Wie sicher ist die Anwendung von PGP ?
Kann eine digitale Unterschrift gefälscht
oder
eine vertrauliche Mitteilung von anderen mitgelesen werden ?
Kann man sich auf das sichere Funktionieren von PGP verlassen ?

ÜBERBLICK

BEGRÜNDUNG

Die Sicherheit der verwendeten kryptologischen Verfahren

Das Verschlüsselungsverfahren IDEA

Das Public-Key-Verfahren RSA

Das Hashverfahren MD5

Angriffe auf die praktische Anwendung von PGP

Sicherheitskritische Aktionen

Zum Umgang mit der Passphrase

Angriffe auf die Passphrase

Was ist eine gute Passphrase ?

NEUER IST BESSER ? - Die Versionen von PGP

VERWEISE auf andere Informationsquellen

Eine abschließende BITTE

Es gibt zwei mögliche Strategien, um die Sicherheit der Kommunikation mit PGP anzugreifen:

• theoretische Angriffe,

  d.h. Angriffe, die sich gegen Schwachstellen der verwendeten kryptologischen Verfahren richten und die die Sicherheit und Verlässlichkeit von PGP grundsätzlich betreffen, und

• praktische Angriffe,

  die Schwachstellen bei der praktischen Anwendung von PGP ausnutzen, mit der Absicht, durch eine Kompromittierung der Passphrase den geheimen Schlüssel (Secret-Key) zu erlangen oder durch die Verteilung manipulierter öffentlicher Schlüssel den Anwender zu täuschen.

Wie im folgenden näher zu begründen ist, sind die theoretischen Angriffe auf PGP unrealistisch, d.h. bei der Verwendung genügend langer RSA-Schlüssel ist eine Gewinnung des geheimen Schlüssels praktisch nicht möglich. Die Sicherheit der verwendeten Verfahren lässt sich aus der Geschichte des Scheiterns der bisherigen Versuche, diese Verfahren zu brechen, ableiten und basiert nicht auf einem frommen Glauben, sondern auf den Ergebnissen der gegenwärtigen Forschung im Bereich der Informatik. Die theoretische Sicherheit muss deshalb immer im Lichte neuer Erkenntnisse neu bewertet werden.

Die Aussichtslosigkeit eines Angriffs auf die verwendeten kryptologischen Verfahren verschiebt allerdings das Interesse potentieller Datenstrolche auf die Schwachstellen bei der praktischen Anwendung des Secret-Keys im alltäglichen Umgang mit PGP. Hier sind eine Reihe von Problemen zu beachten, damit nicht unerkannt die Sicherheit von PGP aufs Spiel gesetzt wird. Von besonderer Bedeutung ist hier die Geheimhaltung der Passphrase, mit der der Secret-Key geschützt wird, ein Problem, das häufig drastisch unterschätzt wird.

Begründung

Die Sicherheit der verwendeten kryptologischen Verfahren

PGP (im folgenden meine ich damit immer PGP-2.6.x) verwendet zur Verschlüsselung das Verfahren IDEA, ein symmetrisches Verschlüsselungsverfahren, das mit einem 128-Bit langen Schlüssel, z.B.

1010100101010010010010101010111101010101101100111101010000101110 1000011010110001001011110111001101111011010111111101011011000100

EXKURS Warum soll ein Computer in der nahen Zukunft nicht fix mal alle IDEA-Schlüssel durchprobieren können?

Weil ein Computer aus prinzipiellen Gründen diese Leistungsfähigkeit nicht haben wird. Nach dem heutigen Stand der physikalischen Forschung, der sich natürlich ändern kann, ist die Signalübertragung in jedem denkbaren Computersystem durch die Lichtgeschwindigkeit begrenzt. Dem widersprechen auch nicht die bisherigen "Überlichtgeschwindigkeitsexperimente". Angenommen das Hochleistungscomputersystem zum Schlüsseltest hat eine maximale Ausdehnung von 0,3 mm, in der die elektronische oder lichtgeleitete Informationsübertragung erfolgt, dann kann es maximal 1 000 000 000 000 Operationen (1012) in jeder Sekunde ausführen, weil es sonst kleiner sein müsste. In 317 Jahren, also 10 003 759 200 Sekunden ist dieses System in der Lage 10 003 759 200 000 000 000 000 Operationen auszuführen. Diese bescheidenen Leistungsfähigkeit von immerhin 1022 Operationen, die in diesen 317 Jahren ausführbar sind, ermöglicht natürlich nicht die Überprüfung von 1022 verschiedenen IDEA-Schlüsseln, weil ein Schlüsseltest sich nicht in einem Taktzyklus erledigen lässt. Aber selbst wenn dies möglich wäre, ist die große Anzahl der möglichen IDEA-Schlüssel von 1038 dann nur zu 0,000 000 000 000 000 029 Prozent durchsucht. Also wird ein einzelner IDEA-Schlüssel auch dann nicht gefunden werden, wenn man "viele" solcher Computersysteme parallel an die Arbeit setzt. Dieses Argument basiert auf empirischen Annahmen und kann deshalb auch durch die Erfahrung widerlegt werden. Es ist aber sicherlich empirisch falsch, Computersystemen eine "in Zukunft beliebig große Leistungsfähigkeit" zu unterstellen.

Auf der sicheren Funktionsfähigkeit des Public-Key-Verfahrens basiert:

• die Vertraulichkeit der Nachricht, da der IDEA-Schlüssel nur vom wirklichen Adressaten der Nachricht angewendet werden darf, und
• die Authentizität der Nachricht, so dass eine verlässliche digitale Signatur von Dokumenten möglich ist, und eine vorliegende Information daraufhin überprüft werden kann, ob sie wirklich von einer bestimmten Person stammt oder nicht.

Die Authentizität der Nachricht ist also nur zu gewährleisten, wenn das Schlüsselpaar (Public-Key, Secret-Key) verlässlich einer bestimmten Person zugeordnet werden kann, und zwar auch dann, wenn man die betreffende Person gar nicht kennt. Für die Gültigkeit einer digitalen Signatur ist die Sicherheit wesentlich, dass nur die fragliche Person selbst in der Lage war, eine Information durch die Anwendung ihres Secret-Keys zu erzeugen und diese Person damit für den Inhalt der Nachricht auch verantwortlich ist. Die Urheberschaft einer Information kann auch nur dann gegenüber anderen nachgewiesen werden, und damit das geistige Eigentum einer Person geschützt werden, wenn es niemand anderem möglich ist, eine Information zu erzeugen, die zu dem Public-Key einer Person passt.

Die praktische Anwendung des RSA-Verfahrens basiert auf der Verwendung dreier sehr großer Zahlen (e,d,n), wenn auch bei der computertechnischen Implementierung des RSA-Verfahrens eine dieser Zahlen klein gewählt wird, ohne dass dadurch die Sicherheit des Verfahrens eingeschränkt wird. Zwei dieser Zahlen, der öffentliche Schlüssel e und die Modulzahl n werden verwendet, um eine Nachricht zu verschlüsseln. Dabei wird prinzipiell die zu verschlüsselnde Nachricht auch als große Zahl aufgefasst, mit e potenziert und von diesem Ergebnis wird so lange die Modulzahl n subtrahiert, bis es kleiner als n ist, d.h. es wird der Rest modulo n bestimmt. Das Ergebnis ist das Kryptogramm, die für den Empfänger verschlüsselte Nachricht. Beim Empfänger wird derselbe Vorgang als Entschlüsselung des Kryptogramms wiederholt, wobei das Kryptogramm als sehr lange Zahl mit dem geheimen Schlüssel d potenziert wird und durch die Restwertbildung mittels der Modulzahl wunderbarerweise wieder der ursprüngliche Klartext entsteht. Von den drei verwendeten Zahlen ist also nur die Zahl d, der geheime Schlüssel, wirklich geheimzuhalten, das Verfahren, die öffentlich bekannten Zahlen e und n, aber auch das Kryptogramm selbst, sind kein Geheimnis und dürfen gefahrlos von jedermann analysiert werden.

Das RSA-Verfahren funktioniert allerdings nur dann, wenn die drei Zahlen (e,d,n) in "geeigneter Weise" zusammenpassen. Dass dies gewährleistet ist, ergibt sich aus der Erzeugung des Schlüsselpaars, einem Verfahren, das auch ein Rezept für das Knacken des RSA-Verfahrens liefert (Faktorisierungsproblem).
Zur Erzeugung eines Schlüsselpaars ist es erforderlich, zwei sehr große Primzahlen p und q zu finden, die als Produkt die Modulzahl ergeben (n = p*q). Aus diesen Primzahlen, die zum Schluss weggeschmissen werden, können sehr schnell die zwei interessanten Zahlen e und d ermittelt werden, die das eigentliche Schlüsselpaar bilden.
Ein Angreifer kennt nun die Modulzahl n, also p*q, und braucht bloß ermitteln, aus welchen beiden Primzahlen n zusammengesetzt ist, d.h. er oder sie muss n faktorisieren, dann ist die Ermittlung des geheimen Schlüssels eine Sache von Sekunden. Erfreulicherweise ist aber das Faktorisierungsproblem bei sehr langen Zahlen mit mehreren hundert Dezimalstellen eine Aufgabe, die extrem viel Arbeit verursacht und damit zu den praktisch unlösbaren Problemen zählt.

Die Sicherheit des RSA-Verfahrens beruht also darauf, dass es praktisch unmöglich ist, die Modulzahl n zu faktorisieren, also aus der Kenntnis der öffentlichen Modulzahl auf die beiden Primzahlen p und q zu schließen, aus denen sich der geheime Schlüssel gewinnen lässt.

Die bisherige Geschichte der Faktorisierung 70-stellige Zahlen werden heute (1998) in 10 Stunden auf einer Workstation faktorisiert. 100-stellige Zahlen werden in 1 Jahr auf einer Workstation faktorisiert. 129-stellige Zahlen : Im August 1977 stellte Martin Gardner den Lesern der Zeitschrift "Scientific American" die Aufgabe die Zahl 114 381 625 757 888 867 669 235 779 967 146 612 010 218 296 721 242 362 562 561 842 935 706 935 245 733 897 830 597 123 563 958 705 058 989 075 147 599 290 026 879 543 541 zu faktorisieren! 16 Jahre später im April 1994 präsentierten Paul Leyland (Uni Oxford), Michael Graff (Uni Iowa) und Derek Atkins (MIT) die Faktoren. Dabei wurden etwa 600 freiwillige Internet-Benutzer mitbeschäftigt, die nachts auf Ihren Workstations ein Faktorisierungsprogramm laufen ließen, das von K. Lenstra (Bell Labs, Morristown, New Jersey) stammte. 140-stellige Zahl: ist 1996 die kleinste noch nicht faktorisierte Zahl 140-stellige Zahlen werden in einem großen Rechnernetz in 5 Jahren faktorisiert 160-stellige Zahlen: Experten erwarten 1996 eine Faktorisierung in etwa fünf Jahren unter Verwendung der Methode der Zahlkörpersiebe. 200-stellige Zahlen: Die Faktorisierungszeit wird 1998 auf 52 000 000 Jahre geschätzt.

Die minimale Schlüssellänge von 1024 Bit garantiert also, dass die RSA-Modulzahl mindestens 309 Dezimalstellen lang ist und damit für die nächste Zukunft als sicher angesehen werden kann, solange die Faktorisierung von Zahlen keine drastischen Fortschritte macht. Viele PGP-Schlüssel werden heute bereits mit einer Länge von 2048 Bit zertifiziert, was 617 Dezimalstellen entspricht.

Angriffe auf das RSA-Verfahren

Um sich vor solcherlei Angriffen zu schützen, sollte man möglichst vermeiden, ein Dokument zu signieren, das beliebige versteckte Daten enthalten kann, z. B. ein fremdes Textverarbeitungsdokument, das je nach Typ erheblich mehr Informationen (zur Formatierung) enthalten kann, als im Klartext zu sehen sind. Der chosen-ciphertext-Angriff basiert nämlich darauf, dass ein Angreifer in der Lage ist, eine Menge von ihm geschickt gewählter Zufallsdaten in die Nachricht einzuschmuggeln, deren Verschlüsselung zusammen mit dem Dokument durch den Secret-Key einer Entschlüsselung des Kryptogramms gleichkommt. Den Secret-Key erhält der Angreifer aber auch dann nicht, wenn sein Angriff auf eine verschlüsselte Nachricht Erfolg hat.

Zweifellos haben die Mathematiker in den vergangenen Jahren große Fortschritte bei der Faktorisierung großer Zahlen gemacht, die J. Buchmann ausführlich in seinem Artikel in Scientific American, Juni 1996 (bzw. Spektrum der Wissenschaft, September 1996) beschreibt. Durch die massive Nutzung neuerer Computertechnologie wurden gänzlich neue Verfahren zur Faktorisierung entwickelt, die sich wesentlich von den herkömmlichen Methoden unterscheiden.

So entwickelte bereits 1985 W. Lenstra das Verfahren der Elliptischen Kurven, mit dem auf der Basis heutiger Workstationtechnologie innerhalb von drei Wochen 30-stellige Faktoren gefunden werden können. Dieses Verfahren hat den Vorteil, dass es auch dann zum Ziel führt, wenn die zu faktorisierende Zahl mehrere tausend Dezimalstellen hat. Ist also die RSA-Zahl aus einem kleinen und einem großen Faktor zusammengesetzt, so kann der kleinere Faktor mit dieser Methode in akzeptabler Zeit gefunden werden. Es ist deshalb wesentlich, dass bei der Erzeugung von RSA-Schlüsseln zwei etwa gleich große Primzahlen geeigneter Länge verwendet werden, um eine schnelle Faktorisierung zu verhindern.

Ein anderes Verfahren, das quadratische Sieb, erfordert zur Faktorisierung einer großen Zahl die Lösung eines linearen Gleichungssystems mit einer riesigen Menge von linearen Gleichungen. Mit dieser Methode gelang es 1993 eine 120-stellige RSA-Zahl zu faktorisieren, wobei 252222 Gleichungen mit 245810 Unbekannten gelöst werden mussten. Diese Arbeit, die auf einem einzigen Rechner etwa 50 Jahre in Anspruch genommen hätte, konnte parallelisiert und so in wesentlich kürzerer Zeit erledigt werden. Mit der auf einem ähnlichen Prinzip aufbauenden Methode des Zahlkörpersiebs, die erheblich schneller arbeitet als das quadratische Sieb, konnte 1996 erfolgreich eine 130-stellige Zahl in ihre Faktoren zerlegt werden.

Betrachtet man den Fortschritt in der Faktorisierung innerhalb der letzten zehn Jahre, so ist damit zu rechnen, dass in naher Zukunft 150-stellige Zahlen faktorisierbar sind, auch wenn heute kein bekannter Algorithmus in der Lage wäre, diese Arbeit in vernünftiger Zeit zu leisten. Möglicherweise findet man aber auch einen gänzlich neuen Algorithmus, der heute sichere RSA-Schlüssel dann völlig wertlos macht. Es gilt also, die Entwicklungen auf dem Gebiet der Faktorisierung genau zu beobachten und bei der Bewertung von RSA-Schlüssellängen zu berücksichtigen.

Das Hash-Verfahren MD5

Was ist ein Fingerprint ?

Der Geburtstags-Angriff auf MD5

Wieviele Personen sind erforderlich, damit die Wahrscheinlichkeit, dass zwei von ihnen am gleichen Tag Geburtstag haben, 50 Prozent beträgt ? Die falsche Antwort lautet: 365/2 = 182 Personen. In Wirklichkeit sind es erheblich weniger, nämlich 23, so dass übertragen auf die Fälschung einer digitalen Unterschrift daraus ein Vorteil erwächst. Wenn der Angreifer nicht ein bestimmtes Dokument fälschen will, sondern sich darauf beschränkt, dem potentiellen Opfer ein Dokument zur Unterschrift vorzulegen, zu dem er, nein sie, eine entsprechende Fälschung gefunden hat, die den gleichen MD5-Fingerprint aufweist, so ist eine Fälschung der digitalen Signatur mit einem solchen "geeigneten Pärchen" (gutartiges und bösartiges Dokument) möglich. Die Anzahl solcher Fälschungspärchen, die man durchprobieren muss, um ein funktionierendes zu finden, ist nun nicht mehr 2127 (170 141 183 460 469 231 731 687 303 715 884 105 728) sondern "bloß noch" 264 (18 446 744 073 709 551 616) also 1019 Dokumentenpaare. Ein geeignetes Dokumentenpärchen zu finden ist immer noch "verdammt viel Arbeit", kann aber nicht grundsätzlich (vgl. die Argumentation zum Erraten des IDEA-Schlüssels) ausgeschlossen werden. Begründung Bei N verschiedenen Dokumenten (gutartige und bösartige zusammen) gibt es N(N-1)/2 Paare, wobei die Wahrscheinlichkeit, dass eines dieser Dokumente mit einem anderen Dokument denselben MD5-Hashwert teilt 1/K beträgt, unter der Annahme, dass es insgesamt K = 2128 verschiedene Hashwerte gibt. Nach oben abgeschätzt muss man die Hälfte von N2 Pärchen durchprobieren. Wenn die Wahrscheinlichkeit für eine Kollision 50 Prozent betragen soll, dann folgt: (N2 * 1/K) / 2 = 0,5 also N = sqrt(K) = 264 Unter den 18 446 744 073 709 551 616 verschiedenen Pärchen sollte also mit grosser Wahrscheinlichkeit eines sein, das zur Fälschung der digitalen Signatur geeignet ist.

FAZIT	Bei der Verwendung einer geeignet großen Schlüssellänge ist ein Angriff auf die kryptologischen Verfahren, die PGP verwendet, praktisch aussichtslos. Diese "theoretische Sicherheit" muss ständig an den aktuellen Ergebnissen der kryptologischen Forschung gemessen werden.

Sobald jemand in den Besitz Ihrer Passphrase gekommen ist, braucht er oder sie nur noch Ihren Secret-Key(-Ring) und kann dann in Ihrem Namen signieren und Ihre vertraulichen Daten entschlüsseln. In der Praxis kann man versuchen durch Zugriffsrechte des Betriebssystems zu verhindern, dass andere Personen den Secret-Key-Ring kopieren. Obwohl man durch geeeignete Netzumgebungen den Zugriff auf sensible Daten einschränken kann, lässt es sich jedoch nicht garantieren, dass der verschlüsselte Secret-Key nicht in die Hände fremder Personen fällt, beispielsweise bei einem Einbruchdiebstahl. Im normalen Betrieb eines vernetzten Computersystems besteht trotzdem ein großer Unterschied zwischen einem verantwortungsvoll administrierten Mehrbenutzersystem mit Zugriffsschutz und einer völlig schutzlosen Arbeitsumgebung auf einem Arbeitsplatz-PC. Da im schlimmsten Fall aber von der Entwendung des verschlüsselten Secret-Keys ausgegangen werden muss, kommte es auf die Qualität der Passphrase an, mit der der Secret-Key geschützt ist.

Zum Umgang mit der Passphrase

Manche Editoren legen eigenständig temporäre Dateien an, in denen für die Dauer der Erstellung eine Kopie des Textes gespeichert wird. Nach Abschluss der Arbeit werden diese "tempfiles" häufig nur gelöscht, nicht aber "gewiped", so dass auch auf diese Weise sensitive Daten unzerstört auf dem Datenträger zurückbleiben.

Auch die PASSPHRASE steht in Gefahr auf einem Speichermedium zu landen , wenn das Betriebssystem den verfügbaren Hauptspeicher durch "swappen" erweitert. Während UNIX diesen Swapbereich vom eigentlichen Dateisystem trennt und also Zugriffsrechte des Systemverwalters (root-Rechte) erforderlich sind, um diesen Teil der Festplatte analysieren zu können, speichert MS-WINDOWS Teile des Hauptspeichers direkt in das Dateisystem (Auslagerungsdatei), so dass jeder, der Zugang zu Ihrer Festplatte hat, mit ein wenig Glück Ihre Passphrase oder Teile vertraulicher Informationen im swapfile im Klartext finden kann. Besonders in einer LAN-Umgebung ist ein swapfile eine ernste Gefahr für die Sicherheit Ihrer Passphrase. Das Beste wäre sicherlich auf "swappen" unter WINDOWS ganz zu verzichten, bzw. das swapfile vor dem Ausschalten des Computers zu "wipen", denn Löschen vernichtet nicht den Inhalt des swapfiles.

Das Betriebssystem UNIX schränkt die Möglichkeit, beliebige Datenblöcke zu untersuchen, auf die Person des Systemverwalters ein. Dieser hat prinzipiell auch Zugriff auf den Hauptspeicher (/dev/kmem) des Computersystems und kann somit während der Ausführung eines PGP-Prozesses im Hauptspeicher nach der Passphrase fahnden. Scheuen Sie sich also nicht, Ihren Systemverwalter auf dieses Problem anzusprechen. Ein verantwortungsbewusster Systemverwalter wird sich die größte Mühe geben zu verhindern, dass andere Personen das root-Passwort anwenden können und er oder sie wird Ihnen sicherlich etwas sagen können, das Sie überzeugt, darauf zu vertrauen, dass die mögliche Gefährdung Ihrer Passphrase durch root-Zugriffe nicht stattfindet. An diesem Punkt basiert die Sicherheit ihres Secret-Keys auf dem Berufsethos und der Professionalität einer anderen Person, die für das UNIX-System verantwortlich ist.

Schnüffel-Angriffe

Ohne großen Aufwand lassen sich auf Betriebssystemen ohne Zugriffsschutz (DOS/WINDOWS) "key-logging utilities" bzw. "key-press snooping tools" installieren, die jeden Tastendruck registrieren und entweder abspeichern oder über ein Netzwerk senden. Die keylogger ersetzen die Bestandteile des Betriebssystems, die die Tastatureingabe kontrollieren durch veränderten Code und stellen damit eine Veränderung des Betriebssystems dar. Auf DOS/WINDOWS-Systemen sind keylogger ohne Probleme von jedermann zu installieren, der Zugriff auf die Festplatte hat. Eine derartige Veränderung lässt sich aber auch in Abwesenheit durch einen Boot-Virus erreichen.
Für einen wirksamen Schutz gegen eine solche Veränderung des Betriebssystems ist es erforderlich, die Unversehrtheit der entsprechenden Betriebssystemroutinen für die Eingabe regelmäßig zu prüfen, am besten vor jeder Anwendung von PGP. Dies lässt sich erreichen, indem man von wichtigen Bestandteilen des Betriebssystems MD5-Fingerprints anfertigt und diese mit den Fingerprints der aktuellen Betriebssystemroutinen (evtl. automatisch) vergleicht, so dass eine Veränderung des Betriebssystems nicht unentdeckt bleibt.

Für UNIX-Systeme setzt "key-logging" die Zugriffsrechte auf die entsprechenden Gerätedateien (Terminals) voraus und wird damit für andere Personen im Normalfall ausgeschlossen. Eine Veränderung der Eingaberoutinen des Betriebssystems ist auch hier ausschließlich mit root-Rechten möglich. Allerdings weist das X-Window-System (X11R6), die graphische Benutzeroberfläche unter UNIX, einen konzeptionellen Designfehler auf, der für "key-press snooping" ausgenutzt werden kann, ohne dass dafür root-Rechte erforderlich sind. Nähere Informationen dazu findet man im Crash Course in X Windows Security von Rune Braathen. Man sollte also vermeiden, die Passphrase während einer X-Window-Session einzugeben und sollte für diesen Zweck auf die zeilenorientierte Console zurückschalten. Ist Ihnen dies nicht möglich, dann können Sie den Zugriff auf Ihren X-Server auf den lokalen Rechner mit dem UNIX-Kommando "xhost -" einschränken, so dass Ihnen nur noch Gefahr von Benutzern droht, die sich im gleichen Moment auf Ihrem lokalen Rechner angemeldet haben.

Bequemlichkeit und "superneue features"

Wie sicher ist Ihre Quelle für PGP ?

Da der Quelltext von PGP öffentlich bekannt ist, ist es möglich, dass eine veränderte Version von PGP, welche die Passphrase speichert und über das Netz per email versendet, ihren Weg als legitime Originalversion in den Software-Verteilungsprozess findet. Auch hier spricht die Bequemlichkeit zunächst für die Benutzung der Version, die bereits in Ihrer Software-Distribution "fix und fertig konfiguriert" vorhanden ist. Sie sollten sich aber die Mühe machen, sich eine Version von PGP zu verschaffen, die aus überprüften Quelltexten neu kompiliert wurde. Die legitimen Quelltexte von PGP-2.6.3i sind von Stale Schumacher signiert (Key-ID CCEF447D), so dass sich die Integrität der Software überprüfen lässt, wenn man den Public-Key von Stale Schumacher aus sicherer Quelle erhalten hat. Fragen Sie Ihren Systemverwalter bzw. Ihre Zertifizierungsstelle nach einer selbstgeprüften Version von PGP oder erzeugen Sie sich selbst eine solche. Auf jeden Fall sollten Sie, wenn Sie ein vertrauenswürdiges PGP-Programm haben, einen MD5-Fingerprint herstellen und sicher verwahren. In regelmäßigen Abständen können Sie dann die Integrität ihrer aktuellen PGP-Binärdatei mit diesem Fingerprint verifizieren.

Insbesondere für WINDOWS sind eine Reihe von PGP-Shells entwickelt worden, die dem Benutzer die Mühe abnehmen, selbst PGP auf der Kommandozeile anzuwenden. Statt dessen werden die Mechanismen der Entschlüsselung, der digitalen Signatur und der Schlüsselverwaltung hinter einer Reihe " komfortabler Buttons und Checkboxen" versteckt. Auch hierbei besteht die Gefahr, dass die Eingabe der Passphrase innerhalb solcher Shells unerwünschte Nebeneffekte haben kann, besonders, wenn die PGP-Shell als reine Binärdatei ohne die Veröffentlichung der Quelltexte vertrieben wird.

Mit der Unterstützung von JAVA, JAVA-Script und ACTIVE-X durch die neueste Generation von Web-Browsern sind ernste Sicherheitslücken bekannt geworden, die unautorisierte Zugriffe über das Netz auf die lokalen Daten des Benutzers möglich machen. Die Tendenz der Software-Industrie "superneue features" möglichst frühzeitig, d.h. in einem unausgetesteten Stadium bereitzustellen, wird die zukünftige Entwicklung der Web-Browser - zumal in der absehbaren Konkurrenzsituation zwischen Netscape und Microsoft - zu Lasten der Sicherheit negativ beeinflussen.
Der von der Benutzergemeinde unisono vertretene Bedarf an Komfort und Benutzerfreundlichkeit lässt für die Zukunft befürchten, dass sicherheitsrelevante Angriffe über Applets und "unfreundliche" Web-Seiten zunehmen werden. Schon heute sind im WWW Websites aktiv, die auf der Basis von JAVA-Applets v. a. zerstörerische Wirkungen beabsichtigen. In Zukunft könnten entsprechende Webseiten auch dem Ziel der unentdeckten Informationsbeschaffung dienen. Dieser Gefahr lässt sich am besten dadurch begegnen, dass für die sicherheitsrelevanten Arbeiten mit PGP ein System benutzt wird, das nicht auch noch als Experimentierplattform für Web-Browser eingesetzt wird.

Was ist eine gute Passphrase ?

Da die Passphrase etwas ist, das man nie vergessen darf, denn sonst ist der Secret-Key unbrauchbar, müssen Lösungen gefunden werden, die zuverlässig funktionieren. Hier bieten sich zwei Strategien an, die beide mit einer Einbuße an Sicherheit verbunden sind, um die Merkbarkeit der Passphrase zu ermöglichen:

• Die Anzahl der Ziffern wird solange reduziert, bis man sie sich merken kann
• oder statt einer zufälligen Reihenfolge von Ziffern wird "Sinn" in die Passphrase gebracht.

Strategie 1 : Zufalls-Zeichenketten

Die Anzahl der Zeichen kann dadurch weiter verringert werden, dass mehr als 16 Zeichen (0-9A-F) verwendet werden. Nimmt man zu den 26 Kleinbuchstaben alle Großbuchstaben, Ziffern und die üblichen über die Tastatur eingebbaren Sonderzeichen, so ergeben sich etwa 70 verschiedene Symbole und damit reichen 12 solcher zufällig gewählter Zeichen aus, um die erforderliche Arbeit (70¹² = 1,4 * 10²²) zu verursachen.
Ihre Passphrase wäre dann etwa: e8ZWr!ySFt?m.

Nun kann man die Anzahl der verfügbaren Zeichen leicht durch die Verwendung der <SHIFT>, <CTRL> und <ALT>-Tasten , sowie der Kombination <CTRL><ALT> mit den 46 Tasten eines normalen Keyboards auf 160 Zeichen steigern, so dass man dann mit immerhin 10 Zeichen auskommt :
G<ALT>)a<CTRL>#Hs<CTRL><ALT>e.3<ALT>wY .

Der Gewinn, den man durch die Benutzung der Metatasten erreicht ist also bescheiden und mit weniger als 10 Zufallzeichen ist auch so eine sichere Passphrase nicht zu erzeugen!

Strategie 2 : "sinnvolle" Zeichenketten

Ein deutschsprachiges Lexikon enthält vielleicht 60000 verschiedene Eintragungen, so dass man durch eine willkürliche Auswahl von 5 verschiedenen Worten wiederum genügend (nämlich 60000⁵ = 7,7 * 10²³) Kombinationen erzeugt.
Ihr sicheres Passwort Konnex_Proprätor_Einzelmitgliedschaft_Klassenlotterie_Subkultur hat nun aber eine Länge von 59 Zeichen. Das ist der Preis dafür, dass nun jedes der 5 Elemente sinnvoll ist und Sie sich nur noch die Reihenfolge merken müssen.

Ein einziges Wort aus einem Wörterbuch reicht sicher als Passphrase nicht aus. R. T. Williams beschreibt den Versuch mit der heutigen Computertechnologie (PC-486 und PGP-2.6.2) PGP-Passphrasen zu testen und kommt bei zwei Tests pro Sekunde in einem Tag leicht auf 172800 Worte, so dass jedes Wörterbuch damit erschöpfend durchforstet werden kann.

Will man nun ein einziges Wort als Passphrase verwenden, so ist es ratsam ein möglichst zufälliges Wort auszuwählen, das für niemanden außer Ihnen einen Sinn hat. GoIsl,AoBsb. wäre gar kein schlechter Kandidat für meine Passphrase, wenn niemand auf den Gedanken kommen könnte, dass sich dahinter das Kant-Zitat "Gedanken ohne Inhalt sind leer, Anschauungen ohne Begriffe sind blind." verbirgt, ein Gedanke, auf den die Menschen, die wissen, dass ich mich berufsmäßig mit Philosophie beschäftige, sicher verfallen werden, so dass diese Passphrase für mich wertlos ist. Gelingt es Ihnen aber eine solche "Abkürzung" zu erfinden, die niemand, der Sie kennt, vermuten würde, dann wäre das bei entsprechender Länge (und unter reichlicher Verwendung von <CTRL> <ALT>) eine gute Passphrase.

Unbrauchbare Passphrasen

FAZIT

Der Schutz ihrer PASS-PHRASE ist der entscheidende Faktor, der die Sicherheit von PGP bestimmt. Die Mühe, die Sie investieren, um eine gute Passphrase auszuwählen und um Ihre Arbeitsumgebung optimal zu schützen, aber auch das Bewußtsein für die Möglichkeiten praktischer Angriffe auf PGP, ist die Basis ihrer Sicherheit und die Basis für das Vertrauen anderer Menschen in den Wert kryptographischer Anwendungen wie PGP.

Beim DSS (Digital Signature Standard) wird nun die Größe der verwendeten Primzahl P auf 1024 Bit beschränkt, was im Vergleich zum RSA-Verfahren, bei dem üblicherweise 1024-2048 Bit Modulzahlen verwendet werden, als unbedeutende Einschränkung erscheint. Viel wichtiger aber ist für den Datenstrolch, dass dieser Standard auch den Zahlenbereich für den Secret-Key auf maximal 160-Bit einschränkt, denn so reicht es aus, einen relevanten Teil dieses Zahlenbereichs von 0 bis 2¹⁶⁰ zu untersuchen, wobei die Größe der Primzahl P nur den Rechenaufwand pro Test steigert, aber nicht die Menge der geheimen Schlüssel beeinflusst.

Der fragliche Zahlenbereich, aus dem der Secret-Key ausgewählt wird, ist zwar immer noch sehr groß, aber es wäre ein Missverständnis, die Länge des Secret-Keys mit der Länge des DSS-Schlüssels (der Länge der Primzahl) zu verwechseln. Außerdem könnte eine Analyse des Zufallszahlengenerators, mit dessen Hilfe die Secret-Keys erzeugt werden, Hinweise darauf geben, wie der Bereich möglicher Secret-Keys weiter einzuschränken wäre. Ob bei der Verschlüsselung mit Hilfe des ElGamal-Verfahrens auch eine Beschränkung der Anzahl der Secret-Keys stattfindet, wäre eine lohnenswerte Untersuchung, die für die Beurteilung der Sicherheit dieses Verfahrens relevant wäre.

Das neue Schlüssel-Format

Es wäre falsch, diesen Mechanismus lediglich als einen "komfortablen Ersatz" für die bereits existierende Möglichkeit der Verschlüsselung für Benutzergruppen misszuverstehen. Denn während die Nutzung dieser Möglichkeit "in einem Rutsch" eine vertrauliche Nachricht an verschiedene Personen zu senden auf einer freiwilligen Entscheidung des Absenders beruht, ist die Eintragung eines zweiten Schlüssels im Schlüsselzertifikat des Benutzers mit der Abschaffung seiner Privatsphäre im Netz gleichzusetzen. So sehr auch dieser Mechanismus den organisatorischen Bedürfnissen der Wirtschaft entsprechen mag, so fundamental widerspricht diese zwangsweise Hinterlegung einer für eine zentrale Aufsichtsbehörde lesbaren Kopie jeder vertraulichen Nachricht den legitimen Interessen der Benutzer nach einem wirksamen Schutz ihrer Privatsphäre und ihrer Persönlichkeit - und, wie ich meine, auch den ursprünglichen Absichten des Projekts Pretty Good Privacy.

Die offensichtlichen Gefahren, die sich aus der Abschaffung der Eigenverantwortlichkeit der Benutzer durch die Einführung dieses zwangsweisen Überwachungsmechanismus ergeben, werden v.a. dann wirksam, wenn unter dem Deckmantel der kryptographischen "Innovation" ein neues Schlüsselformat mit CAF schleichend eingeführt und anschließend im Rahmen gesetzlicher Regulierungsbemühungen als legales Schlüsselformat sanktioniert wird. Das legitime Interesse an Message-Recovery lässt sich nämlich auch auf der Basis von Eigenverantwortlichkeit des Adressaten durch "encryption to groups" lösen, ohne dass alle Absender von vertraulichen Nachrichten durch den Entmündigungsschlüssel gezwungen werden, eine lesbare Kopie bei einer zentralen Stelle zu hinterlegen. Wenn die Verantwortung für den sinnvollen Einsatz kryptographischer Verfahren weiterhin von eigenverantwortlichen Menschen wahrgenommen werden soll, ist es m. E. wesentlich, das alte Schlüsselformat ohne CAF (PGP-2.6.x) nicht nur weiterhin zu verwenden, sondern auch offensiv vor den drohenden Gefahren der neuen Möglichkeiten zu warnen, um ihre unreflektierte, schleichende Einführung ohne eine öffentliche Diskussion zu verhindern. Es ist zu hoffen, dass die Bemühungen um die Entwicklung eines offenen Standards für PGP (OpenPGP) dazu führen werden, dass eine Kopplung des öffentlichen Schlüssels eines Benutzers mit weiteren Schlüsseln definitiv ausgeschlossen werden kann.

Verweise auf andere Informationsquellen

• The Reliable Security Environment (RSE)
• International Cryptography
• Deutsche Anleitung zu PGP 5.0 für Anfänger von Kai Raven
• Das "Web of Trust" - Eine Einführung von Guido Gehlhaar
• Die PGP-Dokumentation in deutscher Übersetzung von Christopher Creutzig
• Inside PGP 5.0 - collected text von Laszlo Baranyi
• The Federal Information Standards Publication zum DIGITAL SIGNATURE STANDARD (DSS)
• The passphrase FAQ von Randall T. Williams
• Beschränkungen kryptographischer Verfahren sind verfassungswidrig
• The Internet Privacy Coalition
• PGP Attacks von W. Unruh
• Timing Attacks on Implementations of Diffie-Hellman, RSA, DSS, and Other Systems von Paul C. Kocher
• Practical Attacks on PGP von Joel McNamara
• Improving resistance against attacks von Patrick Feisthammel
• RSA Verschlüsselung - Die zahlentheoretischen Grundlagen
• The Math behind RSA
• Tutorial to security der Software SECUDE

DANKE !

-----BEGIN PGP SIGNATURE----- Version: 2.6.3ia Charset: noconv iQEVAwUBQOe7VL6wVDeIE49tAQGIMggA0mNrVPHIXeynxo3bFIJTP4wItaQ3ZGgR +q0pTa2l5/obOA2xGjFrZ91C70k38cJEDXTqHkZiziC/t22oXhqjM+rOBwPe0Lhj ZIvzDquB7SSeN7SmAtaYoXAJK3INC+Jk/QVFaBjpZ/Sip0ZAAIHJU2xAVTGPgGd8 MXLpvOM/E24701Z3/hBvld17ZMqyWpeeMioeSedaej7DOMnHL/amGSlbssLOz2Xe qRdVEChClk9ynzIY79WZ0eK9v33mCe14p/LwDDIw0vURmIAhZ1hyMcqEMUElACzl 6c0sD12vytC3eIVpHEvQeuaQ2mIV4ail62TqL9KvhfVwhKozWp4/Zw== =5oQW -----END PGP SIGNATURE----- -->