GnuPT.de – GnuPG, OpenPGP & Verschlüsselung

GnuPT

Das Kürzel GnuPT ist nicht, wie man zunächst einmal meinen könnte, ein eigenständiges Akronym. Es ist vielmehr die Kombination zweier bestehender Akronyme zu einem gemeinsamen Projektnamen. Aus GnuPG (Gnu Privacy Guard) und WinPT (Windows Privacy Tray) wurde in Kombination GnuPT.
Damit beantwortet sich auch bereits die Frage danach, was GnuPT eigentlich war: GnuPG und WinPT in einem Paket zusammengefasst.
Gestartet wurde das Projekt bereits 2001. Neben einem Word-Plugin standen damals unter anderem auch Explorer Extensions (GPGee, GPGsx), ein portabler Schlüsselring (GnuPT Portable) und auch ein eigener E-Mail-Client (GPGrelay) mit im Paket zur Verfügung. Damit hatte man mit einem Schlag ein mächtiges Toolset zur Datenverschlüsselung zur Hand. Leider wird GnuPT jedoch seit Ende 2014 nicht mehr weiter gepflegt.
Herunterladen lässt sich die letzte Version z.B. über Chip.de. Allgemein ist aber mittlerweile eher dazu zu raten, dass stattdessen GnuPG und WinPT einzeln installiert werden. Denn da GnuPT nicht mehr weitergeführt wird, ist die im Paket enthaltene Software mittlerweile veraltet.

Gerade im Falle von Verschlüsselungssoftware stellen nicht aktualisierte Softwarestände ein erhebliches Sicherheitsrisiko dar, stellenweise führen sie gar die kryptographischen Bestrebungen ad absurdum. Um Ihnen einen kleinen Überblick zu verschaffen, gehen wir in den nächsten Abschnitten auf die Kernbestandteile von GnuPT, nämlich GnuPG und WinPT, noch einmal näher ein.

GnuPG

Wie bereits weiter oben angedeutet, handelt es sich bei GnuPG um eine Verschlüsselungssoftware. Sie implementiert den OpenPGP Standard (RFC4880) und wird vom Entwickler Werner Koch bereits seit 1997 kostenlos zur Verfügung gestellt.
Die Entwicklung wird aus Spenden finanziert, was wegen der weiten Verbreitung auch weitestgehend gut funktioniert. Eine Spendenrunde Ende 2014 sicherte z.B. ganze 2-3 Jahre der aktiven Entwicklung. Die Zukunft von GnuPG ist also auf absehbare Zeit gesichert.

Bemerkenswert am Projekt ist, dass ausdrücklich die breite Masse der Nutzer angesprochen werden soll und nicht nur ein elitärer Kreis von Powerusern. Am häufigsten genutzt wird es für die Verschlüsselung von E-Mails, aber auch im Paketmanager fast aller Linux-Distributionen kommt es zum Einsatz. Im zweiteren Anwendungsfall kommt aber noch eine weitere Funtionalität von GnuPG zum Einsatz, die einen wichtigen Platz neben der Verschlüsselung einnimmt: Die Signatur von Daten. Über diese lässt sich prüfen und sicherstellen, dass die übertragenen Daten nicht manipuliert wurden.

WinPT

WinPT ist, auch wenn es selbst Teil des Pakets GnuPT war, für sich genommen auch wiederum eine Sammlung von Tools aus dem Umfeld von GnuPG darstellt. Dabei werden die unterschiedlichsten Funktionalitäten in einer einheitlichen Oberfläche vereint, die als Frontend für GnuPG fungiert. Neben der Kernfunktionalität in Form von Verschlüsselung und Signierung werden noch einige praktische Dinge darüber hinaus angeboten.
So wird der Nutzer z.B. bei der Erstellung der Schlüssel durch einen Assistenten unterstützt, was besonders technisch nicht allzu affinen Nutzern eine große Hilfe sein dürfte.
Auch das Herunterladen von fremden Schlüsseln über Key Server wird durch die Oberfläche ermöglicht. Selbst die Verwaltung verschiedener privater und öffentlicher Schlüssel ist bequem mit ein paar Mausklicks möglich.

Eine Zeit lang sah es für das Projekt leider gar nicht gut aus. Ende 2009 wurde die Entwicklung und der Support zunächst eingestellt, was im Bereich der Kryptographie einem Todesurteil gleich kommt. Erst Anfang 2012 kam schließlich die Ankündigung, dass die Entwicklung doch noch weitergehen wird. Bisher sieht es so aus, als wäre WinPT seitdem wieder auf einem guten Weg. Es bleibt zu offen, dass dies so bleibt. Denn ein gutes Frontend für GnuPG ist extrem wertvoll für den gesamten Bereich der IT und die privaten Nutzer gleichermaßen.

Die Wichtigkeit von Verschlüsselung

Wie wichtig ein verschlüsselter Datenverkehr ist, das lässt sich gar nicht genug betonen. Er ist nicht nur zum Erhalt der Privatsphäre unbedingt notwendig, sondern gar ein Grundpfeiler für demokratische Strukturen im digitalen Zeitalter. Die Gründe für die Signifikanz sollten auf der Hand liegen:

  • Gestiegene Bedeutung der digitalen Kommunikation
    Sei es nun WhatsApp, Skype, Telegram, Teamspeak, E-Mail oder die klassische SMS: Ein Großteil der Kommunikation läuft mittlerweile über digital übertragene Textnachrichten. Diese sind, alleine schon weil sie potentiell um die halbe Welt und wieder zurück geschickt werden, deutlich anfälliger für Spionageversuche als der klassische Postbrief. Aber auch gegenüber dem guten alten Telefongespräche haben sie einen Nachteil: Die Nachricht wird oftmals nicht nur auf den kommunizierenden Endgeräten, sondern auch auf den Servern des Dienstbetreibers dauerhaft gespeichert. Wenn dies ohne Verschlüsselung erfolgt, kann ein eventueller Angreifer mehr oder weniger frei in den Daten herumwählen, wenn er es einmal ins System geschafft hat. Und wenn die Vergangenheit eines gezeigt hat, dann dass IT-Sicherheit bei den großen Firmen dieser Welt so gut wie nie ausreichend beachtet wird. Wer nicht möchte, dass Fremde seine Nachrichten lesen, der muss sie verschlüsseln.
  • Der Zwang zu Social Media
    Durch die diversen Social Media Plattformen machen wir uns sowieso schon ziemlich transparent. Wenn nun aber einer dieser Platzhirsche auf die Idee kommt, sich ein beliebtes Messenger-Tool einzukaufen, dann wird das zum Problem. So geschehen etwa bei der Übernahme von WhatsApp durch Facebook. Nun weiß der Konzern nicht nur, wer mit wem befreundet ist und was die Interessen der jeweiligen Leute sind: Nun sind auch die Textkommunikationen und damit potentiell deutlich genauere Personenprofile in greifbarer Nähe. Interessant wird das z.B. im Bereich der Werbung etc. Und seien wir mal ehrlich: Wenn in den AGB irgendwann ergänzt wird, dass die Chatverläufe zur Erstellung von Benutzerprofilen ausgewertet werden dürfen, wie viele Leute würden das schon mitbekommen?
  • Datengier des Staates
    Eine weitere Sache, die die Erfahrung gezeigt hat: Wenn irgendwo Daten gespeichert sind, dann ist es nur eine Frage der Zeit, bis der Staat aus „Ermittlungszwecken“ Zugriff darauf haben will. Dass solche Maßnahmen, egal wie sie initial auch gemeint sein sollten, extrem leicht missbraucht werden können, steht außer Frage.
    Der einzige Weg, Überwachung zu verhindern, ist sie so teuer zu machen, dass das Budget schlicht und einfach nicht ausreicht. Eine halbwegs ordentliche Verschlüsselung aller Nachrichten kann das problemlos leisten.
    Besonders der Schutz journalistischer Arbeit kann nur auf diesem Weg gewährleistet werden.

IT-Sicherheit allgemein…

…wird viel zu stiefmütterlich behandelt. Mehr noch: Selbst das, was gemacht wird, ist oft nicht wirklich sinnvoll. Bestes Beispiel: Virenscanner. Katastrophale Erkennungsraten und regelmäßig Sicherheitslücken in der Antiviren-Software, die sich zum Einschleusen von Schadcode nutzen lassen. Wer halbwegs weiß, was er tut und nur Software aus vertrauenswürdigen Quellen installiert, der schafft mit der Installation eines Virenscanners mehr Angriffsfläche als das Programm zu schließen vermag. IT-Sicherheit hört bei Verschlüsselung nicht auf. Und Verschlüsselung alleine reicht nicht aus, um ein sicheres digitales Umfeld zu schaffen. Es ist vielmehr eine von diversen wichtigen Maßnahmen in einem großen Katalog, dessen Abarbeitung einiges an Zeit und Muße erfordert.

Wir wünschen Frohes Schaffen.