@Bastianoso

E-Mail-Verschlüsselung über keybase.io

Sichere E-Mail-Verschlüsselung ist derzeit leider noch unbequem. Etwas bequemer möchte sie das Startup keybase.io machen. Wie das funktioniert und die Vor- und Nachteile der Idee erfährst Du hier. Und am Ende gibt’s noch ein Geschenk 🙂

Heutzutage wird immer mehr Menschen bewusst, wie wichtig die sichere Verschlüsselung unserer Kommunikation ist. Wie man E-Mails auf seinem Handy mit S/MIME verschlüsselt, beschrieb ich bereits.

In diesem Artikel möchte ich mich nun der sichersten und kompromisslosesten aller E-Mail-Verschlüsselungen widmen: die Verschlüsselung mit PGP.
Dazu gibt’s zunächst für alle bis dato Unbeleckten einen flüchtigen Einstieg in PGP/GPG, seinen grundsätzlichen Aufbau und die grundlegenden Funktionsweise. Das ist wichtig, damit man überhaupt versteht, worum es bei Keybase.io geht.

Was ist PGP/MIME?

Die Abkürzung PGP steht für PrettyGoodPrivacy und bezeichnet eine Software, die Phil Zimmermann 1991 auf den amerikanischen Markt brachte. Sie basiert auf dem Public-Key-Verfahren und verschlüsselt Nachrichten für einen bestimmten Empfänger. Nur er und der Absender können die Nachricht wieder entschlüsseln. Nach zahlreichen Verkäufen gehört PGP inzwischen zur Symantec-Gruppe.

Was ist der Unterschied zwischen PGP und GPG?

PGP ist kommerzielle, proprietäre Software und der Quelltext liegt nicht offen. Daher kann man auch nicht sicher sein, dass es in der Software kein Hintertürchen für Entwickler oder Geheimdienste gibt.

So kam es zur Entstehung des GnuPrivacyGuard (kurz: GPG) als quellenoffene Alternative. Beide Varianten sind nahezu kompatibel zueinander, weshalb beide Systeme oft synonym verwandt werden. GPG ist im Gegensatz zu PGP auf fast allen Betriebssystemen der Welt lauffähig und kann zudem über die Kommandozeile bedient werden. Die Crypto-Kampagne der c’t liefert einen guten Einstieg in GPG.

Wie funktioniert PGP bzw. GPG?

Die Frage nach der Funktionsweise von PGP/GPG beantwortet zugleich auch die Frage danach, wieso es als so sicher eingestuft wird:

  1. zu Beginn generierst Du Dir mit der Software ein Schlüsselpaar: bestehend aus privatem und öffentlichem Schlüssel.
    Dabei kann man auf verschiedene, bewährte Verschlüsselungsalgorithmen zurückgreifen — je mehr Bit der Schlüssel hat (lies: je länger der Schlüssel ist), desto länger dauert es auch, ihn zu knacken.
  2. den öffentlichen Schlüssel verteilst Du nun an alle, die Dir eine verschlüsselte Nachricht zusenden möchten.
  3. Wer Dir eine verschlüsselte Nachricht schicken möchte, verschlüsselt diese mit Deinem öffentlichen Schlüssel.
  4. Entschlüsselt werden kann Sie nur mit Deinem privaten Schlüssel

Es ist daher von elementarer Bedeutung, den privaten Schlüssel niemals aus den Händen zu geben und mit einem äußerst sicheren Passwort (auch Passphrase genannt) zu schützen. Denn wer auch immer Deinen privaten Schlüssel hat, kann alle Deine Nachrichten lesen und die Verschlüsselung ist hinfällig!

Umgekehrt funktioniert die Verschlüsselung genau so: möchtest Du jemandem eine verschlüsselte Nachricht senden, brauchst Du seinen öffentlichen Schlüssel.

Was ist der Unterschied zwischen verschlüsseln und signieren?

Die Verschlüsselung einer E-Mail mit PGP/GPG sorgt dafür, dass sie nur vom Empfänger wieder entschlüsselt werden kann.
Mit dem Signieren einer E-Mail bestätigt der Absender, dass die E-Mail auch wirklich von ihm kommt. Es ist also so eine Art Unterschrift. In der Praxis werden verschlüsselte E-Mails in der Regel stets auch signiert.

Wie komme ich an öffentliche Schlüssel?

Angenommen, Du möchtest mir eine verschlüsselte E-Mail schicken. So brauchst Du erstmal meinen öffentlichen Schlüssel.

Persönliche Übergabe

Der sicherste Weg wäre mich persönlich zu treffen, meine Identität zu überprüfen und meinen Schlüssel direkt von mir zu beziehen. So macht es zum Beispiel die WhatsApp-Alternative Threema. Aber das ist natürlich nicht immer möglich.

Asynchrone Schlüsselübergabe

Alternativ könntest Du mir eine E-Mail schreiben und mich nach meinem öffentlichen Schlüssel fragen. Ich sende ihn Dir per E-Mail zu und es kann losgehen! Doch was, wenn jemand die Kontrolle über mein Postfach hat und den Schlüssel gegen seinen austauscht?

Öffentliche Keyserver

Um dieses Risiko zu vermindern, gibt es sogenannte Keyserver. Dorthin überträgt man seinen öffentlichen Schlüssel und die Leute können nach ihm suchen. Dazu suchst Du einfach nach meinem Namen oder meiner E-Mail-Adresse und Du erhältst einen öffentlichen Schlüssel. Einen öffentlichen Schlüssel? Ja, einen. Denn wie kannst Du sicher sein, dass nicht jemand anders seinen öffentlichen Schlüssel unter meinem Namen auf den Keyserver geladen hat?

Beispielsweise könnte ich mir problemlos eine offziell anmutende E-Mail-Adresse von Angela Merkel anlegen (z.B. a.merkel@gmail.com) und dafür Schlüssel erzeugen und sie auf den Keyerver laden.

Das Web-of-Trust

Doch genau dagegen wurde das Web-of-Trust ins Leben gerufen. Mein Schlüssel kann von anderen Menschen unterschrieben werden, die damit beglaubigen, dass der Schlüssel wirklich mir gehört. An jedem öffentlichen Schlüssel ist hinterlegt, von wem er bereits unterschrieben wurde und so kannst Du ganz einfach nachprüfen, ob es sich bei den Unterschreibenden um echte Personen handelt. Vielleicht kennst Du ja sogar jemanden von denen, die den Schlüssel unterschrieben haben?

Dieses Web-of-Trust ist einer der Gründe für sogenannte Cryptopartys. Denn dort sitzt man zusammen in einem Raum und kann sich fröhlich gegenseitig die Schlüssel signieren. Ein Traum für jeden Kryptographiebegeisterten!

Was hat Keybase.io mit PGP/GPG zu tun?

Nun weißt Du schon mal ganz grob aus der Helikopterperspektive, wie Verschlüsselung mit PGP bzw. GPG funktioniert und wir können uns dem Kernthema dieses Artikels widmen: Keybase.io.

Ein neues Startup von Max Krohn und Chris Coyne, den Gründern von OKCupid (eine Art Datingplattform), welches sich zur Zeit noch in der geschlossenen Alpha-Testphase befindet.

Keybase.io funktioniert wie eine SocialMedia-Plattform und sieht auf den ersten Blick auch genauso aus: man legt sich ein Profil an, kann Freunden folgen (Tracking) und andere können einem selbst folgen (Trackers).
Der Sinn dahinter ist aber ein anderer, denn Keybase.io ist, nüchtern betrachtet, eigentlich nichts anderes als ein hübsch gestalteter PGP-/GPG-Keyserver mit einigen Zusatzfunktionen.

Was kann Keybase.io?

Bereits das Anlegen eines Profils startet mit dem Hochladen eines öffentlichen Schlüssels; denn das gesamte Profil und alle darin enthaltenen Einträge basieren auf diesem Schlüssel. Es ist der grundlegende Baustein für alle weiteren Features des Portals.

Aktuell kannst Du Deinen Twitteraccount, Deinen Githubaccount und mehrere Webseiten zu Deinem Profil hinzufügen.
Mein Profil sieht zum Beispiel aktuell so aus:

keybase.io-alpha-profile-view

Um beispielsweise Deinen Twitteraccount hinzuzufügen, veröffentlichst Du einen Tweet, der gegenüber Keybase.io bestätigt, dass es auch wirklich Dein Twitter-Account ist. Das Selbe gilt für den Github-Account (Verifizierung über GIST) und die Webseite (Hochladen einer Datei auf den Server).

Man bestätigt diese Accounts kryptographisch: es wird ein kurzes Codewort signiert, dessen Echtheit Keybase mit meinem öffentlichen Schlüssel (den ich dort ja vorher hinterlegt habe) prüft. Damit kann mathematisch sicher bewiesen werden, dass der Twitter-Account wirklich zu mir gehört und Twitter wird so Teil des Web of Trust.

Man signiert sich seinen öffentlichen Schlüssel so also, vereinfacht gesprochen, selbst. Und wenn jemand auf der Suche nach meinem Schlüssel ist, kann er auf keybase.io nicht bloß meinen Schlüssel herunterladen (das ginge ja auch von einem meiner Server), sondern kann sich dabei auch relativ sicher sein, dass es sich dabei auch wirklich um meinen Schlüssel handelt. Als „Beweise“ dafür findet er dann ein Foto von mir, meinen Twitter-Account, meinen Github-Account und einige meiner Webseiten. Sieht er dann unter „Trackers“ noch ein paar gemeinsame Freunde, dann ist die Wahrscheinlichkeit sehr hoch, dass es sich bei dem Keybas-Profil auch wirklich um mich handelt.

Vorteile von Keybase.io

Die Vorteile dieser Art des Keyservers liegen klar auf der Hand:

  • Keybase.io ist übersichtlich und sieht gut aus
  • zusätzliche Dienste zur Authentifizierung mit einzubinden erhöht die Transparenz
  • es macht Spaß mit Keybase.io zu arbeiten
  • Kryptographie im Browser und
  • über die Kommandozeile

Nachteile von Keybase.io

Leider gibt es auch hier einige, teils gravierende Nachteile:

  • Du kannst nicht 100% sicher sein, ob Du unter keybas.io/bastianscheefe wirklich mich, oder einen Betrüger vorfindest
  • Keybase.io fragt nach Deinem privaten Schlüssel
    das ist ein absolutes No-Go! Keybase.io speichert Deinen privaten Schlüssel zwar verschlüsselt über ein JavaScript im Browser und hat nie direkten Zugriff darauf, aber wird Keybase.io eines Tages korrumpiert, haben die Angreifer auch Zugriff auf Deinen privaten Schlüssel — und den sollte man, wie gesagt, nie aus der Hand geben.
  • Gewährt man Keybase.io keinen Zugriff auf den privaten Schlüssel (empfohlen!), dann kann man die Verschlüsselung nicht bequem über den Browser, sondern nur über die lokale Konsole nutzen
  • hat jemand Fremdes Zugriff auf meine Accounts, kann er ein Keybase-Profil anlegen, ohne, dass ich zwangsläufig etwas davon mitbekomme und kann sich so als ich ausgeben
  • die auf den Server von Keybase geladenen öffentlichen Schlüssel werden nicht an andere Keyserver weitergegeben

Ausblick

Noch befindet sich Keybase.io in der geschlossenen Alpha-Testphase und ist nur explizit eingeladenen Personen zugänglich. Max und Chris suchen noch weitere Programmierer um das System weiter auszubauen und fast wöchentlich gibt es neue Features zu entdecken. Ich habe bereits kurz mit Max sprechen können und die beiden haben noch so einiges an spannenden Features in der Hinterhand. Ich werde den Dienst in jedem Fall weiter beobachten und setze ihn jetzt schon produktiv ein. Denn trotz der paar Nachteile überwiegen, bei sachgerechtem Umgang, für mich die Vorteile deutlich und ich glaube, dass das Thema Verschlüsselung mit Keybase.io der breiten Masse deutlich einfacher näher gebracht werden kann und noch dazu Spaß macht!

Wenn es sich so wie geplant weiterentwickelt, haben wir bald ein „Facebook der Kryptographie“ mit abertausenden Mitgliedern. Ein guter Schritt in Richtung alltagstaugliche Verschlüsselung!

Gewinnspiel

Wenn Du jetzt neugierig auf Keybase.io geworden bist und es unbedingt mal ausprobieren möchtest, sei gewarnt:

Das Projekt befindet sich, wie bereits erwähnt, noch in der Alpha-Testphase und im Moment muss man noch gut mit der Konsole umgehen können, um mit Keybase.io sinnvoll arbeiten zu können. Die Anleitungen dazu sind aber selbsterklärend und stellen für erfahrene Linux-Benutzer keine Herausforderung dar.

Für alle, die sich davon nicht abschrecken lassen, verlose ich unter meinen Newsletterabonnenten eine Einladung zur geschlossenen Testphase von Keybase.io.
Um teilzunehmen:

  1. Melde Dich für meinen wöchentlichen Newsletter an (natürlich kostenlos)
  2. Beantworte die Frage, die ich am Freitag stellen werde, richtig

Und schon bist Du im Lostopf! Der Gewinner wird am Samstag, den 5. April von mir per E-Mail benachrichtigt und erhält zeitgleich sein Invite-Voucher.

Hinterlasse einen Kommentar

  Abonnieren  
Benachrichtige mich bei
IST-Analyse Kredite E-Mail Organisation Fahrrad Wirtschaft Netzwerktechnik Fernsehen Apple Ernährung Ausbildung Haushalt Facebook Sport Abschlussprüfung C++ projekt52 Sommer OS X Computer Fotos Konzert Deutschland Silvester web 2.0 Film Microsoft Programmieren Buchhaltung Kater Weihnachten twitter Datenschutz Terminal Party Webserver Redirect Werbung Netzwerk Musik IKEA Mac OS X Kino Sibirische Katze Gesellschaft URL Datenbanken Inventur Sicherheit Videos Weiterleitung Bilanz iPhone Laufen Windows Hamburg Altona Datenübertragung iOS Projektmanagement Mathematik BarCamp Einkaufen Tipps & Tricks Internet

Hinweise zum Artikel