NDS/Infrastruktur/Datenschutz mit PGP

Aus Piratenwiki
< NDS
Wechseln zu: Navigation, Suche
Tango-text-x-generic with pencil.svg Dieser Artikel ist keine offizielle Aussage der Piratenpartei Deutschland, sondern hier findet/fand eine offene Diskussion des Themas statt.

Wenn Du meinst, diese Idee erweitern zu können, tu es, aber bitte beachte die Diskussionsregeln. Ist die Idee tragfähig und mehr als eine Einzelmeinung, so kann man das Ganze auch als Entwurf kennzeichnen.

Konzept zur Sicherung des Datenschutzes beim Austausch von persönlichen Daten per eMail im verwaltungsinternen Nachrichtenaustausch der Piratenpartei Niedersachsen basierend auf einer PGP-Infrastruktur

Es soll möglich sein, persönliche Daten zwischen den Verwaltungspiraten im Rahmen der Verwaltungstätigket der Piratenpartei Niedersachsen per eMail übertragen und dabei mit vertretbarem Aufwand sichergestellt wird, dass kein Dritter Zugang auf diese Daten bekommt. Eine absolute Sicherheit gibt es nicht.

Eine Diskussion dieses Konzepts findet auf der Mailingliste der AG Technik NDS, nds-ag-technik@lists.piratenpartei.de statt.

Komponenten

Die Komponenten sind hierbei:

  • das eMail-Programm
    • des Absenders
    • des Empfängers
  • ein PGP-Modul, in dem die Verschlüsselung und die Entschlüsselung der Nachricht samt Anhang ausgeführt wird
    • beim Absender
    • beim Empfänger
  • betrieben vom jeweiligen Provider mail-Server
    • des Absenders
    • des Empfängers

Ablauf

Der Absender und Empfänger sind für die Sicherheit seines eigenen Systems selber verantwortlich. Hier kann die AG Technik Niedersachsen nichts unternehmen.

  1. Der Absender und Empfänger richten auf dem jeweiligen Client-System:
    1. ein eMai-Programm, bspw. Thunderbird ein
    2. das PGP-Modul [1] für die Verschlüsselung und die Entschlüsselung von Nachrichten samt Anhang
  2. Der Absender und Empfänger können
    • eine natürliche Person
    • oder ein Amt wie Schatzmeister oder Pressepirat sein
  3. Der Absender und Empfänger generieren im jeweiligen PGP-Modul:
    • öffentlichen Schlüssel (Public Key) und
      • machen diesen Schlüssel auf einem Server bekannt
      • oder versenden diesen Schlüssel an die Empfänger
    • privaten Schlüssel (Private Key)
      • und schützen diesen Schlüssel mit einem Passwort, dass folgenden Anforderungen entsprechen muss - es enthält:
        • mindestens acht Zeichen
        • Groß-/Kleinbuchstaben
        • Sonderzeichen
      • Absender und Empfänger haben Sorge dafür zu tragen, dass das Passwort für Dritte unzugänglich ist.
      • Absender und Empfänger haben Sorge dafür zu tragen, dass eine angemessene Gültigkeitsfrist für den Schlüssel festgelegt ist. Wenn der Absender und Empfänger keine natürliche Person, sondern ein Amt wie Schatzmeister oder Pressepirat darstellen, bietet sich eine wesentlich längere als die Wahlperiode für dieses Amt angepasste Gültigkeitsfrist an.
    • Widerrufszertifikat, damit eine Möglichkeit besteht bei Bedarf die Gültigkeit des privaten Schlüssels zu widerrufen
  4. Der Absender und Empfänger treten dem Netz des Vertrauens bzw. Web of Trust (WOT) [4] der Piratenpartei bei, in dem Sie eine zuverlässige Identitätsprüfung der jeweiligen Kommunikationspartner (Absender oder Empfänger) durchführen:
    • entweder unmitelbar bei einer persönlichen Begegnung
    • oder mittelbar ('weitergehendes Vertrauen') durch Erlangen des Vertrauens zum Empfänger über vertrauenswürdige Drittpersonen, die vom Absender selbst oder von anderen vertrauenswürdigen Personen im WOT einer zuverlässigen Identitätsprüfung unterzogen wurden, wie es das WOT-Konzept vorsieht. S. dazu [2], [4].
  5. Absender und Empfänger
    • signieren einander die öffentliche Schlüssel [3]
    • versenden die signierte und verschlüsselte öffentliche Schlüssel an den jeweiligen Eigentümer
    • importieren eigene öffentliche Schlüssel, die von den Kommunikationspartnern signiert wurden
    • exportieren eigene öffentliche Schlüssel und machen diese dem Kommunikationspartner verfügbar entweder durch die Veröffentlichung auf einem Webserver oder durch Versenden per eMail
    • synchronisieren eigene Schlüssel und die Schlüssel der Kommunikationspartner mit dem Schlüsselserver (Aktualisierung der Schlüssel).
  6. Absender
    • erstellt die eMail-Nachricht ggf. mit einem Anhang, die jeweils persönliche Daten enthalten
    • tippt das Passwort ein, um einen Zugang zum privaten Schlüssel zu erlangen
    • signiert die Nachricht mit eigenem privaten Schlüssel
    • verschlüsselt die Nachricht ggf. samt Anhang mit Hilfe des öffentlichen Schlüssels des Empfängers beim Versenden
  7. mail-Provider des Absenders
    • überträgt die verschlüsselte Nachricht ggf. mit einem Anhang, vom Absender-Client zum mail-Server des Empfängers
  8. mail-Provider des Empfängers
    • überträgt die verschlüsselte Nachricht zum Empfänger-Client
  9. Empfänger
    • tippt das Passwort ein, um einen Zugang zum privaten Schlüssel zu erlangen
    • entschlüsselt die verschlüsselte eMail-Nachricht
    • prüft die Authentizität des Absenders anhand des Fingerprints in der Signatur der Nachricht
Wichtig!
Bei der Übertragung der Nachricht samt Anhang mit Hilfe der PGP-Infrastruktur ist eine End-to-End-Verschlüsselung gewährleistet. Damit sind die persönliche Daten auf dem ganzen Übertragungsweg vor der Einsicht durch Dritte nach dem Stand der Technik geschützt.

Amtsübergabe

  1. Verlässt eine Person das Amt, dann sendet diese das Widerrufszertifikat zu dem Schlüssel auf den Schlüssel-Servern. Dieser Schlüssel gilt damit für neue Mails als nicht mehr vertrauenswürdig, Entschlüsselung und damit ein Zugriff auf die alte eMails ist mit dem alten Schlüssel möglich. Der alte Schlüssel wird dann inkl. Passwort an den Nachfolger bzw. der Nachfolger ändert das Passwort bei der Übergabe.
  2. Der Nachfolger legt sich einen neuen Schlüssel an und sorgt für die Vertrauenswüerdigkeit dieses Schlüssels in dem er ihn von vertrauenswürdigen Personen signieren lässt. Mit der Signatur wird dann nicht nur die Schlüssel-Personen Verknüpfung bescheinigt, sondern auch das Amt.
  3. Sollte jemand das Amt (z.B. unfreiwillig) verlassen und das Widerrufszertifikat nicht senden, muessen alle signierer die Signatur widerrufen. Wird der Schluessel nicht an den Nachfolger gegeben, ist das vergleichbar mit dem Umstand, dass die Papierordner nicht rausgerückt werden.
    • um dennoch auf die versendete/empfangene eMails in so einem Fall zugreifen zu können, ist im Vorfeld die Einrichtung von verschlüsselten eMail-Postfächern
      • AmtEingangArchiv
      • AmtgesendetArchiv
      möglich.

Widerruf des privaten Schlüssels

Absender und Empfänger widerrufen mit Hilfe des Widerrufzertifikats den privaten Schlüssel, falls ein Verdacht besteht, dass der entsprechende private Schlüssel und vielleicht sogar der Passwortsatz in falsche Hände gelangt sein könnte.

Glossar

Kommunikationspartner
ist Absender oder Empfänger
Masterkey
Große Unternehmen, welche PGP benutzen handhaben es ja teilweise so, das alle Mails nicht nur mit dem Empfänger Key und dem Absender Key verschlüsselt werden, sondern auch noch ein dritter Key zum Einsatz kommt. Welcher quasi eine Art Masterkey ist. Die Geschäftsführung oder der Aufsichtsrat ist in Besitzt dieses Masterkeys. Dieser Masterkey muss immer Teil im Key eines Arbeitnehmers sein.

Quellen

Allgemeininfos und Technische Anleitungen für die Realisierung des oben beschriebenes Konzepts für einige Anwendungsfälle:

  1. PGP - Pretty Good Privacy
  2. Keysigning-Party-Knigge - Verfahren für eine zuverlässige Identitätsprüfung
  3. Verläslichkeit/Glaubwürdigkeit des Schlüssels beim Signieren festlegen
  4. http://de.wikipedia.org/wiki/Web_of_Trust - Netz des Vertrauens bzw. Web of Trust (WOT)
  5. Landesdatenschutzbeauftragter Piratenpartei Niedersachsen
  6. 10 Gründe für PGP
  7. http://wiki.piratenpartei.de/PGP/FAQ - FAQ
  8. Verifikation digitaler Signaturen - TU Darmstadt. Seminar: Technische Grundlagen elektronischer Geschäftsbeziehungen. Wintersemester 98/99.
  9. http://www.netplanet.org/kryptografie/pgp.shtml - Pretty Good Privacy (PGP)
  10. Download von Programmen für den Selbstdatenschutz - Landesbeauftragter für den Datenschutz des Landes Schleswig-Holstein
  11. Gpg4win – Sichere E-Mail- und Datei-Verschlüsselung. Bundesamt für Sicherheit in der Informationstechnik (BSI). (Vorsicht!)