Der Stellenwert sicherer Passphrasen

Die Verschlüsselung von E-Mails ist wichtig, aber auch der beste Schutz ist wirkungslos, wenn ungeeignete Passphrasen für die Encryption der Daten verwendet werden. Systeme wie GnuPG helfen dabei, sichere Passwörter zu genieren – und warum das gerade in Unternehmerkreisen zwingend notwendig ist, klärt der folgende Artikel.

Sichere Passwörter für PGP
Das Versenden von E-Mails mit geeigneten OpenPGP-Implementierungen ist weithin als das sicherste Verfahren bekannt, um wichtige Nachrichten sehr sicher vor den Zugriffen Dritter zu schützen. Dabei spielt jedoch die Nutzung einer sicheren Passphrase(Passwort) eine große Rolle: Passwörter wie das berühmte „abc123“ oder, noch schlimmer, Begriffe ohne Ziffern in der Zeichenfolge können selbst von handelsüblichen Computern innerhalb einer relativ kurzen Zeit errechnet werden, womit die Verschlüsselung aufgebrochen ist.

Systeme wie GnuPG beugen diesem Dilemma vor: Diese Implementierung von OpenPGP verschlüsselt einen beliebigen Datensatz und erzeugt gleichzeitig eine sichere elektronische Signatur. Der Grad der Verschlüsselung kann dabei auch so gewählt werden, dass absolut sichere Passphrasen generiert werden – wie vielleicht „#sQ9%owJ4@“. Selbst mit einem erheblichen Aufwand, wie ihn NSA & Co. aufbringen könnten,  ist ein solches Passwort nicht mit normalen Mitteln in einem hinreichenden Zeitrahmen zu entschlüsseln. Wer sein Passwort selbst definieren möchte, wählt eines möglichst mit Ziffern und Sonderzeichen, sowie unter Verwendung von Groß- und Kleinschreibung, wenigstens acht, besser zwölf Zeichen lang.

Warum erzeuge ich nicht meine eigene zufällige Zahl?
Ganz einfach: Weil Menschen nicht dazu in der Lage sind, wirklich zufällige Entscheidungen zu treffen. Wir treffen bewusst den Entschluss, einen bestimmten Buchstaben in unserer Passphrase zu verwenden – mit Zufall hat das nichts zu tun. Ein Zufallszahlengenerator wie ihn gpg4o verwendet ist daher die einzige tatsächlich sichere Methode, um zufallsgenerierte Passphrasen auszugeben, welche auch für die Verwendung in sicherheitskritischen Unternehmensumgebungen geeignet sind.

Wer das System kennt
… weiß auch um dessen Schwächen Bescheid. Glücklicherweise ist GnuPG jedoch bislang nicht von Schwachstellen in Bezug auf die Erzeugung seiner Passphrasen betroffen. Das heißt, dass es nicht möglich ist, etwaige Sicherheitslücken auszunutzen, um an eine durch dieses Programm vergebene Passphrase zu gelangen. Weithin gilt das Versenden von E-Mails, deren Schlüssel durch diese OpenPGP-Implementierung erzeugt wurden, daher als absolut sicher – zumindest derzeit, denn was die Zukunft bringt, kann natürlich niemand vorhersagen.

E-Mail-Encryption in Unternehmen
Warum die E-Mail-Verschlüsselung überhaupt notwendig ist, dürfte in Zeiten der beinahe monatlichen neuen Datenskandale keiner Erwähnung wert sein. Gerade Nachrichten mit wertvollen Anhängen – wie beispielsweise eine Liste mit Kundendaten, die von einer Dienststelle eines Unternehmens an eine andere gesendet wird – sollten überhaupt nicht unverschlüsselt verschickt werden. Da der Einsatz von gpg4o im Zusammenhang mit der E-Mail-Anwendung Outlook  nicht weiter kompliziert ist, sollten Unternehmen heutzutage in keinem Fall auf diese asymmetrische Verschlüsselung mit Paaren aus Public und Private Key verzichten.

Kommentare

Ihr Kommentar

* Die markierten Felder sind Pflichtfelder. Bitte ausfüllen.

Kommentar *

Bitte beachten Sie vor dem Eintragen die Datenschutzerklärung). .