GnuPG ist nicht nur eine komplexe Software, sondern es gibt auch einige technische, gesellschaftliche und rechtliche Aspekte, die ber�cksichtigt werden sollten:
Technisch mu� es verschiedenen Situationen mit drastisch unterschiedlichen Sicherheitsanforderungen gerecht werden, was die Schl�sselverwaltung kompliziert.
Die Benutzung von GnuPG ist nicht unbedingt eine rein pers�nliche Entscheidung. Um GnuPG effektiv nutzen zu k�nnen, m�ssen beide miteinander kommunizierenden Seiten es benutzen.
Die Haltung der Gesetzgeber zur elektronischen Verschl�sselung und zu digitalen Signaturen unterscheidet sich von Land zu Land. Insbesondere die Frage einer legalen Benutzung von GnuPG bzw. Verschl�sselung im allgemeinen steht gegenw�rtig bei vielen nationalen Regierungen zur Debatte.
Einer der wichtigsten Gr�nde, GnuPG zu benutzen, ist der Schutz Ihrer Privatsph�re. Das bedeutet, da� Sie mit anderen korrespondieren k�nnen, ohne da� Dritte die M�glichkeit haben, mitzulesen, und da� Sie vertrauliche Daten auf Ihrem Rechner dem unbefugten Zugriff anderer entziehen k�nnen. Ebenso gibt Ihnen GnuPG die M�glichkeit, Ihre Daten (E-Mail) durch digitale Signaturen zu authentifizieren und deren Integrit�t zu sichern.
Wie Sie GnuPG benutzen, sollte von der Zielstrebigkeit und Findigkeit derer abh�ngen, die unerlaubt Ihre verschl�sselten Nachrichten mitlesen wollen. Ein solcher ``Lauscher'' kann ein neugieriger Systemadministrator sein, der Ihre E-Mails mitliest, es k�nnte ein Industriespion sein, der versucht, Ihre Firmengeheimnisse auszusp�hen, oder es k�nnte die Staatsanwaltschaft sein, die Ihnen auf den Fersen ist. Wenn Sie GnuPG benutzen, um mehr oder weniger zuf�lliges Mitlesen zu verhindern, wird das wahrscheinlich anders aussehen, als wenn Sie Ihre Daten gegen einen entschlossenen Angreifer sch�tzen wollen.
Tip: Ihr Ziel sollte es dabei sein, da� der Aufwand zur Entschl�sselung Ihrer Daten so gro� wird, da� der Wert der Daten diesen Aufwand nicht mehr rechtfertigt.
Wenn Sie GnuPG auf Ihren pers�nlichen Gebrauch abstimmen m�chten, sind vor allem vier Punkte wichtig:
Die Wahl der Schl�ssell�nge Ihres �ffentlichen und privaten Schl�sselpaars
Der Schutz Ihres geheimen Schl�ssels
Die Verfallsdaten Ihrer Schl�ssel und die Benutzung von Unterschl�sseln
Der Aufbau Ihres Web of Trust
Eine gut gew�hlte Schl�ssell�nge sch�tzt Sie gegen Brute-Force-Angriffe auf verschl�sselte Daten. Der Schutz Ihres privaten Schl�ssels hindert einen Angreifer daran, einfach Ihren privaten Schl�ssel zum Entschl�sseln von verschl�sselten Nachrichten zu verwenden und Nachrichten in Ihrem Namen zu unterschreiben. Ein sorgf�ltig aufgebautes Web of Trust verhindert, da� ein Unbefugter sich als einer Ihrer Korrespondenzpartner ausgeben kann.
Wichtig ist die Frage, welchen Aufwand Sie entsprechend Ihren Sicherheitsanforderungen betreiben m�chten, um Ihre Privatsph�re oder Ihre Firmendaten zu sch�tzen.
Die Wahl der Schl�ssell�nge h�ngt von der Art des jeweiligen Schl�ssels ab. Bei OpenPGP besteht ein Schl�sselbund gew�hnlich aus mehreren �ffentlichen und geheimen Schl�sseln. Es sollte zumindest einen Hauptschl�ssel zum Signieren und einen oder eventuell mehrere zus�tzliche Unterschl�ssel f�r die Verschl�sselung geben. Wenn man die Standardeinstellungen von GnuPG bei der Schl�sselerzeugung verwendet, ist der Hauptschl�ssel ein DSA-Schl�ssel, die Unterschl�ssel sind ElGamal-Schl�ssel.
DSA erlaubt eine Schl�ssell�nge bis zu 1024 Bit. Das ist angesichts der heutigen Rechenleistungen nicht besonders lang, entspricht jedoch dem Standard. Warum das so ist und warum ein DSA-Schl�ssel mit 1024 Bit zur Benutzung sogar empfohlen wird, geht aus dem folgenden Absatz hervor.
ElGamal-Schl�ssel andererseits k�nnen beliebig lang sein. GnuPG ist ein hybrides Verschl�sselungsverfahren mit �ffentlichem Schl�ssel. Der �ffentliche Schl�ssel wird zum Verschl�sseln eines 128-Bit-Sitzungsschl�ssels benutzt, und der private Schl�ssel wird zu dessen Entschl�sselung verwendet. Allerdings beeinflu�t die Schl�ssell�nge die Ver- und Entschl�sselungsgeschwindigkeit erheblich, da der Rechenaufwand bei diesen Algorithmen exponentiell mit der L�nge des Schl�ssels steigt. Au�erdem ist der praktische Nutzen eines gro�en Schl�ssels trotz seiner gr��eren Sicherheit durchaus zweifelhaft. Wenn der Schl�ssel lang genug ist, um einem Brute-Force-Angriff zu widerstehen, wird der Angreifer wahrscheinlich zu einer anderen Methode greifen, um an Ihre unverschl�sselten Daten zu gelangen. Es k�nnte ihm leichter fallen, in Ihre Wohnung oder Ihr B�ro einzudringen oder Sie m�glicherweise sogar zu �berfallen. 1024 Bit sind alles in allem eine zu empfehlende Schl�ssell�nge. Wenn Sie wirklich einen l�ngeren Schl�ssel brauchen, dann sollten Sie ohnehin einen Fachmann in Sachen Datensicherheit konsultieren.
Das Allerwichtigste bei der Benutzung von GnuPG ist der Schutz Ihres geheimen Schl�ssels. Wenn jemand Ihren geheimen Schl�ssel in die Hand bekommt, dann kann er damit alle f�r diesen Schl�ssel verschl�sselten Daten entschl�sseln, und er kann digitale Unterschriften in Ihrem Namen leisten. Wenn Sie Ihren geheimen Schl�ssel verlieren, sind Sie nicht l�nger imstande, Daten zu entschl�sseln, die f�r Sie verschl�sselt worden sind, und Sie k�nnen keine Unterschriften mehr leisten. Den geheimen Schl�ssels zu verlieren, ist eine Katastrophe f�r Ihre Datensicherheit.
Egal, wie Sie GnuPG benutzen, Sie sollten die Widerrufurkunde des �ffentlichen Schl�ssels und eine Sicherheitskopie Ihres geheimen Schl�ssels auf einem schreibgesch�tzten Datentr�ger - beispielsweise einer CD-ROM oder Diskette - speichern und an einem sicheren Ort aufbewahren, z. B. in einem Bankschlie�fach oder gut versteckt in Ihrer Wohnung. Um eventuellen Datentr�gerdefekten vorzubeugen, sollten Sie vielleicht auch jeweils einen ASCII-Ausdruck (*** gpg --armor) auf Papier aufbewahren. Was immer Sie tun, die Widerrufurkunde und die Sicherheitskopie Ihres geheimen Schl�ssels sollten auf Datentr�ger gebracht werden, die eine sichere Aufbewahrung so lange erm�glichen, wie Sie Ihren Schl�ssel voraussichtlich behalten werden, und Sie sollten diese sorgf�ltiger aufbewahren als die Kopie Ihres t�glich benutzten geheimen Schl�ssels.
Als weitere Sicherheitsma�nahme speichert GnuPG Ihren privaten Schl�ssel nicht in ``roher'' Form ab, sondern verschl�sselt ihn stattdessen unter Benutzung eines symmetrischen Verschl�sselungsverfahrens. Deshalb brauchen Sie das ``Mantra'', um mit Ihrem geheimen Schl�ssel zu entschl�sseln oder zu signieren. Somit m��te ein Angreifer gleich zwei Probleme l�sen, um Zugang zu Ihrem geheimen Schl�ssel zu bekommen:
Er m��te tats�chlich den Schl�ssel in die Hand bekommen.
Er m��te entweder dessen Verschl�sselung knacken oder an das Mantra kommen.
Die sichere Aufbewahrung Ihres geheimen Schl�ssels ist wichtig, doch auch mit einigem Aufwand verbunden. Im Idealfall w�rden Sie den geheimen Schl�ssel auf einem mobilen, schreibgesch�tzten Datentr�ger, wie z. B. einer Diskette, speichern und ihn auf einem nicht vernetzten Computer benutzen, zu dem nur Sie Zugang haben. Vielleicht ist das f�r Sie zu unbequem oder unm�glich. Vielleicht besitzen Sie auch keinen eigenen Computer und haben nur am Arbeitsplatz oder in der Schule Zugang zu einem Computer.
Das hei�t aber nicht, da� Sie nun GnuPG nicht benutzen k�nnen oder sollten. Sie haben sich nur entschieden, da� Ihnen Ihre Daten zwar wichtig genug sind, um sie zu verschl�sseln, aber nicht so wichtig, da� Sie besondere Ma�nahmen treffen m��ten, um die erste Barriere sicherer zu machen. Es ist letztlich Ihre Entscheidung, ob Ihr Sicherheitsanspruch damit schon erf�llt ist oder nicht.
Absolut unerl��lich ist ein gutes Mantra, wenn Sie GnuPG benutzen. Jeder Angreifer, der Zugang zu Ihrem geheimen Schl�ssel bekommt, mu� dann noch die Verschl�sselung Ihres geheimen Schl�ssels knacken. Es ist so gut wie sicher, da� ein Angreifer versuchen wird, das Mantra zu erraten, anstatt mit einem Brute-Force-Angriff den Schl�ssel selbst herauszufinden.
Es ist nicht gerade leicht, sich eine ausreichend gro�e Zahl von unzusammenh�ngenden Zeichen zu merken. Deshalb ist die Versuchung sehr gro�, ein Mantra zu w�hlen, das leichter zu erraten ist als ein nach dem Zufallsprinzip erstellter 128-Bit-Schl�ssel, und die meisten Leute erliegen dieser Versuchung, soda� es f�r einen Lauscher besonders verlockend ist, zu versuchen, das Mantra zu erraten. Aber wenn Sie sich wirklich im klaren dar�ber sind, da� Sie eine Verschl�sselung schlie�lich deshalb benutzen, weil Sie verhindern m�chten, da� man Ihre Daten mitlesen kann, dann werden Sie dieser Versuchung nicht erliegen und die notwendige M�he auf sich nehmen.
Wenn das Mantra aus einem normalen Wort besteht, dann ist es ein leichtes, alle W�rter in den W�rterb�chern s�mtlicher Sprachen der Welt auszuprobieren. Selbst wenn die Reihenfolge der Buchstaben oder Zeichen innerhalb des Wortes ver�ndert worden ist, ist es immer noch leicht, W�rter aus dem W�rterbuch mit einem Katalog von Permutationen auszuprobieren. Dasselbe Problem stellt sich bei Zitaten. Im Allgemeinen sind Mantras, die auf �u�erungen der nat�rlichen Sprache beruhen, schlechte Mantras, da ihre Zuf�lligkeit gering ist und da es in der nat�rlichen Sprache eine Menge Redundanz gibt. Sie sollten Mantras aus der nat�rlichen Sprache tunlichst vermeiden.
Ein gutes Mantra ist eines, das nur sehr schwer zu erraten ist, obwohl Sie es sich gut merken k�nnen. Es sollte Zeichen aus der ganzen Reihe der druckbaren Zeichen auf Ihrer gesamten Tastatur enthalten. Dazu geh�ren auch Gro�buchstaben, Ziffern und Sonderzeichen wie beispielsweise }, # oder ^.
Tip: Seien Sie kreativ und nehmen Sie sich ein wenig Zeit bei der Wahl Ihres Mantras! Eine gutes Mantra ist wichtig f�r die Sicherheit Ihrer Daten und somit auch Ihrer Privatsph�re oder Firmengeheimnisse!
Wenn Sie ein neues Schl�sselpaar erzeugen, werden standardm��ig ein DSA-Hauptschl�ssel zum Unterschreiben und ein ElGamal-Unterschl�ssel zum Entschl�sseln erzeugt. Dies ist von Vorteil, weil die Aufgaben der beiden Schl�ssel verschieden sind und es sinnvoll sein k�nnte, den beiden Schl�sseln verschiedene Verfallsdaten zu geben. Der DSA-Hauptschl�ssel wird benutzt, um digitale Unterschriften zu leisten, und er best�tigt Ihre Identit�t dadurch, da� andere ihn signiert haben. Der ElGamal-Unterschl�ssel wird nur benutzt, um an Sie geschickte verschl�sselte Daten zu entschl�sseln. Typischerweise sollte eine digitale Signatur eine lange oder unbegrenzte G�ltigkeitsdauer haben; Sie wollen ja auch die Unterschriften auf Ihrem Schl�ssel, die Sie m�hsam zusammengetragen haben, nicht verlieren. Andererseits sollte der ElGamal-Unterschl�ssel in gewissen Zeitabst�nden gewechselt werden, um Ihre Datensicherheit zu erh�hen, da ein Angreifer, wenn der ElGamal-Unterschl�ssel geknackt ist, alle Dokumente lesen kann, die f�r diesen Schl�ssel verschl�sselt worden sind oder es noch werden.
In der Regel sollten Sie also eine unbeschr�nkte G�ltigkeitsdauer f�r den DSA-Hauptschl�ssel w�hlen. Es gibt jedoch Gr�nde, weshalb Sie vielleicht doch ein Verfallsdatum f�r Ihren Hauptschl�ssel w�hlen sollten. Erstens kann es sein, da� Sie dem Schl�ssel nur eine beschr�nkte Geltungsdauer geben wollen, z. B., wenn Sie den Schl�ssel f�r ein zeitlich befristetes Ereignis wie etwa eine politische Kampagne benutzen wollen und danach nicht mehr. Ein weiterer Grund k�nnte in einer zus�tzlichen Vorsichtsma�nahme bestehen: Falls der Hauptschl�ssel kompromittiert wird (und Sie m�glicherweise auch keine Widerrufurkunde haben), w�rde ein Verfallsdatum den Schl�ssel genau an diesem Datum unbrauchbar werden lassen.
Tip: Einer solchen Kompromittierung sollten Sie jedoch m�glichst durch Sicherheitsvorkehrungen vorbeugen, wie in 4.1.2 beschrieben.
Das Erneuern von ElGamal-Unterschl�sseln ist zwar kein Problem, kann aber unbequem werden. Kurz vor dem Verfallsdatums sollten Sie einen neuen ElGamal-Unterschl�ssel erzeugen und die davon abgeleiteten �ffentlichen Schl�ssel bekannt geben. Diejenigen, die mit Ihnen korrespondieren wollen, m�ssen ja, sobald der alte Schl�ssel seine G�ltigkeit verliert, Ihren aktualisierten �ffentlichen Schl�ssel bekommen, da sie mit dem dann ung�ltigen Schl�ssel nicht mehr verschl�sseln k�nnen. Je nachdem, wie Sie die Verteilung Ihrer �ffentlichen Schl�ssel organisieren, kann dies eine m�hsame Angelegenheit werden. Sie m�ssen aber Gott sei Dank keine neuen Unterschriften einholen, um Ihren neuen Unterschl�ssel zu authentisieren. Eine Unterschrift mit Ihrem authentifizierten DSA-Hauptschl�ssel best�tigt die Echtheit des neuen Schl�ssels.
Die erzielte zus�tzliche Sicherheit mag diese Unbequemlichkeit wert sein oder nicht. Genauso wie Sie, kann ein erfolgreicher Angreifer immer noch alle Dokumente lesen, die mit einem verfallenen Unterschl�ssel verschl�sselt worden sind. Das Wechseln der Unterschl�ssel sch�tzt nur Dokumente, die Sie nach diesem Wechsel verschl�sseln. Um die mit dem neuen Unterschl�ssel verschl�sselten Dokumente zu lesen, m��te der Angreifer erneut in den Besitz Ihres Schl�ssels und ihres Mantras kommen.
Es ist auch nicht n�tig, mehr als einen g�ltigen Unterschl�ssel in einem Schl�sselbund zu haben. Man erzielt keine zus�tzliche Sicherheit dadurch, da� man zwei oder mehr aktive Unterschl�ssel hat. Es k�nnen nat�rlich mehrere verfallene Schl�ssel in einem Schl�sselbund sein, so da� in der Vergangenheit verschl�sselte Dokumente noch entschl�sselt werden k�nnen, doch braucht nie mehr als ein Unterschl�ssel aktiv zu sein.
Genauso wie beim Schutz Ihres geheimen Schl�ssels m�ssen Sie auch bei der Verwaltung Ihres Web of Trust zwischen Bequemlichkeit und Sicherheit abw�gen. Wenn Sie GnuPG lediglich zum Schutz gegen mehr oder weniger zuf�lliges Mitlesen und Dokumentenf�lschungen benutzen, dann k�nnen Sie relativ vertrauensvoll hinsichtlich der digitalen Signaturen anderer Leute sein. Wenn Sie sich allerdings Sorgen machen, da� ein zu allem entschlossener Angreifer an Ihren Firmendaten oder am Eindringen in Ihre Privatsph�re interessiert ist, dann sollten Sie die Unterschriften anderer sorgf�ltig pr�fen.
Ungeachtet Ihrer eigenen Sicherheitsbed�rfnisse sollten Sie jedoch beim Unterschreiben anderer Schl�ssel immer Sorgfalt walten lassen. Im Sinne des Web of Trust ist es nicht ratsam, einen Schl�ssel zu unterschreiben, dessen Authentizit�t Sie gerade noch so weit vertrauen, wie es f�r Ihr eigenes Sicherheitsbed�rfnis ausreichend ist. Andere, die einen h�heren Sicherheitsbedarf haben, sollten sich auf Ihre Unterschrift verlassen k�nnen. Wenn man sich auf Ihre Signatur nicht verlassen kann, dann schw�cht dies das Web of Trust und macht die Kommunikation f�r alle Benutzer von GnuPG schwieriger.
Tip: Lassen Sie also beim Unterschreiben von Schl�sseln dieselbe Sorgfalt walten, die Sie von anderen auch angewandt sehen m�chten, wenn Sie sich auf deren Unterschriften verlassen.
Bei der Verwaltung Ihres Web of Trust sollten Sie sich auf zwei Dinge konzentrieren: Einerseits auf die Frage, wessen Schl�ssel Sie gen�gend vertrauen, um sie selber zu signieren, und andererseits auf das Abstimmen der Optionen --marginals-needed und --completes-needed. Jeder Schl�ssel, den Sie pers�nlich signieren, wird als g�ltig betrachtet, deshalb ist es - au�er in kleinen Gruppen - keine gute Praxis, pers�nlich den Schl�ssel jeder Person zu unterschreiben, mit der Sie kommunizieren. Sinnvoller ist es, sich daran zu gew�hnen, den Unterschriften anderer zu vertrauen.
Es ist wahrscheinlich die beste Strategie, beim Unterzeichnen von Schl�sseln genau die Authentizit�t des Schl�ssels bzw. die Identit�t des Schl�sselbesitzers zu �berpr�fen und ansonsten durch Optionen zu bestimmen, wie sorgf�ltig GnuPG bei der Authentisierung sein soll. Ein konkretes Beispiel: Sie m�gen einigen wenigen engen Freunden voll vertrauen, von denen Sie wissen, da� diese beim Unterschreiben von Schl�sseln sorgf�ltig vorgehen; den weiteren Schl�sselbesitzern in Ihrem Schl�sselbund vertrauen Sie in dieser Hinsicht nur teilweise. Danach k�nnen Sie --completes-needed auf 1 und --marginals-needed auf 2 setzen. Wenn Sie hinsichtlich der Sicherheit st�rker besorgt sind, k�nnen Sie auch die Werte 1 bzw. 3 oder 2 bzw. 3 w�hlen. Wenn Sie allerdings mit einem weniger gro�en Vertrauen hinsichtlich der Authentizit�t auskommen wollen und nicht so sehr m�gliche Angriffe auf Ihre Privatsph�re oder Firmendaten bef�rchten, dann k�nnen Sie die Werte 1 und 1 einsetzen. Je h�her die Werte f�r diese Optionen sind, desto schwieriger ist es, Ihnen einen gef�lschten Schl�ssel unterzuschieben.