Wie Du uns vertrauliche Daten sicher schicken kannst

Wenn du mit uns Dateien austauschen möchtest, die besonderen Schutz benötigen, kannst du das auf verschiedene Arten tun. Dieser Artikel beschreibt zwei davon: PGP / GPG oder einen Sharing-Dienst.

 
 Lifeguard

Wenn du mit uns Dateien austauschen möchtest, die besonderen Schutz benötigen, kannst du das auf zweierlei Arten tun:

  1. als Download-Link oder Ticket-Anhang, mit PGP / GPG verschlüsselt
  2. über einen einen Sharing-Dienst deiner Wahl, z.B. 1Password oder einen anderen sicheren Dienst.

Für kleinere Dateien eignet sich besonders die zweite Variante. Wenn die Dateien größer sind und du sie über einen ansonsten nicht vertrauenswürdigen Kanal bereitstellen oder schicken möchtest, eignet sich die GPG-Verschlüsselung.

Verschlüsselte Dateien per PGP / GPG

Der Austausch von Dateien (oder E-Mails) mit der PGP-Verschlüsselung ist noch ein Stück sicherer, wenn man einige Punkte beachtet. Es ist wichtig, dass du das Grundprinzip dieses "Public / Private Key"-Verfahrens verstehst. PGP steht für "Pretty Good Privacy" und ist ursprünglich eine kommerzielle Software, die Verschlüsselung ermöglicht. GPG oder GnuPG steht für "GNU Privacy Guard" und ist die freie Variante desselben Verfahrens

Die Grundidee ist folgende: Personen können sich verschlüsselte Informationen schicken, ohne dass sie dafür jemals ein Passwort oder geheimes Zertifikat austauschen müssen.

  1. Deine GPG-Identität besteht basiert auf einem Schlüsselpaar: einem öffentlichen Schlüssel (Public Key) und einem privaten Schlüssel (Private Key). Den öffentlichen Schlüssel darfst du jederzeit an jeden weitergeben und an öffentlichen Stellen bereitstellen. Den privaten Schlüssel darfst du niemals weitergeben, auch nicht an Kollegen oder an uns, und solltest ihn besonders gut aufheben und sichern.
  2. Um eine Information (Datei, E-Mail ...) zu verschlüsseln benötigst du nur den öffentlichen Schlüssel (Public Key) des Empfängers. Zum Verschlüsseln benötigst du kein eigenes Schlüsselpaar. Wenn du die Information zusätzlich signieren möchtest (damit wir überprüfen können, dass die Information wirklich von dir ist), benutzt du dafür deinen privaten Schlüssel.
  3. Eine Information ist immer speziell für einen oder mehrere Empfänger verschlüsselt - es gibt also kein Master-Passwort das du jemandem schicken könntest damit er die Information entschlüsseln könnte. Um eine Information zu entschlüsseln benötigst der Empfänger genau den privaten Schlüssel von dem Schlüsselpaar, für dessen öffentlichen Schlüssel die Information verschlüsselt wurde.

Ein kleiner Exkurs: Wir bei Flownative nehmen die Sicherheit sehr ernst, und haben unsere privaten GPG-Schlüssel (wie auch die für SSH) sicher in einem so genannten "Security Token" gespeichert. Der Token den wir verwenden heißt "YubiKey" und sieht aus wie ein USB-Stick mit einer Taste. Er enthält einen Chip, der private Schlüssel speichern kann und diese selbst beim Signieren und Entschlüsseln niemals an den Computer herausgibt. Zusätzlich ist der YubiKey mit einer PIN geschützt. Ähnlich wie bei einer SIM-Karte für Mobiltelefone löscht der YubiKey alle Informationen, wenn die PIN mehrmals falsch eingegeben wurde. Weitere Informationen zu diesem Thema unter https://www.yubico.com/products/ oder https://en.wikipedia.org/wiki/OpenPGP_card.

Es lohnt sich, dass du dich einen Moment mit GPG auseinandersetzt. Einen guten Start gibt dieses Tutorial: https://www.digitalocean.com/community/tutorials/how-to-use-gpg-to-encrypt-and-sign-messages

Konkret: Dateien per GPG verschlüsseln und an Flownative schicken

Voraussetzungen:

  • du hast die GPG-Tools auf deinem Rechner installiert
  • du hast dir einen eigenes Schlüsselpaar erstellt (bitte wähle eine Schlüsselgröße von 4096 Bit oder besser)
  • du hast die Möglichkeit, uns Dateien über einen öffentlichen oder passwortgeschützten Server (Webserver, Google Drive, Dropbox o.ä.) bereitzustellen
     

Besorge dir zunächst den öffentlichen Schlüssel des Empfängers. Das kann ein persönlicher Schlüssel von jemandem aus dem Flownative-Team sein oder unser öffentlicher Schlüssel für "backoffice@flownative.com". Unter den folgenden Links findest du öffentlichen Schlüssel aus unserem Team, du solltest aber über einen zusätzlichen Kanal (z.B. Telefon) sicherstellen, dass es wirklich unsere Schlüssel sind.

Importiere den Key deiner Wahl mit GPG. Mit dem Kommandozeilen-Tool geht das so:

gpg --import pgp_keys.asc

Anschließend kannst du eine Datei verschlüsseln und gleichzeitig signieren:

gpg --encrypt --sign --recipient robert@flownative.com --output Katzenbild.png.gpg Katzenbild.png

Die verschlüsselte Datei Katzenbild.png.gpg kann anschließend nur von Robert entschlüsselt werden (selbst von dir nicht). Du kannst eine Datei auch so verschlüsseln, dass sie mehrere Empfänger entschlüsseln können:

gpg --encrypt --sign --recipient robert@flownative.com --recipient karsten@flownative.com --output Katzenbild.png.gpg Katzenbild.png

Die verschlüsselte Datei kannst du ohne Probleme auf einen Server hochladen (auch Dropbox o.ä. sind kein Problem), denn sie ist ja verschlüsselt. Anschließend schickst du uns einen Link mit dem wir die Datei erreichen können.