E-Mails verschlüsseln

GnuPG - NSA-sichere Verschlüsselung made in Germany

Es schien schon fast so, als ob die Geheimdienste jede Verschlüsselung im Internet knacken können. Doch dann zeigte sich, dass ein deutscher Programmierer das NSA-sichere Tool geschrieben hat.

Der amerikanische Geheimdienst NSA hat geschätzt ein Budget von rund 11 Milliarden Dollar pro Jahr. Das ist genug Geld, um hoch spezialisierte Code-Knacker zu bezahlen, die alles entschlüsseln können, was die NSA interessiert. Doch wie es nun aussieht, gibt es ein Tool, das die NSA nicht knacken kann. Es ist die Mailverschlüsselung GnuPG, eine Software „Made in Germany“. Das Tool hat der Deutsche Werner Koch vor rund 18 Jahren fast im Alleingang programmiert.

Mit GnuPG gegen NSA und Code-Knacker

Seit rund zwei Jahren werten Journalisten, Aktivisten und Hacker die Geheimdienstdaten aus, die der Whistleblower Edward Snowden 2013 der Presse übergeben hat. Die Daten zeigten nicht nur eine massenhafte Überwachung des unverschlüsselten Internetverkehrs, sondern auch viele Angriffe auf die verschlüsselte Kommunikation im Internet. Davon berichteten auch zwei Experten auf dem 31. Chaos Communication Congress (CCC) im Dezember 2014 in Hamburg. Sie erzählten dabei aber auch von einer Verschlüsselungssoftware, die der amerikanische Geheimdienst NSA wohl nicht knacken konnte. Es ist das Programm GnuPG, das maßgeblich von dem deutschen Programmierer Werner Koch entwickelt wurde - und das bereits seit 1997. Koch, der selbst zum Publikum gehörte, erntete tosenden Applaus für seinen Einsatz für eine sichere Verschlüsselung. Denn über Jahre hinweg hat sich der Programmierer bei vergleichsweise niedrigem Verdienst hauptamtlich um GnuPG gekümmert.

Seit dem 31. CCC werden Werner Koch und das Open-Source-Projekt GnuPG einer breiten Öffentlichkeit bekannt: Die Süddeutsche Zeitung berichtet über ihn, und auch in den USA ist man auf den Mann aufmerksam geworden, dessen Tool der milliardenschweren NSA trotzt. Seither ist Geld erst mal kein Thema mehr für den Entwickler. Allein durch Einzelspenden kamen für das GnuPG-Projekt 200 000 Euro herein, Facebook und die Linux-Foundation wollen zusätzlich noch große Beträge spenden. Wie es aktuell um GnuPG steht, legen die Programmierer auf der Projektwebsite www.gnupg.org offen.

PGP/GPG: eine wechselvolle Geschichte der Verschlüsselung

PGP steht für Pretty Good Privacy und bezeichnet ein Verschlüsselungsverfahren, das hauptsächlich für Mails eingesetzt wird. Es funktioniert mit einem öffentlichen Schlüssel fürs Verschlüsseln einer Nachricht und einem privaten Schlüssel fürs Entschlüsseln derselben.

PGP wurde 1991 von Phil Zimmerman entwickelt und war zunächst kostenlos verfügbar. Phil Zimmerman veröffentlichte den Quellcode 1995 sogar kostenlos in Buchform. Denn nur in dieser Form ließ sich der Code aus den USA exportieren. Verschlüsselungs-Code in digitaler Form unterlag zu dieser Zeit strengen Exportbeschränkungen.

In die Jahre gekommen. Den freien Code von Phil Zimmerman gibt es zwar noch in Form von PGP 8, das letzte Update dazu gab es aber im Jahr 2002.
In die Jahre gekommen. Den freien Code von Phil Zimmerman gibt es zwar noch in Form von PGP 8, das letzte Update dazu gab es aber im Jahr 2002.

Es folgte allerdings eine wechselhafte Lizenzgeschichte. Denn der Code von Zimmerman blieb nicht frei. Er wechselte unter anderem zu McAfee und landete schließlich bei Symantec. PGP für Mails wird heute von Symantec für eine Lizenzgebühr von 175 Dollar pro Jahr und PC vertrieben (www.pgp.com). Schon in der Zeit bei McAfee war der Code nicht mehr öffentlich und wurde um neue Funktionen ergänzt. Einige Sicherheitsexperten halten das Programm deshalb nicht mehr für 100-prozentig vertrauenswürdig.

Als dauerhaft kostenlose und quelloffene Alternative zu PGP hat sich Ende der 90er-Jahre der Standard Open-PGP entwickelt. Der dazu passende und völlig neu entwickelte Code ist GPG oder GnuPG. GPG steht für Gnu Privacy Guard. Anders als der kommerzielle PGP-Code ist GnuPG stets Open Source gewesen. Alle Änderungen am Code sind somit öffentlich.

Der Code von GnuPG ist heute in vielen Anwendungsprogrammen (Front-Ends) integriert, etwa in Thunderbird mit der Erweiterung Enigmail. Umgangssprachlich wird allerdings oft noch von PGP-Verschlüsselung gesprochen, auch wenn man damit GnuPG-Programme nach dem Open-PGP-Standard meint.