PGP
Corporation angekündigt. Es wird spannend zu beobachten, was jetzt
geschieht.
Seit kurzem ist PGP 8 von der PGP
Corporation angekündigt. Es wird spannend zu beobachten, was jetzt
geschieht.
Nachdem der Heise Newsticker am 4. März meldet: " Kein Käufer für PGP"
scheint eines der besten Verschlüsselungsprodukte vom Markt zu
verschwinden. Während die Freeware für den privaten, nicht-kommerziellen
Gebrauch offensichtlich verfügbar bleibt, sieht es für NAIs
Geschäftskunden düster aus. Naheliegende Fragen: Müssen mit Ablauf des
Wartungsvertrages die PGP Version in den Firmen gelöscht werden? Muss ein
eventuell vorhandener interner Schlüsselserver gestoppt werden? Darf man
Mangels Kaufbarkeit der kommerziellen Version auch in Firmen die
Freewareversion einsetzen? Was macht man mit den ganzen PGP-verschlüsselten
E-Mails? Müssen die alle entschlüsselt werden, da man nach Ablauf des
Vertrages mit NAI kein PGP mehr hat??
Nur die Besitzer der Version PGP Personal Privacy können sich freuen: Hier Version bleibt auch weiterhin im aktuellen Zustand legal benutzbar. Auch die Freeware Version bleibt für nicht-kommerzielle. Private Zwecke nutzbar. Alle anderen PGP Versionen müssen mit Auslauf des Lizenz-Vertrages gelöscht werden.
Bei Heise heißt es: "In einer E-Mail an seine Geschäftkunden erläuterte NAI, dass alle bestehenden Support-Verträge nach wie vor eingehalten, aber nicht verlängert werden. Ferner würden sicherheitsrelevante Bugs zwar künftig noch beseitigt, die gesamte PGP-Produktreihe wird aber momentan nicht mehr weiterentwickelt. Die PGP-Technik und der Quellcode bleiben im Besitz und unter der Kontrolle von Network Associates." (Hier zitiert Heise falsch: wenn man den NAI-Brief genau liest, steht dort nichts von einer zukünftigen Beseitigung "sicherheitsrelevanter Bugs". In dem Schreiben heißt es: "...they will continue to be developed in order to meet the security needs...". Erstens steht hier nichts von Bugs, zweitens bezieht sich "they" eindeutig auf "Other products". Damit sind der McAfee E-Business Server, die McAfee Desktop Firewall und der McAfee VPN Client gemeint.) Dieser von NAI "Maintenance Mode" genannte Zustand soll ein Jahr (bis März 2003) andauern. Danach dürfte PGP endgültig tot sein.
Da auch PGP 7 zur Komprimierung die Zlib verwendet, ist zu prüfen ob eine Fehlerkorrektur erforderlich. Es wird sich zeigen, ob NAI diese liefert. Aus NAI-Kreisen verlautet, dass es wohl eine öffentliche Stellungnahme geben wird: "We have reviewed this vulnerability, and we are not affected by this specific issue. Our implementation of zlib in the PGPsdk has defense mechanisms that prevent this type of attack."
Mittlerweile gibt es einen ersten HotFix
für PGP Corporate Desktop 7.1, PGP Personal Security 7.0.3 und PGP Freeware
7.0.3 vom 8. Mai 2002 (also nach Einführung des "Maintenance Mode"
für PGP), der unter Windows 2000 einen Fehler im Zusammenspiel der Funktion
File Wipe aus PGP und dem Encrypted File System von Windows 2000 behebt.
Einige Aufregung verursachte eine E-Mail vom 21. Mai 2002 an die Cyberpunk
Mailingliste: "NAI pulls out the DMCA stick". In der E-Mail wurde
über eine Abmahnung wegen der Verbreitung von PGP Software berichtet wird und
es wurden Befürchtungen geäußert "NAI is now taking steps to remove
the remaining copies of PGP from the Internet, not long after announcing that
the company will not release its fully completed Mac OS X and Windows XP
versions, and will no longer sell any copies of its PGP software. Do we
still believe this was a pure cost-cutting measure?". Hier ging es aber
wohl um eine kommerzielle PGP Version und nicht um die Freeware Version.
Eine weitere interessante Information gab es in der pgp-friends-de
Mailing Liste am 25. Mai 2002 von einem NAI Mitarbeiter. Hier wird
berichtet, das NAI in Europa nur zehn große PGP-Firmenlizenzen (mehr als 1000
Klienten) verkauft hat. Außerdem wird dort ein Angebot angedutet "NAI
stellt unter bestimmten Bedingunen eine kostenlose Umstellung (z.B. einer
zeitlich limitierten Lizenz von 2 Jahren) auf eine sogenannte perpertual Lizenz
in Aussicht. Unser Vertrieb-Leitung (für das jeweilige Land) entscheidet dann
individuell ob der Kunde die kostenlose Umstellung bekommt oder nicht. Die
Entscheidung welche Kunde dies bekommt hängt unter anderem davon ab wie sich
diese Kunden uns gegenüber verhalten hat und ob er auch andere NAI-Produkte
nutzt bzw. wie viele Lizenzen er hat". Bleibt abzuwarten wie NAI mit diesen
zehn Kunden umgeht.
Da kommt die Meldung des
Bundesministeriums für Wirtschaft (BMWi) gerade recht: " PGP
geht - GnuPP kommt". Das Programmpaket GNU Privacy
Projekt (GnuPP) besteht aus GNU
Privacy Guard (GnuPG 1.0.6), dem GNU
Privacy Assistant ( GPA
0.5.0; Die aktuelle Version 0.5.0 des GPA ist zur Zeit noch nicht in das
CVS-Repository des GnuPG Projektes integriert.) und dem Windows
Privacy Tray (WinPT 0.5.6). Das Ganze stellt das Bundeswirtschaftsministerium in der Version 1.1 auf der CeBIT 2002 vor. GnuPP ist ein vom BMWi geförderter, vollständig kompatibler OpenSource-Ersatz für PGP. Hinzugekommen ist ein völlig neu geschriebenes und gestaltetes zweiteiliges Handbuch, mit dem auch
Verschlüsselungslaien die Grundlagen der E-Mail-Verschlüsselung meistern
können. Der Knüller: Das Paket (Buch mit CD-ROM) kann über das BMWi kostenlos
bezogen werden. (Sicherheitshinweis: die Windows
Version von gpg sollte wegen des zlib Problems dringend auf Version
1.0.6-2 aktualisiert werden.)
Die Version 1.1 von GnuPP kann in einer deutschen und in einer englischen Version heruntergeladen werden. Die Installation ist (für diesen Test unter Windows 2000 SP2, aber prinzipiell unter Windows 95, 98, ME, NT4, 2000, XP), dank normalen Windows Installer, so wie man es gewohnt ist und damit einfach.
GnuPG ist ein Unix Kommandozeilen Tool mit unüberschaubar vielen Optionen. Für Benutzer einer grafischen Oberfläche ist das ein Albtraum. Eine grafische Oberfläche mit der wesentlichen Funktionalität von der PGP Komponenten PGPkeys und PGPtools gibt es mit dem GNU Privacy Assistant (GPA). Da auch die Windows Anwendung mit dem Toolkit GTK+ erstellt wurde, ist sie für einen Windowsanwender sehr gewöhnungsbedürftig. Dieser Toolkit wurde ursprünglich für die Entwicklung unter X Windows entwickelt. Ein „Windows Look and Feel" kommt nicht auf. Außerdem sind noch etliche Fehler in der Version. Klickt man im Schlüssel-Import Dialog auf "Durchsuchen" so gibt es eine Beschwerde das in "Device\harddisk2\DR4" kein Datenträger eingelegt sei (die beiden Zahle variieren je nach System), wenn ein ZIP-Laufwerk am PC angeschossen ist und noch keine ZIP-Disk eingelegt war. Sobald einmal eine ZIP-Disk eingelegt war, wird der gewohnte Laufwerksbuchstabe gemeldet. Mit einem Klick auf "Abbrechen" oder "Fortsetzen" erreicht man dann aber doch den Dateiauswahldialog.
Beim Versuch einen geheimen Schlüssel (Private Key) mit dem GPA über die Zwischenablage zu exportieren, führte zu einem Absturz des Programms. Der Export in eine Datei war möglich. Diese Dateien lassen sich aber nicht ohne weiteres mit PGP importieren.
 |
 |
Die Darstellung der Schlüssel ist textlastiger, man vermisst die "Ampeln" von PGP, die intuitiv einfacher zu erfassen sind. Sowohl WinPT (Abb. 2) als auch GPA (Abb. 1) können nicht richtig mit Umlauten umgehen. WinPT stellt die BenutzerID "Test Schlüssel" eines aus PGP importierten Schlüssel als "Test Schl\xfc\x73sel" dar, GPA lässt die die BenutzerID gleich ganz leer. (Wird ein solcher Schlüssel im GPA angezeigt, wird im unteren Teil des Fenster, auf der Karte Details, als Benutzerkennung die letzte Bneutzerkennung beibehalten. Die skann zur Verwirrung führen.) Beide können einen eigenen mit Umlauten in der BenutzerID erzeugten Schlüssel korrekt anzeigen. GPA zeigt dei Umlaute aus WinPT nicht richtig an, und umgekehrt ist es das gleiche. Obwohl das darunter liegende GunPG das gleiche ist. Die drei Testschlüssel wurden wie folgt erzeugt:
| 0xEA3CAF25 | im Programm WinPT |
| 0xC584323C | im Programm GPA |
| 0x0A210253 | im Programm PGP |
Sehr
hilfreich ist auch die links stehende Fehlermeldung. Da keine SchlüsselID
angegeben wird, kann nicht einmal ohne umfangreiche Tests festgestellt werden,
welcher Schlüssel das ist (Für Experten: Ursache war übrigens ein zeitlich
befristeter und abgelaufener Subkey des PGP-Schlüssels).
Beim Import des Schlüssel von Phil Zimmermann (aus dem PGP) gab es mit dem in den Schlüssel eingefügten Foto Probleme. Das Foto wurde vom Schlüssel getrennt und wird dann auch getrennt dargestellt. Ein Klick auf die Zeile mit dem Foto bringt den GPA reproduzierbar zum Absturz. Der Import der Schlüssel incl. der privaten Schlüssel nach vorhergehendem Export aus PGP (7.0.3) war bis auf die Umlautdarstellung kein Problem.
Besser ist da das schon das Tool WinPT. Es orientiert sich voll am Windows Style Guide und wirkt deshalb gewohnter. Es deckt den Bereich PGPkeys, PGPtools und PGPtray aus dem PGP ab. Auf mich wirkt es übersichtlicher. Es ist im Systemtray neben der Uhr verfügbar und damit leicht zugänglich. In den Funktionen für die Zwischenablage und das "aktuelle Fenster" (auch mit Hotkeys bedienbar) steht es dem kommerziellen PGP in nichts nach.
Jetzt geht es noch um Plugins für E-Mail Programme. Auf der Seite Sicherheit
im Internet findet man eine GnuPP-Übersicht,
mit Plugins für die E-Mail Programme Micrsoft Outlook und PostME. Auf der GnuPG
Seite für Frontends
findet man ein Plugin für Eudora.
Außerdem gibt es eine Beta-Version von QDGPG
für Pegasus
Mail. Dieses Plugin funktioniert noch nicht ohne manuelle Nacharbeit mit der
GnuPP Installation, da es das Programm gpg.exe nicht findet. Hier muss das
Verzeichnis mit dieser Datei (Default der deutschen Version: c:\programme\gnupp\gnupg) in den
Such-Pfad aufgenommen werden. Bis auf Windows 98/ME ist dieses Plugin
einsetzbar; unter den genannten Betriebssystemen gibt es noch
Stabilitätsprobleme.
Ein größeres Problem ist sicherlich noch der Schlüsselserver. Der Server von NAI ist
sehr umfangreich zu konfigurieren. Und gerade für Anwendungen in Richtung PKI
und Zugriffschutz, wie sie für Firmen interessant sind, hat er interessante Funktionalitäten. Der freie PGP
Public Key Server von Mark Horowitz ist da doch sehr viel einfacher. Ihm
fehlen z.B. Zugriffsbeschränkungen um interne Schlüsselserver aufzusetzen.
Auch ist das durchsetzen von Policy-Regeln damit nicht möglich. GnuPP
unterstützt unterstützt auch (noch?) keinen Zugriff auf LDAP-Server.
Die Handbücher sind sehr gut, leicht verständlich und ansprechend im Layout. Sie können bereits jetzt als PDF-Dateien heruntergeladen werden. Viel fortgeschrittene Fragen bleiben jedoch offen. Viele fortgeschrittene Fragen bleiben jedoch offen. Profis sind doch eher auf die offiziellen (z.Z. englischen) Dokumentationen der einzelnen Paketbestandteile angewiesen.
Ein Parallelbetrieb von PGP und GnuPP ist problemlos möglich, solange nicht in beiden Programmen die gleichen Hotkeys verwendet werden sollen. Für eine Übergangsphase können also beide Versionen benutzt werden.
Für kommerzielle Nutzer gibt es eine weitere Hoffnung, seit sich die Glück
und Kanja GmbH aus dem Insolvenzverfahren der Biodata AG herausretten
konnte. CryptoEx Outlook unterstützt Microsoft Outlook 97, 98, 2000 und XP, jedoch
nicht Outlook Express. Außerdem bringt Glück
und Kanja gerade eine Integration für Lotus Notes heraus (namens CryptoEx
Notes). Über CryptoEx File können das aktive Fenster und die Zwischenablage
verschlüsselt werden, wodurch rudimentär auch weitere Mailclients unterstützt
werden können (es ist dazu aber ein manueller Eingriff des Users bei jeder
Verschlüsselungs- oder Signieroperation erforderlich.).
Als Alternative zu PGP Disk gibt es CryptoEx Volume, welches das NAI-Produkt ersetzen kann (auch mit OpenPGP Schlüsseln). Anstelle des PGP eBusiness Server gibt es das CryptoEx Toolkit (COM und Kommandozeile).
Weitere Produkte, zum Beispiel für Pocket PCs, stehen nach Firmenmitteilung kurz vor der Fertigstellung (CryptoEx Pocket). Leider wird PalmOS nicht unterstützt.
Außerdem ist noch den CryptoEx Enterprise Keyserver (mit eigener Datenbank oder Proxy-Funktion auf LDAP Verzeichnisse, auf denen OpenPGP Zertifikate liegen) und eine X.509 + OpenPGP Certificate Authority namens CryptoEx Authority verfügbar. Der CryptoEx Business Server, eine "One Hour PKI", mit der der eine CA für bis zu 1.000 Benutzer möglich ist.
Es gibt allerdings einige Unterschiede in der Philosophie zwischen NAI und
Glück und Kanja, die in einem Whitepaper (kann unter sales@cryptoex.com
angefordert werden) erläutert werden. Während NAI auf eine dezentrale
Schlüsselerzeugung setzt (Der Anwender erzeugt seine Schlüssel) favorisiert
Glück und Kanja eine zentrale Schlüsselerzeugung (Die Firma erzeugt die
Schlüssel). Damit können auch die privaten Schlüssel zentral gespeichert und
"sicher verwahrt" werden. Dagegen werden ADKs von Glück und Kanja
nicht unterstützt, ist ja auch nicht erforderlich, wenn alle privaten
Schlüssel schon zentral gespeichert wurden. Einer der Vorteile der zentralen
Speicherung der privaten Schlüssel wird in dem Whitepaper so geschildert:
"Encryption key recovery enables the corporation to recover encrypted
data if the user is unwilling or unable to decrypt the data (loss of key, sudden
death, retirement, no longer works for corporation, etc.)".
Unterm Strich: Ein Riesenfortschritt im letzen Jahr. Während es bzgl. PGP schlimmer gekommen ist, als die von S. Kelm und mir vor rund einem Jahr in der DuD geäußerten Befürchtungen*, hat sich GnuPG deutlich besser entwickelt als befürchtet. Und GnuPP wird sicherlich noch immer besser. Ein Wechsel von PGP nach GnuPP ist eine Umstellung für den Benutzer, aber benutzbar ist GnuPP. Aber vielleicht kann ja auch das BMWi PGP kaufen und beide Produkte zusammenführen.
Wer PGPdisk ersetzen muss, kann jetzet auch auf ein Produkt der Fa. Utimaco zurückgreifen. SafeGuard PrivateDisk, das vergleichbare
Funktionen wie PGPdisk hat, aber nicht OpenSource ist, macht einen guten
Eindruck. Vielleicht kann es ja die Lücke füllen, und
es wird unter einer ähnlichen Lizenz wie SafeGuard
PrivateCrypto angeboten.
*Teil I: R.W. Gerling und S. Kelm,
PGP, quo
vadis?
Datenschutz und Datensicherheit (DuD), 25
336 - 338 (2001)
Teil II: R.W. Gerling und S. Kelm PGP, quo
vasisti? Datenschutz und
Datensicherheit (DuD), 26 300 - 301 (2002)
GPG E-Mail Plugins (Windows) |
|||
|---|---|---|---|
| Name | Mailclient | Version | Bemerkungen |
| QDGPG |
Pegasus Mail für Windows 4 | 1.0b4 | es gibt noch Stabilitätsprobleme unter Windows 9x und Windows ME. Deutsch und Englisch. Quellen nicht verfügbar! Auch kommerziell kostenlos einsetzbar. |
| GPGOE |
MS Outlook Express 5.x, 6.0 | 0.2.2 | Unter GNU Lizenz. Quellen verfügbar. |
| G
DATA GnuPG Plugin |
MS Outlook | 0.91 | Deutsch und Englisch. Quellen Verfügbar. |
| EudoraGPG |
Eudora für Windows | 0.95 | Quellen verfügbar. |
| Enigmail |
Moziila 1.0.0 RC1 | 0.43.x | Zitat aus der Ankündigung: "Enigmail, a GnuPG
"plugin" for Mozilla which has been under development for some time, has now reached a state of practical usability with the
Mozilla 0.9.9 release."
Es gibt kein Enigmail für Netscape 6.2 oder älter. Die nächste Netscape Version (basierend auf Mozilla 1.0) wird unterstützt. |
Spezielle Programme mit GPG Unterstützung (Windows) |
|||
| GPGrelay |
Alle POP3 fähigen E-Mail Klienten | 0.82 | Ein PGP Proxy, der mit jedem POP3-fähigen E-Mail Klienten zusammenarbeitet. Ein völlig anderes Konzept, als die anderen Plugins. |
GnuPG E-Mail Plugins (Macintosh,
|
|||
| GPGMail |
Mail/MailViewer | 0.5.2 | GPGMail ist ein Plugin für
Mail.app (unter MacOS X) und MailViewer.app (unter Ma-cOS X Server 1.x),
das eine Oberfläche für gpg zur Verfügung stellt..
GPGMail erweitert Apple's Mail/MailViewer Anwendung und erlaubt es dem Benutzer PGP signierte und/oder verschlüsselte Nachrichten zu lesen und zu senden. |
| Eudora
GPG |
Eudora X | .004 | Applescript Skripte |
| EntourageGPG |
MS Entourage | 1.0 | EntourageGPG ist eine Oberfläche für GPG unter Microsoft Entourage. |
Zuletzt geändert am 8. September 2002 von Rainer W. Gerling