Momentan quälen mich ein wenig die Gedanken, dass im Internet eMails kursieren, die als Absender eine eMail-Adresse von einer meiner Domains haben, aber nicht von mir verschickt wurden. Auch angesichts der inzwischen vierstelligen Zahl von Spam-eMails pro Woche mache ich mir Gedanken darüber, wie ich dafür sorgen könnte, dass man eMails erkennt, die wirklich von mir kommen. Dabei bin ich zu dem Entschluss gekommen, dass ich in Zukunft meine Post ja digital signieren könnte. Leider habe ich davon überhaupt keine Ahnung bisher. Also habe ich mich ein wenig umgeschaut und bin auf PGP gestoßen, das die Abkürzung für „Pretty Good Privacy“ ist. Natürlich habe ich schonmal etwas davon gehört, aber bisher hatte ich keine wirkliche Vorstellung, um was es sich dabei handelt. Nun weiß ich es und an sich muss ich sagen, dass ich das Prinzip ziemlich genial finde.

Man lässt sich von einem PGP-Programm wie beispielsweise GnuPG ein Set von Keys generieren. Diese stehen in direktem Zusammenhang mit dem eigenen Namen und der eMail-Adresse. Der eine Key ist öffentlich, der andere privat. Wenn ich nun eine eMail verschicke, wird mit einem Hash-Algorithmus (bspw. SHA1) eine Summe für den geschriebenen Text ermittelt und diese dann mit meinem privaten Key verschlüsselt. Das wird dann an meine eMail angehängt und mit verschickt. Der Empfänger kann nun mit Hilfe meines öffentlichen Keys die mitgeschickten Daten entschlüsseln und einen von seinem Client angefertigten Hash der eMail mit dem mitgeschickten vergleichen. Dadurch kann er einerseits prüfen, ob die eMail wirklich von mir kam und andererseits, ob der Inhalt immernoch der gleiche ist wie der, den ich wirklich verschickt habe.

Das klingt jetzt irgendwie furchtbar kompliziert. Anfangs dachte ich das auch. In Wirklichkeit ist es aber wirklich total einfach. Nachdem man sich die Keys generiert hat (der einzige minimal umständliche Schritt) kann man dem eMail-Programm (in meinem Fall Thunderbird mit Enigmail) den Schlüssel mitteilen und fortan kümmert sich das Programm um alles. Es entschlüsselt eigenständig empfangene eMails, überprüft Signaturen und signiert bzw. verschlüsselt ausgehende eMails. Alles sehr einfach zu bedienen und für jeden zu schaffen.

Doch was ist nun, wenn der Empfänger keine Ahnung von PGP hat, sein Client nicht entsprechend eingerichtet ist und er sowieso nicht damit zu tun haben will? Nun…das ist das Schöne: Es passiert garnichts. An der eMail hängt eine .asc-Datei mit der Signatur, die ihm so reichlich wenig sagt oder die Signatur steht direkt am Ende der eMail, so dass es zwar etwas seltsam aussieht, aber das ist auch alles. Es gibt also keinerlei Probleme. Und irgendwie gefällt mir das mal wirklich gut.

Meine öffentlichen Schlüssel gibt es natürlich ab sofort auch hier im Impressum zu finden und zur Feier des Tages auch hier im Eintrag. 😉

Öffentlicher PGP-Key

Alternativ ist der Key natürlich auch über die Kennung „1C304AF6“ downloadbar.