DEUTSCHE PGP ANLEITUNG

PGP 6.5.X oder "Die neuen Funktionen der PGP 6.5.X Versionen" 

Dieser Text geht vom Einsatz der PGP Version 6.5.X Personal Privacy aus.

Erstellung von selbstentschlüsselnden Archiven (SDA)

Neben den bekannten Verschlüsselungswegen ist mit PGP 6.5.X eine neue Verschlüsselungsform eingeführt worden.
Über die SDA´s werden einzelne Dateien oder Verzeichnisse nach Eingabe eines Passwortes konventionell (also ohne den Public Key des Empfängers) verschlüsselt und komprimiert. Die so behandelten Daten liegen danach als ausführbare Archivdatei vor, deren Inhalte (Dateien und Verzeichnisse) nach Eingabe des Passwortes entschlüsselt und dekomprimiert werden.
Dieser Verschlüsselungsweg eignet sich zur Kommunikation mit Empfängern, die selbst kein PGP einsetzen. Natürlich setzt der Gebrauch von SDA´s voraus, dass das Passwort vorher über einen "sicheren Kanal" ausgetauscht wurde.
Welcher Algorithmus dabei zum Einsatz kommt, ist in der Dokumentation nicht angegeben.
Im Manual zur MacOS Version heisst es aber:

"The self-decrypting archives created on a Mac with work on either PowerPC and 68K Macs, and are encrypted using the CAST algorithm."

Anmerkung:
Man sollte sich darüber klar sein, dass nicht jedes PGP Archiv, das man als E-Mail Attachement erhält, wirklich ein PGP Archiv ist, sondern auch einen Virus enthalten kann: Eine Datei im verschlüsselten Archiv kann mit einem Virus infiziert sein, das SDA als ausführbare Datei kann selbst infiziert sein oder über die Extraktion wird ein ausführbares Virus auf dem Computer installiert.
Deshalb erscheint es ratsam, vor und nach dem Öffnen zuerst auf Viren zu scannen, oder ein Attachement, das als PGP Archiv daherkommt, aber aus unsicherer, bzw. unbekannter Quelle stammt, erst gar nicht zu öffnen.

Vorgehensweise:

  1. über die PGPtools oder das Explorerkontextmenü PGP die Funktion "encrypt" aufrufen
  2. Checkbox "Self Decrypting Archive" aktivieren (dabei wird automatisch auch die Checkbox Conventional Encryption aktiviert und das Empfängerauswahlfenster abgeblendet)
  3. Nach Bestätigung mit "OK" 2x das gewählte Passwort eingeben

Hot Keys

In den Optionen können Hotkeykombinationen für die Funktion Use current window (die Inhalte des aktiven Fensters eines Programmes werden entschlüsselt, verschlüsselt und/oder signiert)festgelegt werden.
Die gleichen Funktionen sind nach wie vor über PGPtray zu erreichen.

Bevorzugt man das Caching der Passphrase über einen längeren Zeitraum, kann man auch eine Hotkeykombination für das Leeren des Passphrase-Speichers eingeben.

PGPtray Options/Hotkeys:

Purge passhrase caches Passphrase Speicher leeren
Encrypt current window Inhalt des aktiven Fensters verschlüsseln
Sign current window Inhalt des aktiven Fensters signieren
Encrypt & Sign current window Inhalt des aktiven Fensters verschlüsseln & signieren
Decrypt & Verify current window Inhalt des aktiven Fensters entschlüsseln und überprüfen

Biometrische Fingerprint Wortliste

Der Fingerprint eines Public Keys kann als Hexadezimalwert oder als Wortliste dargestellt werden.
Phil Zimmermann hat dafür den Begriff "Biometrische Wortliste" gewählt, in Anlehnung an den Gebrauch von Wörtern im militärischen Bereich zur Übermittlung von Informationen und der biometrischen Identifizierungmethoden wie Irisscan, Fingerabdruck, Stimmenprofil und Gesichtsgeometrie.
Der Zweck liegt darin, die Fehleranfälligkeit bei dem Austausch der Fingerprints durch Vorsagen der Hexadezimalzahlen zu minimieren, da Wörter eindeutiger seien als eine alphanumerische Reihe. Dementsprechend gibt es 256 verschiedene Wörter für 255 verschiedene Bytekombinationen.
Die Anzeige der "Biometrischen" Fingerprintwortliste erreicht man über den Aufruf der Key Properties.

Löschung des freien Festplattenplatzes per Zeitplan

Wie bisher kann man Daten mittels PGP über das Explorerkontextmenü und über die PGPtools löschen.
Neu hinzugekommen ist die Möglichkeit, das Löschen der freien Bereiche einer Fetsplatte oder Partition über den Taskplaner zu automatisieren.

Vorgehensweise:

  1. Aufruf der PGPtools
  2. "Freespace Wipe" anklicken
  3. in der Laufliste das Laufwerk ("Wipe drive:") und die Anzahl der Überschreibungsrunden ("passes") angeben
  4. Button "Schedule" anklicken oder
    Button "Beginn Wipe", wenn eine einmalige Löschung vorgenommen werden soll
  5. den Zeitplan nach eigenen Bedürfnissen konfigurieren

Anmerkung:
PGP erlaubt bis zu 32 Runden, d. h. der freie Bereich wird 32 x überschrieben.
Laut PGP sei bekannt, dass Firmen, die sich mit der Wiederherstellung von Daten beschäftigen, Daten rekonstruieren können, die bis zu 9x überschrieben wurden, so dass man hier einen Wert > 9 eintragen sollte.
Während des Löschens und Überschreibens müssen alle anderen Applikationen geschlossen werden, da der Free Space Wipeprozess durch andere Schreibprozess anderer Applikationen zurückgesetzt wird.
Um eine 100% Löschung des Datenbestandes zu erreichen, z. B. wenn die Festplatte abgegeben wird, sollte man die grösste Rundenzahl wählen, zusätzlich ein weiteres Löschprogramm anwenden und abschliessend die Einträge der Dateinamen löschen.
Soll die Festplatte entsorgt werden, ist ebenfalls so zu verfahren, zusätzlich kann man die Festplatte noch mit einem starken Magneten behandeln, zerkratzen, einstampfen, kleinraspeln und einschmelzen (wie es die NSA mit ihren Festplatten macht);-)

Virtual Private Network (VPN)

Ein virtuelles privates Netzwerk ermöglicht einem Benutzer von einer privaten Lokalität über das Internet eine sichere Verbindung ("Secure Association" SA) zu anderen Benutzern oder Firmen und Organisationen in der Art herzustellen, als würde sich der Benutzer im Intranet einer Firma befinden oder er und ein weiterer Benutzer hätten ein eigenes Intranet aufgebaut und gehörten zum gleichen Netzwerk.
Das Internet wird quasi zur Auslagerung des firmeninternen Netzwerkes, man könnte auch sagen, im Netz des Internets als Transportmedium wird für diese Verbindung ein zweites, temporäres Netz angelegt, in dem die zwei Rechner zweier Benutzer, der Rechner eines Benutzer und der Rechner eines Intranetzes oder die Rechner zweier verschiedener Intranets kommunizieren.
Das Besondere am VPN ist, dass für diese Verbindung zwei spezielle Protokolle eingesetzt werden.
Das erste Protokoll heisst "IPsec (Internet Protokol Security)-Protokoll", das sich wiederum aus dem Encapsulating Security Payload (ESP) und Authenticated Header (AH) Protokoll zusammensetzt.
Der sogenannte Authentication Header (AH) definiert dabei den Hash (kryptografisch gebildete Prüfsumme)des gesammten IP-Paketes zur Itegritätskontrolle, während der Encapsulating Security Payload Header (ESP) die Art und Weise definiert, wie die eigentlichen Daten verschlüsselt zu übertragen sind.
ESP erlaubt den Tunnel Mode und den Transport Mode.
Beim Tunnel Mode wird das gesamte IP-Paket inklusive IP-Header des eigentlichen Zielrechners verschlüsselt dem ESP-Header angehängt, der äussere Header trägt dabei IP-Adresse eines Gatewayrechners, so dass die IP Pakete durch den Gateway zum Zielrechner wie durch einen verschlüsselten Tunnel übertragen werden. Beim Transport Mode werden nur TCP,UDP und ICMP verschlüsselt dem Header angehängt.
Das zweite Protokoll heisst "Internet Key Exchange (IKE) Protokoll", in dem festgelegt wird, welche Algorithmen und Schlüssel zur wechselseitigen Authentifizierungs- und Schlüsselaustauschphase und zur anschliessenden Verschlüsselung der zu übertragenden Nutzungsdaten verwendet werden.
"PGPnet" als VPN basiert auf dem IPsec- und IKE-Protokoll und stellt gelichzeitig unter der gleichen Bezeichnung "PGPnet" die Applikation zur Verwaltung der VPNs dar.
Voraussetzung zur Nutzung von PGPnet für Einzelbenutzer mit Einwahlverbindung und dynamischer IP-Adresse ist die Kenntnis der eigenen wie auch der IP-Adresse des Zielnetzes, Gateways oder Kommunikationspartners.

PGPnet arbeitet mit Gauntlet VPN, Cisco Routern (ab Cisco IOS 12.0(4) mit IPSec TripleDES) und Linux FreeS/WAN zusammen und unterstützt die Verwendung von OpenPGP Keys und X.509 Zertifikaten zur Authentifizierung.