Antwort zu: Sicherheit (Schlüssel)

Natürlich können auch asymmetrische Schlüssel zu kurz sein, das ist aber kein praxisrelevantes Problem. Seit Jahren erzeugt GnuPG (ohne Tricks) keine Schlüssel, die kürzer sind als 1024 Bit. Die Standardeinstellung ist seit einiger Zeit 2048 Bit. Enigmail hat den Standard für seine eigene Schlüsselerzeugung ohne vernünftigen Grund auf 4096 Bit hochgesetzt. Ein wichtiger Aspekt in der Praxis ist, dass Nachrichten zumeist in beide Richtungen gehen, also zwei Schlüssel involviert sind. Wenn ein Angreifer nur die Hälfte der Kommunikation lesen kann, weiß er oftmals schon alles, was ihn interessiert. Über die Zitate – nicht wenige Leute zitieren die gesamte erhaltene Mail –kommt dann noch einiges hinzu. In der Realität könnte ein Angreifer aber sogar dann alles lesen, wenn er nur den schwächeren Schlüssel knackt, weil die Mailprogramme die Nachrichten normalerweise für beide Schlüssel verschlüsseln. Wer also glaubt, seine Daten mit 4096-Bit-Schlüsseln schützen zu müssen, der darf über diese Daten nur mit Leuten kommunizieren, die selber auch einen 4096-Bit-Schlüssel verwenden.

Es wird inzwischen als grundsätzlich möglich angesehen, dass eine Organisation wie die NSA 1024-Bit-Schlüssel knacken könnte, aber das würde auch nach deren Maßstäben gigantische Ressourcen verschlingen – und die NSA muss ja weiterhin ihre normalen Aufgaben erledigen und kann nicht einfach mal zig Milliarden Dollar aus der hohlen Hand zaubern. Es wäre auch nicht damit getan, einen Supercomputer zu bauen. Das Brechen jedes einzelnen Schlüssels wäre ein immenser Aufwand und würde derart immense Mengen elektrischer Energie verschlingen, dass auch die NSA so ein Unterfangen nicht unbemerkt starten könnte.

Wenn die NSA einen Schlüssel unbedingt haben will, dann wird sie ihn klauen (oder die entschlüsselten Daten bei Sender oder Empfänger), anstatt hunderte Millionen Dollar auszugeben, um ihn zu knacken. Die Frage, ob sie versuchen würden, ihn zu knacken, stellt sich nur in speziellen Fällen, etwa wenn der Schlüssel und die Daten gelöscht wurden.

Der entscheidende Punkt ist: Wenn die NSA einen konkret im Visier hat, haben alle normalen Leute und Organisationen schlicht verloren. Dann ist die Schlüssellänge das kleinste Problem, das man hat. Massenüberwachung wird auch durch 1024-Bit-Schlüssel wirksam verhindert.

Die maßgeblichen Instanzen (NIST, BSI, enisa) gehen davon aus, dass 2048-Bit-Schlüssel für mindestens die nächsten 20 Jahre sicher sind. Auch darüber hinaus sind aus heutiger Sicht Quantencomputer das einzige "realistische" Angriffsszenario auf solche Schlüssel. Die nächste Generation (die gerade eingeführt wird) asymmetrischer Verfahren – elliptische Kurven – arbeitet mit sehr viel kürzeren Schlüsseln (256 und 512 Bit). Auf Grund der anderen Struktur sind diese Schlüssel ähnlich sicher wie die der aktuellen Verfahren (RSA, ElGamal, DSA) mit der achtfachen Länge.

Schlüssel, die länger als 2048 Bit sind, sind nur etwas für Leute mit einem hohen Maß an Sachkenntnis, die außerdem gewillt sind, erheblichen Aufwand zu treiben.

Bei symmetrischer Verschlüsselung lag die Herausforderung darin, den gemeinsam genutzten Schlüssel so zum Empfänger zu bringen, dass er dabei von niemandem gelesen werden konnte. Da bei asymmetrischer Verschlüsselung kein Geheimnis ausgetauscht wird, besteht dieses Problem hier nicht. Die Herausforderung bei asymmetrischer Kryptografie liegt darin, den richtigen Schlüssel zu verwenden – sich also von einem Angreifer keinen gefälschten Schlüssel unterjubeln zu lassen.

Wenn man für den falschen Schlüssel verschlüsselt, kann die Allgemeinheit die Daten zwar nicht mehr lesen, aber der Angreifer. Und der kann sie so verändert (erst entschlüsselt, dann für den richtigen Schlüssel verschlüsselt) an den beabsichtigten Empfänger weiterleiten, dass dieser nicht merkt, dass man den falschen Schlüssel benutzt hat. Man nennt dies einen "Man in the Middle"-Angriff (MitM). Es kann auch ganz ohne Angriff passieren, dass man den falschen Schlüssel verwendet; das hat dann aber zumeist keine schlimmen Folgen.

Das technisch-organisatorische Problem ist, dass Schlüssel zumeist über den Namen oder die E-Mail-Adresse in ihrem Zertifikat gefunden werden, aber jeder ein Zertifikat mit beliebigen Metadaten (wie Name oder E-Mail-Adresse) erzeugen kann. Das Problem der Verifizierung der verwendeten Schlüssel besteht nicht nur bei OpenPGP, sondern bei allen Verfahren (z.B. SSL/TLS, S/MIME, OTR). Je bequemer der Umgang mit den Schlüsseln ist, desto weniger sicher ist er. Schlüssel werden über ihren Fingerprint sicher identifiziert. Das ist eine spezielle Prüfsumme, die so lang ist, dass es unmöglich erscheint, Schlüsseldaten so zu manipulieren, dass diese Prüfsumme immer noch stimmt. Ein Beispiel für einen Fingerprint:

CF51 CB88 7D9A B184 AD50 21F4 DA6B 2836 5A21 B2D0

Es liegt auf der Hand, dass diese Funktion ihren Schutzzweck nur dann erfüllen kann, wenn man den Fingerprint aus einer sicheren Quelle (Papier) bekommt und dann präzise prüft – und die Angelegenheit nicht mit einem Sieht schon irgendwie so ähnlich aus abhakt.

Leider kümmern sich die wichtigsten Mailprogramme für OpenPGP – Enigmail (Addon für Thunderbird) und das GPGTools-Plugin für Apple Mail – derzeit nicht um diesen Aspekt, sondern erlauben standardmäßig die Verwendung nicht als gültig markierter Schlüssel. Bei Apple Mail kann man das nicht einmal abschalten.