Best Practices für den Einsatz von OpenPGP-Verschlüsselung

OpenPGP encryption best practices

Best Practices für den Einsatz von OpenPGP-Verschlüsselung

Eine starke Verschlüsselung ist nicht mehr länger das Privileg von „Geeks“ und paranoiden Zeitgenossen, es wird mittlerweile zum Mainstream. Eine wirkliche Ende-zu-Ende-Verschlüsselung gibt es aber nicht „out oft he box“. Ihr Einsatz erfordert in der Regel, dass Sie eine gewissen Anzahl an Schaltern umlegen, so wie es in diesem Beitrag über Instant Messaging beschrieben wird. OpenPGP-Verschlüsselung macht da keine Ausnahme und setzt voraus, dass einige bewährte Verfahren durch den Nutzer eingesetzt werden, um auch so sicher wie möglich zu sein. Dieser Beitrag liefert Ihnen eine präzise Liste von Best Practices für den Einsatz von OpenPGP-Verschlüsselung

Öffentliche Schlüssel und Public Key Server (PKS)

  • Vertrauen Sie nicht einfach blind Schlüsseln von öffentlichen Servern

Jeder kann Schlüssel auf Public Key Server hochladen und es gibt keinen Grund, weshalb Sie der gegebenen Beziehung (der Verbindung zwischen der E-Mail-ID und dem öffentlichen Schlüssel) trauen sollten. Aus diesem Grund sollten Sie deshalb auch mit dem Besitzer den vollen Fingerabdruck seines Schlüssels verifizieren.

  • Überprüfen Sie stets öffentliche Schlüssel mit Ihren beabsichtigten Empfängern

Es wird empfohlen, dass Sie diese Überprüfung im richtigen Leben oder über das Telefon durchführen.

Ist dies nicht möglich, schauen Sie an Orten nach wie sozialen Netzwerken, persönlichen Webseiten, Blogs, o.ä., die zu einer Person gehören, von denen Sie einen Schlüssel-Fingerabdruck erhalten möchten – einige Menschen veröffentlichen nämlich einfach ihre öffentlichen Fingerabdrücke.

  • Überprüfen Sie die Schlüssel-Fingerabdrücke bevor Sie sie importieren

Überprüfen sie den Fingerabdruck zuerst und importieren Sie ihn erst dann.

  • Verlassen Sie sich nie einfach auf die Schlüssel-ID

Überprüfen Sie stets den entsprechenden öffentlichen OpenPGP-Schlüssel über seinen Fingerabdruck.

Selbst 64 Bits lange OpenPGP Schlüssel-IDs (z.B., 0x44434547b7286901 –) können kollidieren, was möglicherweise ein sehr ernstes potentielles Problem darstellt.

  • Aktualisieren Sie öffentliche Schlüssel in Ihrem Schlüsselspeicher

Wenn Sie die öffentlichen Schlüssel in Ihrem Schlüsselspeicher nicht aktualisieren, erhalten Sie keine zeitnahen Ablauf- und Widerrufsinformationen – es ist sehr wichtig, dass Sie auf beides achten. Mailfence unterstützt Sie dabei, indem Sie einfach auf „Update vom Public Server“ bei jedem importierten öffentlichen Schlüssel klicken, der sich in Ihrem Schlüsselspeicher befindet.

  • Führen Sie falls möglich einen widerlegbaren Schlüsselaustausch durch!/strong>

Sie können Schlüssel widerlegbar austauschen, indem Sie über einen einfach verfügbaren und identifizierbaren öffentlichen Schlüssel verfügen. Informieren Sie alle Ihre E-Mail-Absender und Empfänger, Ihren öffentlichen Schlüssel zu nutzen, um Sie zu kontaktieren und integrieren Sie deren öffentlichen Schlüssel in den verschlüsselten Body Ihrer Nachricht. Dies schützt Sie vor allen Mainstream-Attacken beim Schlüsselaustausch. Stellen Sie einfach sicher, dass Ihr öffentlicher Schlüssel über unterschiedlichste Kanäle überprüft werden kann, z.B. soziale Medien, öffentliche Mailverteiler, Schlüsselserver, etc. Je mehr Kanäle Ihren PGP-Schlüsselfingerabdruck hosten, desto schwieriger wird es, sie alle zu attackieren.

Generieren und Konfigurieren des OpenPGP-Schlüssels

Da Sie nun wissen, wie Sie regelmäßige Schlüssel-Updates von einem ordentlich gepflegten Schlüsselserver erhalten, sollten Sie sicherstellen, dass OpenPGP-Schlüssel optimal konfiguriert ist. Viele der dafür notwendigen Änderungen können dazu führen, dass Sie einen neuen Schlüssel generieren müssen.

  • Starker privater Schlüssel

Mailfence generiert standardmäßig einen 4096-Bit RSA-Schlüssel. Wenn Sie allerdings planen, Ihren privaten Schlüssel mit einem externen Tool zu erstellen – stellen Sie bitte sicher, dass er entweder 2048 oder 4096 Bits lang ist.

  • Verwenden Sie ein Ablaufdatum

Nutzer möchten in der Regel nicht, dass ihre Schlüssel ablaufen, es gibt dafür aber gute Gründe. Weshalb? Es geht darum, etwas einzurichten, dass Ihren Schlüssel deaktiviert im Fall, dass Sie den Zugriff darauf verlieren oder dass er kompromittiert wurde (und Sie über kein Sperrzertifikat verfügen). Sie können Ihr Ablaufdatum ja jederzeit verlängern, selbst nachdem es abgelaufen ist! Dieses “Ablaufdatum” bedeutet tatsächlich mehr rein Sicherheitsventil, das automatisch bei einem bestimmten Punkt auslöst. Fall Sie Zugriff auf die vertraulichen Schlüsseldaten haben, können Sie das Ablaufen verhindern.

  • Erstellen Sie einen Kalendereintrag, der Sie an das Ablaufdatum erinnert

Am besten erstellen Sie einen Termin in Ihrem Mailfence Kalender, der Sie rechtzeitig daran erinnert, Ihr Ablaufdatum für den OpenPGP-Schlüssel zu verlängern.

Nochmals, Sie können das Ablaufdatum jederzeit verlängern, selbst nachdem es abgelaufen ist! Sie müssen dann keinen brandneuen Schlüssel erstellen, Sie müssen lediglich das Ablaufdatum auf einen späteren Termin setzen.

  • Erstellen Sie ein Sperrzertifikat

Für den Fall, dass Sie Ihre Passphrase vergessen oder dass Ihr privater Schlüssel kompromittiert oder verloren wurde, besteht die einzige Hoffnung darin, zu warten, bis der Schlüssel abläuft (dies ist allerdings keine gute Lösung). Ein besserer Ansatz ist es, Ihr Sperrzertifikat zu aktivieren, indem sie es auf Public Key Servern veröffentlichen. Damit benachrichtigen Sie andere, dass dieser Schlüssel gesperrt wurde.

Ein gesperrter Schlüssel kann allerdings immer noch verwendet werden, um alte Signaturen zu verifizieren oder Daten zu entschlüsseln. Allerdings nur unter der Voraussetzung, dass Sie immer noch über Zugriff auf den privaten Schlüssel verfügen.

  • Andere entscheidende OpenPGP-Kontrollen

Wenn Sie Ihren privaten Schlüssel mit Mailfence erstellt haben, müssen Sie sich über die folgenden Punkte keine Gedanken machen. Sie treffen auf Sie nicht zu.

– Stellen Sie sicher, dass Ihr Schlüssel OpenPGPv4 ist
– Ihre OpenPGP-Schlüssel sollten DSA-2 oder RSA (RSA bevorzugt) sein, idealerweise 4096 Bits oder mehr.
– Ihre OpenPGP-Schlüssel sollen über ein sinnvolles Ablaufdatum verfügen (maximal zwei Jahre)

Zusätzliche Empfehlungen für Best Practices zur OpenPGP-Verschlüsselung

  • Verfügen Sie über ein verschlüsseltes Backup Ihrer vertraulichen Schlüsselinformationen?

Überprüfen Sie dies lieber doppelt. Idealerweise sollten Sie Ihren Schlüssel (standardmäßig verschlüsselt mit Ihrer Passphrase) sowohl in der Cloud als auch auf ihrem lokalen Rechner abspeichern. Erstellen Sie darüber hinaus ein Backup Ihres Sperrzertifikats auf Ihrem lokalen Rechner.

Hinweis: Beachten Sie, dass Ihr Sperrzertifikat jederzeit einsatzbereit ist. Wenn ein Gauner darauf zugreifen kann, kann sie/er es verwenden, um Ihren Schlüssel zu sperren.

  • Nehmen Sie keinen “Kommentar” in Ihre User-ID auf.

Die OpenPGP User-ID ist generell dazu da, Ihren Namen oder Ihren Alias zu vermerken und nicht zum Kommentieren.

  • Seien Sie vorsichtig bei Public Key Servern

Die meisten OpenPGP-basierten Anwendungen verwenden einen einzigen, spezifischen Schlüsselserver. Dies ist nicht ideal, denn wenn dieser Schlüsselserver ausfällt, oder noch schlimmer, wenn er zu arbeiten schient, aber nicht ordentlich funktioniert, erhalten Sie vielleicht keine wichtigen Schlüssel-Updates. Es handelt sich dabei also nicht nur um einen Single Point of Failure, sondern auch um die erste Quelle für den Abfluss von Beziehungsinformationen zwischen OpenPGP-nutzern. Damit ist er auch ein beliebtes Ziel für Attacken.

Aus diesem Grund ist es richtig, sich nicht nur auf einen Public Key Server beim Veröffentlichen oder Import von Schlüsseln zu verlassen. Mailfence verwendet sks keyservers pool – einen Pool von Servern, bei denen regelmäßige Überprüfungen durchgeführt werden, ob Sie richtig funktionieren. Tut dies ein Server nicht, wird er automatisch aus dem Pool entfernt.

Zu guter Letzt sollten alle Ihre Interaktionen mit dem Schlüsselserver verschlüsselt (über TLS/SSL – hkps) erfolgen. Damit bleibt Ihr Beziehungsnetz vor jedermann verborgen, der in Ihrem Datenverkehr herumschnüffelt.

  • Antworten auf eine verschlüsselte E-Mail, Postausgang und Entwürfe

Löschen Sie den entschlüsselten Inhalt in einer Antwort auf eine verschlüsselte E-Mail oder zitieren Sie sofern notwendig nur die relevanten Stellen. Konfigurieren Sie Ihre Anwendung so, dass sie standardmäßig keine Entwürfe speichert und entfernen Sie die entschlüsselten Nachrichten aus dem Postausgang oder behalten Sie sie nicht im Klartext. Mailfence führt standardmäßig alle diese Maßnahmen für Sie durch.

  • Schützen Sie Ihre Meta-Daten

Um einen Abfluss von Kontextbasierten Informationen aus Ihrer E-Mail-Kommunikation zu minimieren, ist es auch eine gute Maßnahme, einfach die Metadaten zu verbergen (an, von, IP-Adresse, etc.) Behalten Sie soweit möglich und relevant die Kontrolle über diese Informationen und trennen Sie sie von den Daten, die mit Ihnen in Verbindung gebracht werden. Sie können das „Von“-Feld beispielsweise kontrollieren, indem Sie ein neues Benutzerkonto erstellen. Die IP-Adresse des versendenden E-Mail-Clients kann durch Einsatz von VPN, Tor, der einer öffentlichen Internetverbindung verändert werden. Die üblichen Warnungen zu Tor gelten natürlich: Verlassen Sie sich nicht ausschließlich auf Tor. Wenn Sie Ihre IP-Adresse schützen möchten, verwenden Sie eine IP-Adresse, die mit Ihnen nicht in Verbindung gebracht werden kann.

Die Betreffzeile sollte sich nie auf den Inhalt der E-Mail beziehen (oder bestenfalls einfach leer sein), auch nicht indirekt: Zum Beispiel „Betreff: Es war nett, Sie am Eifelturm getroffen zu haben!“ ist in Bezug auf die E-Mail-Sicherheit ein Totalausfall.

Sie möchten noch einen Schritt weitergehen, dann lesen Sie die folgenden Beiträge über Best Practices bei der OpenPGP-Verschlüsselung

  • https://riseup.net/en/security/message-security/openpgp/best-practices (Hardcore-Tipps – etwas veraltet)
  • https://alexcabal.com/creating-the-perfect-gpg-keypair/ (Hardcore-Tipps)
  • https://wiki.debian.org/Keysigning (alle Softwareanwendungen vom offiziellen Debian- und Ubuntu-Betriebssystem sind mit OpenPGP signiert)

Hinweis: Falls Sie derzeit Ihr E-Mail-Benutzerkonto nicht sichern, helfen Ihnen unsere Best Practices zur OpenPGP-Verschlüsselung nicht. Wir raten Ihnen dann, diesen Beitrag über Möglichkeiten, wie Sie ihre vertraulichen E-Mail-Benutzerdaten schützen, zu lesen.

Ihr sicheres E-Mail-Konto – jetzt!

Mailfence ist ein sicherer und vertraulicher E-Mail-Service.


Verbreiten Sie die gute Nachricht !

Werner Grohmann

Werner Grohmann ist Online-Redakteur und Content Marketingberater für deutsche und internationale IT-Unternehmen. Er ist für die deutsche Version des Mailfence Blogs verantwortlich.

Das könnte Dich auch interessieren …