Gpg4win 2.0.3

Stammleser hier werden schon wissen, dass ich von Verschlüsselung nicht viel halte. Warum? Zunächst mal kann man sich dadurch wunderbar selbst austricksen, wenn man den Schlüssel „verlegt“ oder „verliert“. Man braucht nicht viel Fantasie, um sich entsprechende Szenarien vorzustellen. Der zweite Grund: Wenn jemand verschlüsselte E-mails verschickt, dann stösst er neugierige Überwacher geradezu mit der Nase darauf, dass er was verbergen will. Und es gibt bekanntlich andere Überwachungs-Methoden als das Knacken von Schlüsseln. Der langen Rede kurzer Sinn: ich habe Gpg4win nicht installiert und nicht ausprobiert; kann es also nicht beurteilen.

Zunächst mal ist Gpg4win kein einzelnes Programm, sondern ein Programm-Paket mit einzelnen Komponenten: GnuPG ist das eigentliche Programm, Kleopatra ist die Zertifikatsverwaltung, GpgOL ist eine Erweiterung für Outlook, GpgEX ist eine Erweiterung für den Explorer und Claws Mail ist ein E-mail-Programm.
Es stammt aus Deutschland, ist Open Source und kann von jedermann kostenlos verwendet werden. Es ist ausgezeichnet dokumentiert durch das „Kompendium“, in dem nicht nur die Bedienung des Programmpakets beschrieben ist, sondern in dem man auch noch allgemein was über Verschlüsselung lesen kann.

Die Entwicklung von Gpg4win wurde unterstützt vom Bundesministerium für Wirtschaft und Technologie und vom Bundesamt für Sicherheit in der Informationstechnik (BSI).
[Für manche evtl. ein Grund, das Programm in Deutschland gerade nicht zu benutzen.  😉 ]

Advertisements

12 Antworten to “Gpg4win 2.0.3”

  1. snoopy1alpha Says:

    Ich glaube ich hab das schonmal in irgendeinem Beitrag kommentiert, aber doppelt hält besser 😉

    Verschlüsselung ist dann wichtig, wenn z.B. wichtige interne Dokumente verschickt werden müssen, die nicht für unbefugte Augen bestimmt sind. Daher ist das für viele Firmen ein unabdingbares Feature (zumindest sollte es das sein), weil damit auch Datenlecks verhindert werden können.

    Auch im privaten Umfeld würde ich mich wohler fühlen, wenn ich manche Mails verschlüsselt erhalten würde. Dazu zählen z.B. diverse Rechnungen, die ich per Mail erhalte, seien es Telefonrechnungen aber auch eBay-Bestätigungen. E-Mails sind öffentlicher als Postkarten, und selbst die sind von jedem, der sie in die Finger bekommt zu lesen. Das ist vielen leider nicht bewusst.

    Für den Fall, dass Daten verschlüsselt werden sollen, ohne dass man merkt, dass verschlüsselte Daten übertragen werden, kann man sich der Technik der Steganographie bedienen (dazu hast du auch mal ein Programm vorgestellt). Dabei steht die Verschlüsselung allerdings eher an zweiter Stelle. In erster Linie geht es dabei darum Informationen zu verstecken. Dazu bedient man sich unscheinbarer Container, wie Musikdateien, Bilder oder Videos.

    Am leichtesten geht das mit Bildern, weil man recht einfach Informationen in den einzelnen Pixeln verstecken kann, indem man die einzelnen Farbwerte (rot, grün blau) auf dem niederwertigsten Bit manipuliert. Dadurch ändert sich die Farbe nicht sichtbar und das Bild sieht (für den Menschen) nach der Prozedur genauso aus, wie vorher. Die zu versteckende Information kann dabei, basierend auf einem Passwort, „zufällig“ im Bild verteilt werden. Dies könnte man als „Verschlüsselung“ ansehen.

    Ich habe vor geraumer Zeit mal, basierend auf der oben beschriebenen Idee ein kleines Programm in Java geschrieben. Ich kam leider noch nicht dazu es zu verbessern. Wer sich dafür interessiert kann es sich unter dem folgenden Link gerne mal anschauen: https://userpages.uni-koblenz.de/~strauss/vecna/ (Englisch)

    Das von mir verwendete Verfahren zur Verteilung der Information ist allerdings ein wenig langsam. Ich verwende außerdem auch den Alpha-Kanal (Transparenz) um Informationen zu verstecken. Dieser hat i.d.R. aber für alle Pixel den gleichen Wert. Manipuliert man einige der Pixel, kann ein Computer ganz leicht sehen, dass versteckte Informationen vorhanden sind. Ähnliches gilt für Bilder mit gleichfarbigen Flächen. Für die nächste Version ist geplant, man sich aussuchen kann, ob man den Kanal mit benutzen will. Am besten geeignet sind Fotos, da dort i.d.R. viele Farben vorkommen und so gut wie keine gleichfarbige Flächen vorkommen. Hat das Foto eine etwas schlechtere JPEG-Qualität (Das sieht man an Kanten besonders deutlich), ist es noch besser geeignet. Die vom Programm ausgegebenen Bilder haben übrigens das PNG-Format (JPEG ist nicht verlustfrei, was das pixelbasierte Verfahren unbrauchbar machen würde).

  2. lotharf Says:

    Ich habe Vecna ausprobiert; es funktioniert einwandfrei.
    Und es dürfte sich auch niemand besonders dafür interessieren, wenn ihr euch gegenseitig ein paar schöne Schnappschüsse zuschickt.
    Zum Download beim Link das „s“ von „https“ entfernen.

    • snoopy1alpha Says:

      Hi,

      Danke dass du dir die Zeit genommen hast es auszuprobieren 😉 Die meisten, denen ich es zeige sagen zwar „ja, cool“, aber können sich nichtmal zum Testen durchringen. Lies dir aber die „Known Issues“ durch, bevor du es wirklich benutzt. Das mit dem Alpha-Kanal ist nicht zu unterschätzen. Ich hab den deswegen erlaubt, weil sich a) 4 Bit pro Pixel besser „anfühlen“ als 3 und b) 33% mehr Platz vorhanden ist.

      Der https-Download sollte eigentlich klappen (er tut es bei mir zumindest). Sobald die nächste Version raus ist, werde ich dir Bescheid geben (ich hab leider deine Mailadresse verlegt), aber das könnte noch ein wenig dauern, da ich derzeit keine Zeit für private Projekte habe (auch wenns auf der Uni gehostet ist, ist es trotzdem ein privates Projekt).

      Hast du eigentlich die jar oder die exe genommen? Die exe ist eigentlich nur ein Gimmick mit dem Nachteil, dass die Konsolenausgabe nicht funktioniert.

      Das praktische an dem Programm ist ja, dass man da wirklich beliebige Daten verstecken kann. Ich habe z.B. schon Zip-Dateien in Bilder gepackt. (Die Zip muss natürlich hinreichend klein bzw. das Bild hinreichend groß sein).

    • lotharf Says:

      Ich habe die .jar Datei herunter geladen, da ich ja überall Java installiert habe.
      Als ich den Link zum ersten Mal angeklickt habe, hat der Fox rumgemotzt wegen fehlender oder unzulässiger Signatur usw. Also bin ich dann mit Http rein. Jetzt gerade habe ich den Link noch einmal angeklickt und habe sofort eine Https-Verbindung bekommen. Schon seltsam.
      Und übrigens: die Geschwindigkeit dürfte heutzutage absolut kein Problem mehr sein.

      • snoopy1alpha Says:

        Ach das liegt am Uni-Zertifikat. Unsere Uni ist arm und die können es sich nicht leisten das Zertifikat signieren zu lassen, daher die Warnung. Da ich meiner Uni traue, hab ich das Zertifikat installiert.

  3. Anonymous Says:

    Sicher alles schön und gut aber in der Praxis aufwändig und dann besteht noch das Problem das sich für private Mails kaum jemand interessiert (Zeitverschwendung) aber berufliche Schnüffler fallen natürlich auch zu viele Bilddateien schnell auf?!! Passwort halt ich da doch für effektiver…z.B. verschlüssel ich mein gesamtes System mit mindestens 26 verschiedenen Zeichen und brauchte nur ein paar Tage bis der Notizzettel ins Klo ging. Da ich das Passwort bei jeden Systemstart eingebe besteht auch keine Vergessgefahr….sonst wird duster für mich wie vor allen für den Schnüffler….

    • lotharf Says:

      Na hoffentlich liegst du nicht mal durch irgend ein Ereignis für eine Woche flach. Einen 2-wöchigen Urlaub würde ich dir schon gar nicht empfehlen. 😉
      Und ausserdem – wenn du hier verrätst, dass dein Passwort 26 Zeichen lang ist und diese auch noch alle verschieden sind, dann ist dieses Passwort ja fast schon geknackt.

  4. Anonymous Says:

    das ist nun quatsch…sagte mindestens….sehe da einen kleinen Unterschied!!!!! Und für den Fall der Fälle gibt es genug Möglichkeiten…….

  5. Anonymous Says:

    aber diese Möglichkeiten sind individuell und bedürfen keiner Erklärung…..aber gut wenn du Lust hast schick ich dir ein kleines Knackproblem und spende 300€ für deinen Server wenn du es entschlüsselts…sagen wir innerhalb dieses Jahres…andernfalls must du an Greenpeace was spenden….Oki????

  6. Anonymous Says:

    nagut, ist bereits alles gesagt nur noch nicht von jeden…

  7. Rainer Says:

    @snoopy1alpha: Die Steganographie dient – wie Du sagtest – in erster Linie dazu, niemanden auf eine mögliche wichtige Nachricht aufmerksam zu machen. Aber wenn jemand sucht, kann er die Nachricht mehr oder weniger problemlos lesen, abgesehen von der Kodierung, z.B. das jeweils niedrigste Bit als Bitstrom. Das ist aber keine Verschlüsselung.

    Eine gute Methode ist tatsächlich, wenn man beides kombiniert. Aber um das Passwort auszutauschen, benötigt man einen zusätzlichen sicheren Kommunikationskanal für den Passwortaustausch. Zugegeben, GnuPG hat hier fast dieselben Nachteile: für Bestätigung der Identität benötigt man ebenfalls einen sicheren Kanal. Und bei Kompromittierung des Schlüssels sind alle bis dahin gesendeten (und abgefangenen) Nachrichten für den Schlüsseldieb lesbar.
    Dafür hat GnuPG den Vorteil des gegenseitigen Vertrauens, so dass nicht immer mit dem eigentlichen Empfänger eine Bestätigung der Identität erfolgen muss. Außerdem lassen sich Nachrichten signieren und somit die Echtheit des Absenders zeigen.

    Für direkte Unterhaltungen (Instant Messaging, IM) nutze ich aber lieber OTR (bzw. etwas ähnliches). Das verwendet dasselbe Prinzip der asymmetrischen Verschlüsselung, jedoch wird für jede Unterhaltung ein eigener (symmetrischer) Schlüssel ausgehandelt, der anschließend weggeworfen wird. Nach Beendigung der Unterhaltung lassen sich im Gegensatz zu GnuPG keinerlei Nachrichten mehr entschlüsseln. Selbst wenn jemand alle Daten abgefangen hat und anschließend in den Besitz der beiden asymmetrischen Schlüssel kommt, kann er nix damit anfangen.
    Der einzige Angriffspunkt besteht hier wie bei GnuPG in der Bestätigung der Identität, wo weiterhin ein unabhängiger oder sicherer Kanal benötigt wird.

    So, alles in allem nutze ich IM-Verschlüsselung, wo immer es geht, sowie GnuPG mit allen Kontakten, die es ebenfalls einsetzen. Da kann man sich schon insoweit sicher fühlen, als dass die Daten – sollten sie irgendwo zwischengespeichert werden – nicht ohne größeren Aufwand verwendet werden können. Klar, das CIA könnte da wohl in wenigen Stunden meine Mails dekodieren, aber nicht der Provider. Hm, vielleicht auch Google, aber dafür ist der eingehende Datenstrom zu groß.

  8. Rainer Says:

    Dasselbe wie Vecna, aber mit dem Unterschied, dass nur Textnachrichten zu verschlüsseln sind, findet sich hier: http://mozaiq.org/encrypt/ Allerdings ohne Quellcode.

    @snoopy1alpha: Dein Tool sieht interessant aus. Ich schau mir das mal in der nächsten Zeit an, da könnte man sicher noch einiges einbauen oder verbessern. Übrigens, die .exe läuft bei mir (Win7 x64) nicht. Die Jar aber schon. Installiert sind beide Java-Runtimes (32 und 64 Bit).

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s


%d Bloggern gefällt das: