Zahlen, bitte! 48.187 Autogramme für mehr E-Mail-Sicherheit
Wer seine E-Mails vor den neugierigen Augen Dritter schützen möchte, braucht Ende-zu-Ende-Verschlüsselung. Das klappt mit Pretty Good Privacy, das außerdem erlaubt, Absender von E-Mails zuverlässig zu identifizieren.
- Markus Will
- Volker Zota
PGP (Pretty Good Privacy) wurde am 5. Juni 1991 von dem amerikanischen Krypto-Experten Phil Zimmermann veröffentlicht. Es ermöglicht jedem, seine Mails durch Verschlüsselung vor neugierigen Blicken Dritter zu schützen, was jedoch auch relativ schnell den amerikanischen Staat zur Intervention brachte. Laut dortiger Gesetzgebung benötigte Software mit einer symmetrischen Verschlüsselung von mehr als 40 Bit Schlüssellänge eine ausdrückliche Ausfuhrgenehmigung des Staates, worin PGP mit seiner damaligen 128-Bit-IDEA-Verschlüsselung durch die Veröffentlichung verstieß. Zimmermann wurde daraufhin verklagt, worauf dieser damit reagierte, dass er mit über 60 Freiwilligen den Quellcode in Buchform abtippen und als "PGP Source Code and Internals" veröffentlichen ließ, da in gedruckter Form diese Beschränkung nicht galt. 1995 wurde die Klage fallen gelassen.
Recht auf digitale Selbstbestimmung
Ein Jahr später gab es Überlegungen seitens der deutschen Bundesregierung, Verschlüsselungen generell zu überwachen. Die Krypto-Aktion war eine unmittelbare Reaktion darauf: Auf der CeBIT 1997 unterstützte der (damals noch) Heise Zeitschriften Verlag im Rahmen der c't-Krypto-Kampagne erstmals die PGP-basierte (später GnuPG) private Verschlüsselung von E-Mails.
Seit dem Start hat die c't-Krypto-Kampagne zur Förderung von E-Mail-Verschlüsselung 48.187 Signaturen erstellt. Diese verteilen sich auf drei bisher eingesetzte c't-Zertifikate. Die jüngste Zählung für dieses "Zahlen, bitte!" ergab sich folgende Verteilung:
c't-Zertifikat RSA 0xBB1D9F6D: 6.727 Signaturen, 5.187 Schlüssel
c't-Zertifikat DH 0xDBD245FCB3B2A12C: 30.929 Signaturen, 16.717 Schlüssel
c't-Zertifikat DH 0x2BAE3CF6DAFFB000: 10.531 Signaturen, 6.211 Schlüssel
Die 48.187 Signaturen entsprechen der Anzahl signierter Benutzerkennungen. Da ein Schlüssel mehrere Benutzerkennungen (also mehrere Emailadressen) haben kann, ist diese Anzahl höher als die Anzahl der 28.115 Schlüssel. DH (Diffie-Hellman) respektive RSA (Rivest, Shamir und Adleman) stehen dabei für das jeweils verwendete Verschlüsselungsverfahren.
Auch wenn das damalige Vorhaben der Bundesregierung längst Geschichte ist, fördern wir weiterhin das Recht auf digitale Selbstbestimmung, in dem wir auf Veranstaltungen beraten und als Zertifizierungsstelle (Certificate Authority) PGP-Schlüssel signieren. Die wichtigsten Fragen zur Krypto-Kampagne beantwortet die c't-FAQ.
Seit über 20 Jahren dabei: die c't-Krypto-Kampagne (6 Bilder)
Mehr Dynamik durch Snowden
Nach Edward Snowdens Enthüllungen über die Praktiken der US-amerkanischen Geheimdienste setzte eine spürbare Dynamik ein: Mussten wir vorher viel Überzeugungsarbeit leisten und ausführlich informieren, nehmen inzwischen mehr und besser informierte Nutzer Zertifizierungsangebote wie die c't-Krypto-Kampagne wahr. Nach Erhebungen des ITK-Branchenverbandes Bitkom stieg die Nutzung von E-Mail-Verschlüsselung in Deutschland im Zeitraum von 2013 bis 2016 immerhin von 6 auf 15 Prozent. Seit dem Jahr 2015 unterstützen auch Freemail-Angebot wie GMX oder Web.de PGP-Verschlüsselung.
Der eigene PGP-Schlüssel
Falls Sie auf die Krypto-Kampagne neugierig geworden sind: Wir sind auch auf der diesjährigen CeBIT für Sie da (Halle 6, B16). Alternativ können Sie Ihren Antrag zur Zertifizierung mittwochs zwischen 16:30 und 17:30 Uhr direkt im Heise HQ in Hannover abgeben (nicht während der CeBIT).
Kryptohelfer oder Universalexperte?
Als ich 2012 bei der Krypto-Kampagne anfing, lernte ich auf der CeBIT direkt, was es heißt, für c’t zu arbeiten: Auf meinem Namensschild stand "c't-Redaktion", sodass mich gleich am ersten Tag ein Leser nach einem "Ah, bei ihnen bin ich ja genau richtig!" mit spezifischen Fachfragen zum Thema Mobilfunk überhäufte ... und er blieb nicht der einzige. Ich bin gespannt, was die Besucher auf der diesjährigen CeBIT bewegt und freue mich auf spannende Gespräche. (vza)
