PGP-Schlüssel und anonymes Kontaktformular

Posted on by Christian

Ich habe den (mittlerweile schon einige Wochen zurückliegenden) Weihnachtsurlaub dazu genutzt, mich endlich mal mit (Open)PGP zu beschäftigen. Damit können Nachrichten, Dateien und E-Mails verschlüsselt werden. Herausgekommen ist auch ein anonymes Kontaktformular, dazu unten mehr.

Grundsätzlich ist E-Mail-Verschlüsselung gut, wenn auch nicht perfekt: Man kann nämlich nur den Text einer E-Mail verschlüsseln. Metadaten wie E-Mail-Adressen, (Server-)IP-Adressen sowie Datum/Uhrzeit können nicht verschlüsselt werden, sondern sind weiterhin offen sichtbar. Anhänge können verschlüsselt werden, wenn man entsprechend selbst aktiv wird – bevor man diese an die E-Mail anhängt. Mittels PGP-Schlüssel lassen sich auch Dateien verschlüsseln.

Gpg4win und PGP-Schlüssel erstellen

Als hauptsächlicher Windows-Nutzer habe ich nun mal Gpg4win ausprobiert – und muss sagen, dass es damit tatsächlich ziemlich einfach ist. Hilfreich waren einige Videos, die ich auf YouTube gefunden habe: Grundlagen gibt es in diesem Video. In einem zweiten Video wird das Ver-/Entschlüsseln von Dateien erklärt. Weitere Videos gibt es für Outlook und andere Webmail-Anbieter. Wer sich die Videos ansieht, wird feststellen, dass die Einrichtung und Verwendung alles andere als schwer ist.

Screenshot: In dem Programm „Kleopatra“ verwaltet man die PGP-Schlüssel.

Das Erstellen des Schlüssel hat auch ziemlich einfach funktioniert – das Schwerste daran ist tatsächlich, sich ein neues langes Passwort zu merken. 😉 Bei dem Verschlüsselungs-Algorithmus habe ich RSA 4096 gewählt. Nicht aus dem Grund, weil das auch im Erklär-Video kommt, sondern weil ich z.B. hier einen Vergleich gefunden habe. Demnach sind RSA und EdDSA sind die einzig empfehlenswerten Optionen, RSA wird etwas mehr unterstützt, beides ist in etwa gleich sicher und lediglich in der Performance unterscheiden sich die beiden Methoden. Für die meisten Nutzer*innen sind diese Unterschiede vernachlässigbar und nicht relevant.

Kürzlich wurde berichtet, dass RSA 2048 „geknackt“ worden sei. Es gibt aber Zweifel daran. Abgesehen davon ist RSA 4096 eben 4096 Bit lang, doppelt so viel wie 2048 Bit – was für ein Entschlüsseln bedeutet, dass man weitaus mehr Rechenpower benötigt, als 2048 Bit zu knacken.

Außerdem habe ich den PGP-Schlüssel vorerst auf zwei Jahre Gültigkeit befristet. Man könnte auch unbegrenzt oder andere Zeiten eingeben, aber zwei Jahre sind ein guter Durchschnittswert. Zumal man den Schlüssel auch verlängern kann. Und sollte es mit RSA zukünftig tatsächlich unsicherer werden, kann ich dann ja eventuell auf andere Verschlüsselungs-Algorithmen wechseln.

Ein verschlüsseltes Kontaktformular

Da nicht jede*r mit PGP-Verschlüsselung umgehen kann, habe ich überlegt, wie mir Menschen verschlüsselt eine Nachricht schicken können, die selbst keinen PGP-Schlüssel haben.

Screenshot: Kontaktformular mit PGP-Verschlüsselung.

Fündig wurde ich im Privacy-Handbuch, wo ein Kontaktformular beschrieben wird. Und so habe ich mir ein eigenes, anonymes Kontaktformular gebastelt. Technisch wird mittels JavaScript und dem Public-Key die Nachricht im Browser verschlüsselt, in einem weiteren Schritt kann dann die nun verschlüsselte Nachricht verschickt werden. Daher gibt es in dem Formular tatsächlich zwei Buttons, die man nacheinander drücken muss. Das hat auch sein Gutes: Da der „Senden“-Button zunächst deaktiviert ist, können Bots auch nicht automatisch Spam darüber schicken (für zwei Buttons sind die zu doof) – somit braucht man keine nervigen Captchas oder Rätsel, um Spam fern zu halten.

Bei dem Kontaktformular habe ich keinen Upload für Anhänge hinzugefügt – das Missbrauchspotential ist zu hoch. Als Umweg kann man zum Beispiel eine ZIP- oder 7z-Datei mit einem Passwort erstellen (Anleitungen bei der Uni Mannheim), diese auf den Dienst transfernow hochladen (Sitz in Frankreich, Server in Europa, Amerika und Asien – angeblich sind die Festplatten verschlüsselt) und im anonymen Kontaktformular den Download-Link mit Passwort angeben. Da die Nachricht ohnehin verschlüsselt wird, kann man in dem Fall beides gleichzeitig angeben.

Meine verschlüsselten Kontaktmöglichkeiten:
PGP-Schlüssel: chriszim.de/pgp
Kontaktformular: Auf der Website oder hier separat.
Die PGP-Seiten sind bewusst schlicht gehalten und auf das Nötigste reduziert.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert