c't 25/2019
S. 78
Titel
FIDO2: PGP mit Hardware-Token
Aufmacherbild

Ausgezeichnet unterzeichnet

PGP-Schlüssel trojanersicher auf Krypto-Sticks ablegen

Schlüssel für asymmetrische Kryptografie begegnen nicht nur Freunden verschlüsselter Mails, sondern zum Beispiel auch Entwicklern, die ihre Git-Commits signieren wollen. Auf Krypto-Sticks mit Smartcard-Funktion wie den YubiKeys sind private Schlüssel optimal vor Angreifern geschützt.

PGP, mit vollem Namen „Pretty Good Privacy“, ist ein Verfahren zum Verschlüsseln und Signieren von Nachrichten, Dateien und Texten aller Art, das immer dann sinnvoll ist, wenn man diese über einen potenziell unsicheren Kanal verschicken will – häufig, aber nicht immer, geht es dabei um E-Mails. Wie PGP funktioniert und wie Sie es in einem Mailprogramm einbinden, erklären wir in einem kostenlosen Online-Artikel (siehe ct.de/y93z). Um diesen Artikel nachvollziehen zu können, sollten Sie mit der grundlegenden Funktionsweise vertraut sein.

Das Verfahren basiert darauf, dass jeder Teilnehmer ein Schlüsselpaar aus privatem und öffentlichem Schlüssel besitzt. Den öffentlichen Schlüssel, der Name verrät es schon, möchte man mit möglichst vielen potenziellen Empfängern teilen. Der private Schlüssel dagegen darf niemals in fremde Hände gelangen. Die Schwachstelle: Der private Schlüssel liegt normalerweise in einer Datei auf der Festplatte seines Besitzers. Im besten Falle ist die Festplatte immerhin verschlüsselt und der Schlüssel zusätzlich mit einem Kennwort gesichert. Doch all das nützt wenig, wenn eine Schadsoftware im laufenden Betrieb, also während die Festplatte entsperrt ist, sowohl an die Datei mit dem Schlüssel gelangt als auch die Tastatureingaben mit dem Kennwort mitschneidet und beides an einen Angreifer übermittelt.

Kommentieren