Die
Nachprüfbarkeit der Identität ist im Internet-Zeitalter sehr wichtig. Ebenso wie Briefe oder Formulare
kann man auch elektronische Dokumente fälschen. E-mail ist das
aktuelle Medium für elektronische Post. Schneller als ein Brief, einfacher als ein Fax (wer
hat privat ein Faxgerät?) und nahezu kostenlos - aber
ungesichert. Prinzipiell lässt sich jede e-mail abfangen, mitlesen,
manipulieren, mit falschem Absender erzeugen. Mit
Hilfe digitaler Signaturen kann man aber den Ursprung einer Nachricht überprüfen und Manipulationen
erkennen. Zertifizierungsstellen
(CA´s) bieten (meist kostenpflichtig)
Zertifikate an, mit denen die Identität nachgeprüft werden kann. Die CA
stellt den sicheren Zusammenhang mit dem Absender her, allerdings muss
man dazu der CA (in der Regel ein privates Unternehmen) selbst
vertrauen. Prinzipiell
kostenlos ist die Nutzung von Privacy-Software wie PGP (Pretty Good
Privacy, kommerziell)
oder GPG (GNU Privacy Guard, Freie Software). Diese Lösung kommt ohne
einen Dritten (wie die CA) aus. Die Software erzeugt ein
Schlüsselpaar, von dem der private
Schlüssel (Private Key) - mit einem Passwort gesichert - auf dem
eigenen Rechner verbleibt.
Der öffentliche Schlüssel (Public Key) kann über öffentliche
Keyserver, die eigene Homepage, persönlich oder sonstwie verteilt
werden. Die Art der Verteilung überläßt es dem Benutzer, für wie
zuverlässig er den Schlüssel eines anderen hält (Grad des Vertrauens). Der Private
Key erzeugt aus dem Inhalt der e-mail eine digitale
Signatur, die mit der e-mail übertragen wird. Der Empfänger kann
mithilfe des Public Key und der Signatur überprüfen, ob die e-mail
verändert worden ist. Viele Mailprogramme haben die Unterstützung von
Privacy-Tools
bereits eingebaut. Ich bevorzuge die Verwendung von Privacy-Tools und
verwende persönlich GPG.
|