GnuPG - NSA-sichere Verschlüsselung

Erstveröffentlicht: 
03.08.2015

Es schien schon fast so, als ob die Geheimdienste jede Verschlüsselung im Internet knacken können. Doch dann zeigte sich, dass ein deutscher Programmierer das NSA-sichere Tool geschrieben hat.

 

Der amerikanische Geheimdienst NSA hat geschätzt ein Budget von rund 11 Milliarden Dollar pro Jahr. Das ist genug Geld, um hoch spezialisierte Code-Knacker zu bezahlen, die alles entschlüsseln können, was die NSA interessiert. Doch wie es nun aussieht, gibt es ein Tool, das die NSA nicht knacken kann. Es ist die Mailverschlüsselung GnuPG, eine Software „Made in Germany“. Das Tool hat der Deutsche Werner Koch vor rund 18 Jahren fast im Alleingang programmiert.

 

Mit GnuPG gegen NSA und Code-Knacker

 

Seit rund zwei Jahren werten Journalisten, Aktivisten und Hacker die Geheimdienstdaten aus, die der Whistleblower Edward Snowden 2013 der Presse übergeben hat. Die Daten zeigten nicht nur eine massenhafte Überwachung des unverschlüsselten Internetverkehrs, sondern auch viele Angriffe auf die verschlüsselte Kommunikation im Internet. Davon berichteten auch zwei Experten auf dem 31. Chaos Communication Congress (CCC) im Dezember 2014 in Hamburg. Sie erzählten dabei aber auch von einer Verschlüsselungs-Software, die der amerikanische Geheimdienst NSA wohl nicht knacken konnte. Es ist das Programm GnuPG, das maßgeblich von dem deutschen Programmierer Werner Koch entwickelt wurde. Und das bereits seit 1997. Koch, der selbst zum Publikum gehörte, erntete tosenden Applaus für seinen Einsatz für eine sichere Verschlüsselung. Denn über Jahre hinweg hat sich der Programmierer bei vergleichsweise niedrigem Verdienst hauptamtlich um GnuPG gekümmert.

 

Seit dem 31. CCC wird Werner Koch und das Open-Source-Projekt GnuPG einer breiten Öffentlichkeit bekannt: Die Süddeutsche Zeitung berichtet über ihn, und auch in den USA ist man auf den Mann aufmerksam geworden, dessen Tool der milliardenschweren NSA trotzt. Seither ist Geld erst mal kein Thema mehr für den Entwickler. Alleine durch Einzelspenden kamen für das GnuPG-Projekt 200 000 Euro herein, Facebook und die Linux-Foundation wollen zusätzlich noch große Beträge spenden. Wie es aktuell um GnuPG steht, legen die Programmierer auf der Projektwebsite www.gnupg.org offen.

 

PGP/GPG: Eine wechselvolle Geschichte der Verschlüsselung

 

PGP steht für Pretty Good Privacy und bezeichnet ein Verschlüsselungsverfahren, das hauptsächlich für Mails eingesetzt wird. Es funktioniert mit einem öffentlichen Schlüssel fürs Verschlüsseln einer Nachricht und einem privaten Schlüssel fürs Entschlüsseln derselben.

 

PGP wurde 1991 von Phil Zimmerman entwickelt und war zunächst kostenlos verfügbar. Phil Zimmerman veröffentlichte den Quellcode 1995 sogar kostenlos in Buchform. Denn nur in dieser Form ließ sich der Code aus den USA exportieren. Verschlüsselungs-Code in digitaler Form unterlag zu dieser Zeit strengen Exportbeschränkungen.

 

Es folgte allerdings eine wechselhafte Lizenz-Geschichte. Denn der Code von Zimmerman blieb nicht frei. Er wechselte unter anderem zu McAfee und landete schließlich bei Symantec. PGP für Mails wird heute von Symantec für eine Lizenzgebühr von 175 Dollar pro Jahr und PC vertrieben ( www.pgp.com). Schon in der Zeit bei McAfee war der Code nicht mehr öffentlich und wurde um neue Funktionen ergänzt. Einige Sicherheitsexperten halten das Programm deshalb nicht mehr für hundert Prozent vertrauenswürdig.

 

Als dauerhaft kostenlose und quelloffene Alternative zu PGP hat sich Ende der 90er Jahre der Standard Open-PGP entwickelt. Der dazu passende und völlig neu entwickelte Code ist GPG oder GnuPG. GPG steht für Gnu Privacy Guard. Anders als der kommerzielle PGP-Code ist GnuPG stets Open Source gewesen. Alle Änderungen am Code sind somit öffentlich.

 

Der Code von GnuPG ist heute in vielen Anwendungsprogrammen (Front-Ends) integriert, etwa in Thunderbird mit der Erweiterung Enigmail. Umgangssprachlich wird allerdings oft noch von PGP-Verschlüsselung gesprochen, auch wenn man damit GnuPG-Programme nach dem Open-PGP-Standard meint.

 

Am Ende des Artikels geht es mit So richten sie eine Mailverschlüsselung ein auf der nächsten Seite weiter

Zeige Kommentare: ausgeklappt | moderiert

... und der Gegner längstmöglich in Sicherheit gewogen. Wie sicher ist also das Prädikat "NSA-Sicher" ? Nur weils eine deutsche Erfindung ist ?  .... siehe ENIGMA.

Wäre der Code wirklich unknackbar, wäre es mit Sicherheit nicht so still um ihn. Siehe PGP goes to McAfee usw. usf.

Es wäre mit Sicherheit verboten, eingekauft, kompromittiert ... keine Ahnung - nur mit absoluter Sicherheit nicht still geduldet.

Gilt natürlich nur für solche Giganten wie NSA etc, bei "kleinen" Freemailern wie GMX, WEB.DE etc. hätte ich mit PGP & Co schon ein gutes Gewissen, dass die keinen Unfug mit meinen Mails treiben, was gezielte Werbung und die andere übliche Ausbeutung / Verwertung  persönlicher Daten betrifft. Leider gibt es wohl schon von der Logik her keinen Beweis für "unknackbar", maximal kann  das geschickt durch Fallen ausgetestet, aber nie bewiesen werden. Für das genaue Gegenteil schon ... aber selbst da begibt man sich schnell auf gefährlichen Boden.

 

Selbst die hypergenialste Passphrase muss doch (bei jedem Ver/Entschlüsselungsvorgang) am lokalen Rechner der hypergenialsten Verschlüsselung übergeben werden. Mit heimlich Kassibern zustecken ist glaube in der digitalen Welt nimmer viel. Die erstmalige Erstellung der Passphrase, also ihre Eingabe ... wie sicher ist *das* vor den grossen Ohren ?  Wer vergibt als erstes die  hundert Prozent ?

 

will GNUPG nicht dissen, aber ich kann mir selbst bei opensource nicht vorstellen, dass da keine "trojaner" dabei sind. Wer dröselt heute noch Programmpakete in CD/DVD/Blueraygrösse noch nach Sauberkeit auf ?

 

Ich hab da arge Zweifel, in den 64k-Zeiten von Commodore oder ATARI sah das vielleicht noch anders aus. Da war gut geschriebener Code noch sowas wie ein Gesellenstück. Gesammelt, ausgedruckt und im Ordner abgeheftet. Aber bei dem Datenoverkill heutzutage ?

 

Nö, würde mich da echt nichtmehr sicher fühlen. Tut natürlich der fast schon revolutionären Idee von OpenSource keinen Abbruch,  fällt jede Menge Schwindel & Blähsoftware weg, mit der sich noch der eine oder andere Euro bequem verdienen liesse.