... nach draußen:

Einführung in die Kryptografie (www.datensicherheit.nrw.de/pki/manuals/general/IntroToCrypto.pdf)
Eilert Brinkmann: Einführung in die Kryptografie und Kryptoanalyse (www.informatik.uni-bremen.de/~eilert/noframes/uni/krypto/referat)
G. Richter: Einführung in Virtuelle Private Netze (VPN) (www.uni-muenster.de/ZIV/inforum/2001-2/a15.html)
Elektronischer Zahlungsverkehr im Internet (ulrich.schneppe.bei.t-online.de/s1916/start.htm)
International PGP Home Page (www.pgpi.org)
Pretty Good Privacy: PGP/GnuPG/OpenPGP (www.rubin.ch/pgp/pgp.de.html)
Deutsche GnuPG & PGP Anleitung (kai.iks-jena.de/pgp/pgp)
Deutscher PGP Key-Server (www.keyserver.de)
Zertifizierungsinstanz der Humboldt-Universität (ca.hu-berlin.de/hu-ca)
Signaturgesetz: Informations- und Kommunikationsdienste-Gesetz (www.netlaw.de/gesetze/sigg.htm)

How to Implement RSA Encryption (www.disappearing-inc.com/ciphers/rsa.html)

Request for Comments (www.ietf.org/rfc.html)

Zur Wahrung der Vertraulichkeit werden eine Reihe von kryptografischen Werkzeuge
angeboten. Das wohl bekannteste ist PGP was für "Pretty Good Privacy" steht, was
soviel heißt wie: Ziemlich gute Privatsphäre. Das Programm wurde von Philip
Zimmermann entwickelt und 1991 als Freeware verfügbar gemacht.

Da PGP in den USA als "Waffe" eingestuft war und es kurz darauf nach Europa
gelangte, wurde gegen Zimmermann wegen Verstoß gegen das amerikanische
Exportkontrollgesetz ermittelt. 1997 wurde Zimmermanns Firma - und somit auch
PGP - von Network Associates (NAI) übernommen. PGP wurde bis zur Version 7.0.3
zusammen mit Zimmermann weiterentwickelt, ist seither aber nur noch für die
private Nutzung kostenlos.

PGP wurde im Laufe der Zeit immer mehr zu einem umfassenden Werkzeug zur
Sicherung vom Kommunikation und Privatsphäre ausgebaut. Die Hauptaufgaben von
PGP sind:

• Die Verschlüsselung von Nachrichten, so dass sie nur vom Empfänger gelesen
  werden kann, und natürlich die Entschlüsselung dieser Nachrichten. 
• Das Unterschreiben von Mitteilungen, so dass der Empfänger davon ausgehen
  kann, dass die Nachricht nicht verändert wurde und auch wirklich vom Absender
  stammt. 
• Die Verschlüsselung gespeicherter Dateien, so dass nur der berechtigte
  Anwender darauf zugreifen kann.  

Zusätzlich zu dieser Funktionalität können mit Hilfe dieses Programmsystems
private, virtuelle Netze aufgebaut werden, ganze Festplattenbereiche können
durch Verschlüsselung gesichert werden. Außerdem lassen sich Dateien oder
Nachrichten mit einem digitalen Fingerabdruck versehen oder restlos vernichten.

Für Pretty Good Privacy wurde keine Verfahren explizit entwickelt, vielmehr
wurden vorhandene Verfahren geschickt miteinander verknüpft. Um Geschwindigkeit
und Sicherheit zu optimieren ist ein
hybrides System
entstanden, welches den Austausch von Sitzungsschlüsseln asymmetrisch
realisiert, die Nachrichten aber symmetrisch verschlüsselt. PGP arbeitet mit den
folgenden Verfahren:

• Kompressionsverfahren
  Nach der Verschlüsselung sind Kompressionsverfahren unwirksam. Um
  sicherzustellen, dass die Nachrichten möglichst kompakt sind, wird vor der
  Verschlüsselung "gezipt".
• Message-Digest-Verfahren
  Hier werden
  Secure Hash Algorithm (SHA) und der
  
  Message-Digest-Algorithm Version 5 (MD5) eingesetzt.
• Symmetrische Verschlüsselungsverfahren
  CAST (Carlisle,
  Adams und Stafford Tavares),
  IDEA
  (International Data Encryption Algorithm), Triple-DES (Data
  Encryption Standard). CAST ist seit Version 5.0 das Standardverfahren da
  es weltweit frei verwendet werden darf und als sehr sicher gilt.
• Asymmetrische Verschlüsselungsverfahren
  RSA (Rivest,
  Shamir, Adleman), DH/DSS (Diffie-Hellman/Digital-Signature-Standard).

Nachdem man sich PGP beschafft und installiert hat, muss zunächst ein
Schlüsselpaar, bestehend aus öffentlichem (public-key) und privatem (secret-key)
Schlüssel erzeugt werden. Der Public-Key wird am besten gleich veröffentlicht,
damit überhaupt die Möglichkeit besteht, dass man verschlüsselte Nachrichten
erhält. Ob die Veröffentlichung über einen Schlüsselserver erfolgt oder durch
den Export des öffentlichen Schlüssels und Versendung an mögliche Partner via
Email ist dabei unerheblich. Erst wenn man im Besitz des öffentlichen Schlüssels
des Kommunikationspartners ist, kann die gesicherte Kommunikation beginnen.

Hier noch mal die wichtigsten Schritte:

• Jeder Anwender erzeugt ein Schlüsselpaar, das zur Ver- und Entschlüsselung
  von Nachrichten dient.

   

• Veröffentlichen des Public-Key. Der dazugehörige private Schlüssel muss
  sicher aufbewahrt werden.

   

• Will man nun eine private Nachricht verschicken, so beschafft man sich
  zunächst den öffentlichen Schlüssel des Empfängers, verschlüsselt die
  Nachricht mit diesem und sendet sie ab. Gegebenenfalls wird die Nachricht
  zuvor mit dem eigenen, privaten Schlüssel signiert.

   

• Erhält man eine verschlüsselte Nachricht, entschlüsselt man sie mit dem
  eigenen, privaten Schlüssel. Kein anderer Empfänger kann diese Nachricht
  entschlüsseln. Gegebenenfalls prüft man die Signatur anhand des öffentlichen
  Schlüssels des Versenders, denn nur er kann mit dem privaten Schlüssel
  unterzeichnet haben.

Die Sicherheit von PGP ist abhängig von den verwendeten Verfahren. Einige
davon sind mittlerweile in die Jahre gekommen. Konsequenterweise wurden denn
auch andere Verfahren aufgenommen und bevorzugt verwendet, so wird
DES nur noch
aus Gründen der Verträglichkeit mit älteren Versionen verwendet. Auch die Länge
des Schlüssels für das
RSA-Verfahren
wird standardmäßig erheblich größer vorgegeben (2048 Bit), als dies immer noch
für RSA empfohlen wird (512 Bit).

Bisher wurde stets versucht unsicher gewordenen Verfahren durch bessere zu
ersetzen. Es bleibt zu hoffen, dass dies auch unter der Regie von NAI weiter
geschieht. Allerdings mehren sich die Anzeichen, dass die weitere Entwicklung
des Werkzeuges verstärkt vom kommerziellen Erfolg und Durchsetzbarkeit als von
der Sicherheit und dem Schutzbedürfnis der Anwender.

Quellen:

http://home.nordwest.net/hgm/krypto/deploy.htm

http://www.rz.uni-augsburg.de/connect/1998-02/sicherheit/