EEO6XGYkhEO9SLJOw+DFyHg
Px5o+IiR2A6Fh+HguQAFEbQZZGVtbyA8ZGVtb0B3ZWxsLnNmLmNhLnVzPokARQIF
EC2wD4yR2A6Fh+HguQEB3xcBfRTi3D/2qdU3TosScYMAHfgfUwCelbb6wikSxoF5
ees9DL9QMzPZXCioh42dEUXP0g==
=sw5W
-----END PGP PUBLIC KEY BLOCK-----
Stell Dir vor, der ÖFFENTLICHE Schlüssel gehört zu Dir und Du mailst ihn
mir. Ich kann Deinen ÖFFENTLICHEN Schlüssel in meiner PGP Software speichern
und benutze Deinen ÖFFENTLICHEN Schlüssel, eine Nachricht zu verschlüsseln,
die nur Du lesen kannst. Einer der Vorteile von PGP ist, daß Du mir diesen
Schlüssel geben kannst, wie Deine Telefonnummer. Wenn ich Deine
Telefonnummer habe, kann ich Dich anrufen; aber ich kann Dein Telefon nicht
abheben. Ähnlich ist es mit dem ÖFFENTLICHEN Schlüssel: Ich kann Dir eine
Nachricht verschlüsseln; Ich kann sie aber nicht lesen.
Dieses Konzept des ÖFFENTLICHEN Schlüssels kann anfangs etwas seltsam
klingen. Trotzdem wird es völlig klar, sobald Du etwas mit PGP rumspielst.
Wie sicher ist PGP? Schützt es mich wirklich?
Vielleicht kann die Regierung oder Deine Schwiegermutter PGP Nachrichten
"knacken", indem sie Supercomputer oder Genialität einsetzt. Davon
habe ich keine Ahnung. Drei Dinge sind jedoch sicher:
- Hervorragende Kryptoanalytiker und Computerexperten haben
vergeblich versucht, PGP zu knacken.
- Wer auch immer nachweist, daß er PGP enträtselt hat, wird schnell
zu Ruhm unter den Kryptographen kommen. Er wird viel Beifall ernten
und eine Menge Geld angeboten bekommen.
- Die PGP Programmierer werden es sofort bekanntgeben.
Fast täglich verbreitet jemand eine Nachricht, wie "PGP durch
Jugendlichen aus Omaha geknackt". Bezweifle diese Aussagen. Die Welt
der Kryptographie zieht Paranoiker, Provokateure und Aliens in ihren Bann.
Bis heute hat niemand öffentlich vorgeführt, PGP überlistet oder geknackt
zu haben.
Ist PGP legal in den USA?
Ja.
+++ Wichtige Bemerkung +++. Es ist verboten, PGP aus den USA zu
exportieren. Tue dies niemals! Um mit Freunden außerhalb der USA (bspw. in
England) zu kommunizieren, bitte sie, sich PGP von Quellen außerhalb der USA
zu besorgen.
Ist PGP legal außerhalb der USA?
Die Verwendung von PGP wird in den meisten Staaten erlaubt.
Zusätzlich ändern sich die Gesetze ständig auf der ganzen Welt. Prüfe die
lokalen Gesetze in Deinem Heimatland. [In Europa ist PGP frei einsetzbar,
abgesehen von Frankreich und Russland -LD]
Was ist eine digitale Unterschrift?
Stell Dir vor, ich unterschreibe diese FAQ mit meiner digitalen
PGP-"Unterschrift". Das gestattet es Personen, die PGP und meinen
ÖFFENTLICHEN Schlüssel haben zu überprüfen, daß
- ich -Andre Bacard- (und nicht der Star aus der Sportzeitung, der
behauptet ich zu sein!) dieses Dokument geschrieben habe.
- niemand das Dokument verändert hat, seit ich es unterschrieben habe.
PGP Unterschriften sind hilfreich bei Vertragsunterzeichnungen,
Geldanweisungen und bei der Personenidentifizierung.
Wie schwierig ist es, PGP zu erlernen?
PGP ist deutlich leichter zu bedienen, als bspw. eine Textverarbeitung.
Ist PGP für meinen Computer verfügbar?
Es gibt Versionen für DOS und Windows, ebenso für verschiedenen Unixe,
Macintosh, Amiga, Atari ST, OS/2 und CompuServes WinCIM und CSNav. Viele
Leute arbeiten daran, diese Verfügbarkeit zu erweitern. Lies die Usenet
Newsgruppe alt.security.pgp, um den neuesten Stand zu erfahren.
Sind diese Versionen von PGP untereinander kompatibel?
Ja. Bspw. ist ein mit PGP unter DOS verschlüsseltes Dokument von jemanden
lesbar, der PGP unter Unix einsetzt.
Ab 1.September 1994 kann die Version 2.6 und höher frühere Versionen
lesen, jedoch können Versionen vor der 2.6 nicht länger die neuen Versionen
lesen. Ich lege jedem ans Herz, auf die Versionen 2.6.2 oder 2.6.3 upzudaten.
Seit Mitte 1997 gibt es die Versionen 5.x. Diese sind zu den 2.6.x
Versionen i.d.R. inkompatibel. Bis zur Klärung der Kontroversen um die in
diesen Versionen eingebauten Mitlesemöglichkeiten durch Dritte (i.d.R.
Firmen) empfehle ich, bei 2.6.3 zu bleiben.
Woher bekomme ich PGP?
Wenn Du in Amerika bist, gehe zum MIT
oder zur PGP, Inc..
Wenn Du außerhalb der USA bist, sehe auf der Internationalen PGP-Seite nach.
PGP gibt es auch auf vielen Mailboxen (BBS) und von FTP("File
Transfer Protocol")-Server auf aller Welt. Diese Server -wie
Videotheken- kommen und gehen.
Michael Johnson pflegt eine hervorragende FAQ, die die aktuellen Server
auflistet, auf denen PGP zu bekommen ist. Er postet diese FAQ regelmäßig
nach alt.security.pgp.
Wie teuer ist PGP?
Die PGP Versionen, die Du in Mailboxen oder auf FTP-Servern findest sind
"Freeware". Das bedeutet, sie sind frei. Personen von Neuseeland
bis Mexiko benutzen diese Versionen täglich. Je nachdem wo Du wohnst,
verletzt diese "Freeware" lokale Gesetze oder nicht.
Noch etwas, was ich wissen sollte?
DEINE Privatsphäre und Sicherheit können gefährdert sein! Umfangreiche
Banken-, Kreditkarten- und medizinische Datenbanken, eMail Überwachung und
Computerschnüffelprogramme sind nur einige wenige Faktoren, die jeden
gesetzestreuen Bürger treffen. Kurz gesagt, unsere in Privatsachen
schnüffelnde Gesellschaft dient den Kriminellen und serviert Deine Daten
auf einem Silbertablett.
Zurück zu Bacard's Home Page
This page maintained by abacard@well.com
Übersetzungsfehler bitte an lutz@iks-jena.de
|
zurück