Wunde Stellen?
|
 |
 |
 |
|
Trotz der Effizienz von PGP birgt auch dieser Meister der Verschlüsselung potentielle Gefahren. Doch gerade hier gilt: Wissen ist Macht, denn wer die Schwächen kennt, kann die Gefahren voraussehen. Lesen Sie deshalb im folgenden die wichtigsten Gefahren im Umgang mit PGP.
1. Verlust oder Diebstahl des Secret Keyrings.Sollte der Secret Keyring abhanden kommen, bleibt eigentlich nur banges Hoffen, daß der gewählte Passphrase �standhält�. Zu kurze oder naheliegende Passphrases (der Name der Freundin oder des Hundes) sollten deshalb tabu sein. Am besten benutzt man auch wirklich einen Phrase, also einen ganzen Satz.
2. �Key Tampering�Obwohl öffentliche Schlüssel beliebig vergeben werden können und auch sollen, verbirgt sich darin eine Gefahr. Denn wer garantiert denn, daß der empfangene Schlüssel auch wirklich dem vermeintlichen Sender gehört? Wird dieser durch den Public Key eines böswilligen Dritten getauscht, kann dieser Nachrichten an den Empfänger entschlüsseln, lesen und mit dem Public Key des Empfängers verschlüsselt unbemerkt weitersenden! Die Lösung heißt hier Signatur. Nur wenn Sie den Schlüssel direkt vom Empfänger (beispielsweise auf Disk) bekommen haben oder der Schlüssel die Signatur einer Person oder Organisation trägt, der Sie vertrauen, sollten Sie den Schlüssel auch benutzen.
3. Unvollständig gelöschte FilesWeniger PGP als vielmehr das AmigaOS birgt die Problematik �halb� gelöschter Dateien. Anstatt die Daten physikalisch zu löschen, erfolgt ein Löschvorgang in der Regel nur immerhalb der Verzeichnisstruktur. Speichern Sie Ihren Private Key (evtl. sogar mit Passphrase) auf dem Computer und löschen diesen, kann dieser mit entsprechender Software (z.B. �AmiBackTools� oder �DiskX�) wiederhergestellt werden. Wechselmedien, die Sie mitnehmen können, sind sicherer und praktischer.
4. KryptoanalyseKryptoverfahren wie PGP basieren auf schwer umkehrbaren, mathematischen Funktionen. Die Kryptoanalyse versucht, teils unter Einsatz massiver Computerpower, diese Funktionen immer schneller knacken zu können. Obwohl die in PGP verwendeten Algorithmen unter ständigem Beschuß der besten Kryptoanalytiker stehen und deshalb sehr gut erforscht sind, ist die Möglichkeit gegeben, daß irgendwann jemand schlauere Algorithmen findet. Daß aber beispielsweise die US-Regierung Atomraketen mit RSA-Schlüsseln schützt, wie sie auch in PGP zum Einsatz kommen, zeigt (hoffentlich) die Sicherheit dieser Verfahren.
5. Trojanische PferdeSchließlich und endlich ist es noch denkbar, daß sich Programme mit dem Ziel, Passphrases in Erfahrung zu bringen, als PGP �ausgeben� und dessen Verhalten nachahmen. Das ist insbesondere gefährlich, da der Source-Code von PGP frei verfügbar ist und sich solche �hinterhältigen� PGP-Plagiate sehr leicht erstellen lassen. Darüber hinaus unterliegt PGP Problemen allgemeiner Art. So ist beispielsweise bekannt, daß Computer und Telefone als rein physikalischer Basis abgehört werden können. Oder aber der Absender verstellt seine Systemuhr beim signieren der Nachricht (als würde er bei handschriftlicher Signatur ein falsches Datum angeben). Hier gilt: Vorsicht ist besser als Nachsicht!