Sicherheit

Tagebuch eines Ahnungslosen – Mein Weg in die Verschlüsselung – Teil 6: Fingerprints?!

Tagebuch
geschrieben von Tobias Gillen

Seit einigen Wochen schon plagt es mich: das schlechte Gewissen. Jeden Tag kommen neue Dinge ans Licht, die illegalen Praktiken hinter NSA, GCHQ und BND werden immer weiter und tiefgründiger aufgedeckt. Und dennoch: Ich bin ahnungslos. PGP? SSL? Was-weiß-ich-was-für-eine-Abkürzung? Ich habe keine Ahnung von Verschlüsselung, Kryptologie und Co. Meine Daten sind ungeschützt. Bis jetzt. Denn nun wage ich mich endlich vor, raus aus der Lethargie und starte meinen Weg zur Verschlüsselung. In Teil 1 aus dem Tagebuch eines (noch) Ahnungslosen ging es um den Versuch, meine E-Mails zu verschlüsseln. Während in Teil 2 anschließend die ersten Tage mit PGP im Mittelpunkt standen, versuchte ich mich in Teil 3 an S/MIME. Nach der PGP-Verschlüsselung am Smartphone (Teil 4) widmete ich mich schließlich auch noch dem Thema mobiles S/MIME (Teil 5). Teil 6 beschäftigt sich nun mit der Frage: Was – verdammt nochmal – sind eigentlich Fingerprints?! Ihr dürft natürlich – wie immer – in den Kommentaren gerne helfen, korrigieren, verbessern – und so auch anderen helfen.

Liebes Tagebuch,

puh, das Ziel, meine Daten und Kommunikation so gut wie für einen Anfänger möglich zu verschlüsseln, hält mich ziemlich auf Trab. Nicht, weil es keinen Spaß machen würde (ja, das macht es wirklich, wenn die ersten Erfolgserlebnisse eintreten). Es ist vielmehr die schier unendliche Vielfalt an Möglichkeiten, die mich schafft. Je mehr ich in die Materie eindringe, desto interessanter wird sie. Je mehr ich davon verstehe, desto einfacher.

Und genau darum nehme ich mir noch viel vor: Ich wüsste gerne mehr über die Transport Layer Security (TLS), die besser bekannt ist als Secure Sockets Layer (SSL) und wohl – so meine ersten Versuche, mich einzulesen – dafür da sind, sicheres Surfen zu ermöglichen. Außerdem würde ich mir gerne mal anschauen, wie verschlüsselte Instant Messaging-Kommunikation funktioniert und wie man seine Daten eigentlich wirklich sicher mit einem Passwort schützt. Vorher aber möchte ich noch einen Begriff geklärt wissen, der mir bei meinen ersten Gehversuchen mit PGP und S/MIME immer wieder untergekommen ist: Fingerprints.

Sowohl bei den PGP-Keys – egal ob meinen eigenen oder den öffentlichen von anderen – als auch bei meinem S/MIME-Zertifikat wird mir in den Informationen der Punkt „Fingerprint“ angezeigt. Aber was soll in diesem Zusammenhang ein Fingerabdruck sein? Muss ich jetzt in einen Apple-Store und am iPhone 5s meinen Fingerabdruck mit dem Schlüsselpaar verknüpfen? Und überhaupt: Wieso sieht der Fingerabdruck so komisch aus?

Keine Hexerei

Der Fingerabdruck meines PGP-Keys ist 17BE 5062 B65E BEB3 95AC 37FB 6724 0081 1047 AF6D. Das sieht jetzt nicht gerade nach einem einzigartigem Muster auf meiner Fingerkuppe aus. Eher wie eine zufällig erstelle Code-Reihe. Die Suche nach meinem digitalen Fingerabdruck beginnt: Ich fange – wie fast immer – bei Google an.

Und das weiß mich direkt zu beruhigen: Fingerprints sind keine Hexerei – eigentlich ist das Thema eine ziemlich simple Sache, die ich schnell verstanden habe: Die digitalen Fingerabdrücke sind dafür da, die Echtheit eines Schlüssels zu überprüfen. Schließlich könnte theoretisch mein Schlüssel von Hackern, NSA, BND oder sonst wem manipuliert worden sein. Um nun vorzubeugen, dass ich darauf keine hochsensiblen Nachrichten bekomme, sollte mein Gegenüber verifizieren können, dass ich es wirklich bin.

Dazu gibt es Fingerprints. Sie sind in gewisser Weise eine Art Quersumme, die sich aus meinem Schlüssel und meiner Schlüssellänge ergeben. Und sie sind – damit das auch funktioniert – logischerweise öffentlich. Ein Beispiel: Wenn Anton eine Nachricht an Anja schicken möchte und ihren PGP-Key hat, kann er sich nicht sicher sein, dass dieser Key auch wirklich nicht zum Nachteil der beiden manipuliert worden ist. Aber: Anton hat Anjas Fingerprint – und kann das so überprüfen. Letztlich muss er dazu nur Anja kontaktieren und ihre Version des Fingerprints abgleichen. Wurde der Key modifiziert, müssten beide eine unterschiedliche Version der Zeichenabfolge haben. Ist der Key einmal verifiziert, kann Anton ihn mit seinem Schlüssel unterschreiben – sodass auch andere wissen: Dieser Schlüssel ist echt.

Fingerprints am Telefon

Eigentlich eine gute Sache, nur: Wie gleiche ich die Fingerabdrücke nun in der Praxis miteinander ab? Eine Möglichkeit wäre, dass ich meinen Fingerabdruck in mein Impressum oder auf meiner Kontaktseite veröffentliche. So müsste mein Gegenüber nur auf meine Website gehen und die Zeichenabfolge miteinander abgleichen. Grundsätzlich keine schlechte Idee, aber natürlich könnte auch meine Website geknackt und manipuliert worden sein. Davon würde ich eigentlich jetzt einfach mal absehen, aber ich bin ja angetreten, um es möglichst sicher zu haben. Also muss auch das sicherer gehen.

Man könnte sich die Fingerabdrücke nun gegenseitig per E-Mail zuschicken… Aber nein, lieber nicht. Besser wäre – und das ist zweifelsfrei die sicherste Variante – ich checke die Abfolge persönlich mit meinem Gegenüber. Da das zwecks räumlicher Distanz nicht immer möglich ist, kann ich auch auf das gute alte Telefon zurückgreifen und meinen Fingerprint vorlesen. Geht es wirklich um sehr sensible Daten, würde ich dringend zu dieser Möglichkeit raten. Ansonsten ist die Veröffentlichung auf der Website schon mal ein guter Anfang.

„Plötzlich klingelt es!

Wie oben angemerkt, können so die einzelnen Schlüssel unterschrieben werden – und das zwei Mal: Einmal von mir selbst und einmal von meinem Gegenüber. So weiß man: „Ah, dieser Schlüssel ist vertrauenswürdig.“ Und es entsteht langsam aber sicher etwas, das sich „Web of Trust“ nennt.

Plötzlich klingelt es! Im ersten Eintrag – der Wikipedia-Artikel, den ich nicht verstanden habe! Da habe ich „Web of Trust“ schon einmal gehört. Ich blättere ein paar Seiten zurück und finde den Satz, der sich auf PGP bezog:

„PGP basiert dabei auf dem sogenannten Web of Trust, bei dem es keine zentrale Zertifizierungsinstanz [Anmerkung des Autors: Wie bei S/MIME] gibt, sondern Vertrauen von den Benutzern selbst verwaltet wird.“

Freude kommt auf, ist das der Durchbruch? Ich habe einen Begriff verstanden, der mich am Anfang meines Experiments dazu veranlasst hat, zu schreiben:

„Hilft das jemandem weiter, der bei Null anfängt? Eher nicht. Also schnell weg. Am liebsten würde ich jetzt schon aufgeben, wozu das alles? Ich fühle mich dumm. Eigentlich bin ich Tech-Blogger, Medienjournalist. Ich beschäftige mich den ganzen Tag mit Apple, Facebook, Twitter und Co., lese Texte über die NSA und bin jedes Mal schockiert, wenn ich sehe, was der amerikanische Geheimdienst alles mitbekommen hat in den letzten Jahren. Und dennoch verstehe ich nicht einmal den Wikipedia-Artikel zum Thema E-Mail-Verschlüsselung.“

Es ist Zeit, das richtig zu stellen. Nun schlage ich zurück – und schaffe mir auch noch „Web of Trust“ drauf. Und nun muss ich endlich mal eine Lanze für die Wikipedia brechen: Die Idee hinter „Web of Trust“ – oder, zu deutsch: Netz des Vertrauens – ist hier wirklich verständlich erklärt. Und, zugegebenermaßen, auch nicht besonders schwer. Daher möchte ich hier aus der Wikipedia – leicht von mir vereinfacht – zitieren:

„Web of Trust ist in der Kryptologie die Idee, die Echtheit von digitalen Schlüsseln durch ein Netz von gegenseitigen Bestätigungen (Unterschriften), kombiniert mit dem individuell zugewiesenen Vertrauen in die Bestätigungen der anderen, zu sichern.“

Das bedeutet in der Praxis, dass ich die Echtheit des Schlüssels von einer mir unbekannten Person dadurch verifizieren kann, dass eine mir bekannte Person ihn schon mal „für echt“ (sic!) befunden hat. Auch um das konkreter zu machen, greife ich ein Beispiel der Wikipedia auf und passe es der Einfachheit halber an:

„Anton signiert den Schlüssel von Anja und vertraut Anjas Schlüsselsignaturen. Anja signiert den Schlüssel von Peter. Somit betrachtet Anton den Schlüssel von Peter als gültig.“

Selbst wenn Anton Peter nicht kennt, würde er seinen Schlüssel als gültig ansehen können, weil er Anja, die beide kennt, vertraut. Natürlich ist das Beispiel sehr einfach gehalten, aber wenn man davon ausgeht, dass nach dem „Kleine-Welt-Phänomen“ von Stanley Milgram aus dem Jahre 1967 jeder Mensch über durchschnittlich sechs bis sieben Ecken miteinander verbunden ist, dann wird aus der Idee schnell ein Schuh – und das „Web of Trust“ muss in seiner eigentlichen Bedeutung übersetzt werden, nämlich „Netz des Vertrauens“. Und nicht – wie anfänglich von mir angenommen – „Internet des Vertrauens“.

Puh, viel Stoff für heute. Auch wenn ich eigentlich „nur mal eben“ nachschauen wollte, was diese komischen Fingerprint-Codes für einen Zweck haben. Ich bin stolz: Wikipedia, langsam kann ich es mit dir aufnehmen!

Dein Tobias

Hinweis in eigener Sache: Das Tagebuch gibt es nun mit vielen weiteren nützlichen Tipps und Tricks als günstiges E-Book!


Vernetze dich mit uns!

Like uns auf Facebook oder folge uns bei Twitter


Über den Autor

Tobias Gillen

Tobias Gillen ist seit August 2014 Chefredakteur und seit Mai 2015 Geschäftsführer von BASIC thinking. Erreichen kann man ihn immer per E-Mail oder in den Netzwerken.

2 Kommentare

  • Hallo Tobias,

    erst mal viele Dank für die lange Reise durch das Land der Verschlüsselung und deinen tollen (und auch verständlichen) Reisebericht in Tagebuchform!

    Ich hätte da mal eine Frage: Bist du auf deinem bisherigen Reiseweg an einer Stelle vorbeigekommen, an der man Schüssel für komplette Organisationen (oder Unternehmens-Domains wie @xyz.de) erstellen kann?
    Ich weiß, das es so etwas gibt, habe aber den Weg dorthin noch nicht gefunden.

    Vielen Dank & noch gute Reise!
    Peter

Kommentieren