Nachrichtensicherheit

Nachrichtensicherheit ist die Praxis, den Inhalt von Nachrichten auf einem eigenen Gerät zu verschlüsseln, sodass diese nur von gewünschten Adressaten gelesen werden können. Während Netzwerksicherheit und Gerätesicherheit wichtig sind, ist diese Art von Nachrichtenverschlüsselung in vielen Situation notwendig:

  • Vertraulichkeit: Nachrichtenverschlüsselung ist die einzige Möglichkeit, um sicherzustellen, dass Nachrichten nur von gewollten Empfänger*innen gelesen werden können.
  • Unverfälschtheit: Nachrichtenverschlüsselung ist die einzige Möglichkeit, die Identität von Kommunikationspartnern zu überprüfen.

Die Anwendung kann allerdings eine Herausforderung sein:

  • Du musst ein Gerät besitzen: Die Idee ist, keiner anderen Partei zu vertrauen, Kommunikation für Dich zu verschlüsseln. Alle Verschlüsselung muss daher auf einem Gerät unter Deiner Kontrolle stattfinden.
  • Hohe Lernkurve: Um Verschlüsselungssoftware richtig zu bedienen, müssen einige Verschlüsselungskonzepte erlernt werden, z.B. öffentliche und private Schlüssel, Schlüsselbunde, etc.
  • Begrenzter Empfänger_innenkreis: Nachrichtenverschlüsselung kannst Du nur sicher mit Menschen nutzen, welche dieselbe Software verwenden.

Diese Sicherheitsgarantien treffen selbstverständlich nicht zu, wenn Dein Gerät kompromittiert wurde.

Über Nachrichenverschlüsselung

Nachrichtenverschlüsselung meint hier Kryptographie mit öffentlichem Schlüssel. So funktioniert’s:

  • privater Schlüssel: Alle haben ihren eigenen privaten Schlüssel. Wie der Name andeutet, muss dieser Schlüssel privat bleiben. Damit kannst Du an Dich verschlüsselte Nachrichten entschlüsseln.
  • öffentlicher Schlüssel: Alle haben zudem einen öffentlichen Schlüssel. Dieser wird meist breit veröffentlicht. Andere verwenden ihn, um Nachrichten an Dich zu verschlüsseln. Diese können nur mit dem zughörigen privaten Schlüssel entschlüsselt werden.

Tipps zum Erlernen von Nachrichtenverschlüsselung

Obwohl sie das höchste Maß an Sicherheit bietet, ist die Anwendung von Nachrichenverschlüsselung immer noch ein Abenteuer. Um es weniger abschreckend zu machen, schlagen wir folgende Tipps vor:

  • Langfristig dran bleiben: Verschlüsselung mit öffentlichen Schlüsseln ist ein langfristiges Unterfangen, für das verschiedene Fähigkeiten und Begriffe gelernt werden müssen. Die großflächige Anwendung ist ein langer Weg, also kann es wie einge Menge Arbeit ohne Nutzen erscheiden.
  • Finde Verschlüsselungspartner_innen: wenn Du jemensch mit der Fähigkeit GPG zu benutzen, gefunden hast, versucht, nur noch verschlüsselt zu kommunizieren.
  • Finde Befürworter_innen: wer sich damit auskennt, versucht meist andere zu überzeugen. Finde Menschen, die Deine Fragen beantworten können.

OpenPGP: optimales Vorgehen

  1. Über diese Anleitung
  2. Freie Software verwenden und auf dem neusten Stand halten
  3. Einen Schlüsselserver auswählen und den eigenen Rechner so konfigurieren, dass der Schlüsselbund aktualisiert wird.
    1. Benutze den sks-Schlüsselserververbund statt eines einzelnen Servers und sichere Verbindungen
    2. Sicherstellen, dass alle Schlüssel über den Schlüsselserver aktualisiert werden, den Du angegeben hast
    3. Verwende parcimonie um Deine Schlüssel zu aktualisieren.
    4. Schlüsseln von Schlüsselservern nicht blind vertrauen
    5. Verlasse Dich nicht auf die Schlüssel-ID (keyid).
  4. Schlüsselkonfiguration.
    1. Verwende einen starken primären Schlüssel
    2. Verwende ein Ablaufdatum von unter zwei Jahren
    3. Erstelle einen Erinnerungstermin, der Dich an das Ablaufdatum erinnert
    4. Erstelle ein Widerrufszertifikat
    5. Nutze den primären Schlüssel nur zur Zertifizierung (und evtl. zum Signieren). Nutze einen separaten Unterschlüssel zum Verschlüsseln.
    6. Benutze einen separaten Unterschlüssel zum Signieren
    7. Benutze den primären Schlüssel ausschließlich offline
    8. OpenPGP Schlüssel überprüfen
      1. Vergewissere Dich, dass Dein Schlüssel OpenPGPv4 ist
      2. Primäre Schlüssel sollten mit RSA, ideal 3072 Bit, erstellt werden.
      3. Eigensignaturen sollten nicht nur MD5 verwenden
      4. Eigensignaturen sollten nicht nur SHA1 verwenden
      5. Angaben zu bevorzugten Digest-Algorithmen müssen mindestens ein Mitglied der SHA-2 Familie mit einer höheren Priorität als MD5 und SHA1 enthalten
      6. Primärschlüssel sollten ein vernünftiges Ablaufdatum haben (nicht mehr als 2 Jahre in der Zukunft)
  5. Zusammenfassung aller Empfehlungen.
  6. Zusätzliche Vorschläge.
    1. Hast Du ein verschlüsseltes Backup Deines geheimen Schlüsselmaterials?
    2. Verwende keinen “Kommentar” in Deiner Benutzer-ID

Key Transition

An example key transition statement for you to use