Bei Netzaktivisten steht sie ganz oben auf der Agenda. Bei Strafverfolgungsbehörden auch: Die Verschlüsselung von Internet-Kommunikation. Erstere wollen die Kryptografie bekannter und sicherer machen. Und Polizei sowie Geheimdienste würden sie bei Bedarf auch gern umgehen können. Messenger-Apps wie WhatsApp haben seit Jahren Verschlüsselungsalgorithmen integriert. Bei E-Mails nutzen aber nur 16 Prozent der Deutschen Verschlüsselungsverfahren.
Asymetrische Mail-Verschlüsselung
Wenn Mails verschlüsselt werden, kommen fast immer sehr sicherer Verfahren wie PGP (Pretty Good Privacy) oder die quelloffene Variante GnuPG zum Einsatz. Diese Programme funktionieren asymetrisch. Das heißt, sie arbeiten mit Schlüsseln, die aus einem öffentlichem und einem privatem Teil bestehen.
Der öffentliche Teil ist dabei wie eine Art personalisiertes Schloss. Dessen Bauplan kann jeder erfahren, er wird zertifiziert. Das bedeutet: Eine als vertrauenswürdig geltende Stelle bestätigt den öffentlichen Schlüsselteil als echt und zum Empfänger gehörend. Danach kann man ihn verteilen und dafür zum Beispiel auf einen öffentlichen Server laden. Wer eine Mail an diesen Empfänger schreiben möchte, lädt sich also quasi den Bauplan des Schlosses herunter und verschlüsselt damit die Mail. Öffnen – und damit die Mail wieder lesbar machen – kann dieses Schloss jedoch nur der Besitzer des zugehörigen privaten Schlüssels.
PGP-Angriff über Zertifikate
Die öffentlichen Keyserver haben aber einen eklatanten Mangel. Und der liegt bei der Zertifizierung. Das hat ein gezielter Angriff auf zwei PGP-Pioniere gezeigt:
Bei den Keyservern kann jeder diese Schlüssel zertifizieren, die da öffentlich liegen. Das wird dann nicht weiter kontrolliert. Und dann haben Leute angefangen, Schlüssel mit mehreren hunderttausend Zertifikaten zu versehen. Was dazu führt, dass die Verschlüsselungsprogramme abstürzen. – Jürgen Kuri, heise online
Welche Lösungen es gegen den PGP-Angriff gibt, klärt Jürgen Kuri von heise online im Gespräch mit detektor.fm-Moderator Christian Erll. Außerdem geht es um die Frage, warum sich die Strafverfolgungsbehörden aktuell auf Messenger-Apps konzentrieren. Und wie sie dort die Ende-zu-Ende-Verschlüsselung aushebeln wollen.