Was ist die Signatur?

Der Begriff "Signatur" wird bei einer eMail normalerweise verwendet, wenn es darum geht einen Standardtext z.B. Kontaktinformationen unter eine eMail zu hängen.

GPG meint mit Signatur jedoch eine digitale Unterschrift. Aus dem Text Eurer eMail wird ein sogenannter "Hash-Wert" ermittelt. Ein Hash-Wert wird durch eine komplexe mathematische Operation berechnet. Es geht darum aus jedem Text eine eindeutige und vor allem einzigartige Zeichenfolge zu berechnen. Wird auch nur ein Zeichen im Text verändert, führt die Berechnung zu einem vollkommen anderen Hash-Wert. Der Hash-Wert Eurer eMail wird mit Eurem privaten Schlüssel verschlüsselt.

Das eMailprogramm des Empfängers entschlüsselt mit Eurem öffentlichen Schlüssel den Hash-Wert, berechnet aus der Mail ebenfalls den Hash-Wert und vergleicht die beiden Ergebnisse miteinander. Sind beide Werte identisch wurde die eMail auf dem Übertragungsweg nicht verändert.

Es gibt zwei Möglichkeiten, wie die Signatur mit der eMail verknüpft wird. Entweder sie wird als Text unter die eMail geschrieben, oder als Dateianhang mitgeschickt. Die Textversion heißt "Clearsign" oder auch "InlinePGP" und die Dateianhangvariante nennt man "PGP/MIME".

Der Unterschied ist ganz einfach ersichtlich. Wenn der Empfänger auf seinem Computer GPG nicht installiert hat sieht meine InlinePGP signierte eMail so aus:

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

Dies ist ein Test mit InlinePGP.
-----BEGIN PGP SIGNATURE-----
Version: APG v1.1.1

iIQEAREKACwFAlUUetMlHFJlaW5oYXJkIERpeCA8bWFpbEByZWluaGFyZC1kaXgu
bmV0PgAKCRCoxfNsaYFzQe2SAQCxKP9Rfom1PvpnCtAoidrZa8cwdslDbcx/lWmA
wrgXSQD+PbnjC8KyFFspMVFu+ESC0g4EwMBZb7BkK3fWxmQgEm0=
=3+3Q
-----END PGP SIGNATURE-----

Die Information für den Empfänger steht irgendwo mitten im Zeichensalat. Ich finde es verständlich, dass hiervon jeder genervt ist, der sich nicht für Verschlüsselung interessiert.

Bei einer Signatur mit PGP/MIME sieht eine signierte eMail aus wie immer. Thunderbird verschweigt die PGP/MIME Signatur, Outlook zeigt ein Siegel auf dem Briefumschlag. Der Empfänger wird jedoch nicht mit merkwürdigen Zeichenketten verwirrt. Daher bevorzuge ich die PGP/MIME Variante.