Es mag nun verblüffend sein, aber es gibt Codes, die genau diese Bedingungen erfüllen26. Sie sind so gut, dass man sogar das Vorgehen bei der Verschlüsselung offenlegen kann, ohne dass einem Angreifer damit geholfen wäre. Solange er nur den Algorithmus, nicht aber den geheimen Schlüssel selbst kennt, kann er nur durch Probieren den Text entziffern.
Durch das Benutzen öffentlicher Schlüssel ergibt sich eine weitere interessante Möglichkeit: Fälschungssichere elektronische Unterschriften. So etwas klingt zunächst einmal unmöglich, ist doch gerade der Computer das klassische Werkzeug zum beliebigen Kopieren und Verändern von Information. Wie geht Alice nun vor, wenn Sie Bob beweisen will, dass ein bestimmtes Dokument von ihr stammt?
Sie erzeugt so etwas wie einen Fingerabdruck des Dokuments, eine Art Prüfsumme, die auf möglichst eindeutige Weise nur von diesem bestimmten Dokument stammen kann. Diesen Fingerabdruck chiffriert sie mit ihrem privaten Schlüssel. Bob wiederum nimmt den öffentlichen Schlüssel von Alice, dechiffriert damit den Fingerabdruck und prüft dann seinerseits, ob er bei seinem erhaltenen Dokument den gleichen Fingerabdruck bekommt. Ein Angreifer kann vielleicht die Nachricht auf dem Transportweg abfangen, er kann sie aber nicht ändern, weil sich damit auch die Prüfsumme ändern würde. Er kann auch nicht versuchen, einfach eine neue Prüfsumme zu generieren, weil er sie mit Alices privatem Schlüssel chiffrieren müsste.
In der Netzwelt hat sich als Standardverschlüsselungsprogramm das gratis erhältliche PGP (pretty good privacy) als de facto Standard durchgesetzt. Allerdings kam dieses Programm etwas in Verruf, als die amerikanischen Behörden, die gute Verschlüsselungsprogramme als Kriegswaffen einstuft und deren Export rigide beschränken, auf einmal keinerlei Einwände gegen die Verwendung von PGP-Schlüssellängen hatten, die eigentlich auch in den nächsten Jahren Computern eine unerlaubte Dechiffrierung unmöglich machen sollte. Der Verdacht kam auf, dass im Programm eine Hintertür für den amerikanischen Geheimdienst eingebaut wurde.
Man mag nun zu Verschwörungstheorien neigen oder nicht: Ob ein Kryptographie-Programm etwas taugt, kann man nur beurteilen, wenn man die Programmquellcodes untersuchen kann. Da aber PGP in fertig compilierter Form ausgeliefert wird, muss man sich auf die Zusicherung der Herstellerfirma verlassen, und ist deren Ruf erst einmal wie im Fall von PGP angekratzt, sinkt auch das Vertrauen in die Software. Aus diesem Grund gibt es jetzt auch Aktivitäten der Open Source Szene, ein Verschlüsselungsprogramm anzubieten: GnuPG. Es baut auf den gleichen Schlüsseltechniken wie PGP auf, beide Programme können auch den vom jeweils anderen Programm stammenden Schlüssel verarbeiten, aber gpg ist für alle einsehbar. Wenn es wirklich schwerwiegende Fehler hätte, würden sie gefunden und publiziert.
Macht es nun wirklich Sinn zu veschlüsseln? Natürlich hängt die Antwort auf diese Frage vor allem von der persönlichen Einstellung ab. Wer jetzt wie üblich argumentiert, er habe nichts zu verbergen, muss sich fragen lassen, warum er denn beim Toilettenbesuch immer die Tür hinter sich zumache. Stimmt, nicht, weil man eine strafbare Handlung beginge (vom Pinkeln gegen Expo-Pavillions vielleicht einmal abgesehen), sondern weil man Privatsphäre haben will. Es geht andere schlicht nichts an, was ich meinen Freunden zu schreiben habe. Muss man dann aber wirklich gleich alles verschlüsseln?
Wenn man es mit seinem Privatleben ernst meint, ja. Bei den wenigsten Mails, die ich schreibe, hätte ich besondere Probleme, wenn ein gelangweilter SysOp sie mitläse. Würde ich aber nur die zwei Mails pro Woche, die wirklich persönlicherer Natur sind, verschlüsseln, erleichterte ich einem Angreifer das Leben nur unnötig, denn dann wüsste er, worauf er sich konzentrieren müsste. Und das Abhören von Mails ist Realität. Zumindest von den USA und Großbritannien ist inzwischen bekannt, dass sie in großem Umfang und undifferenziert Funkstrecken abhören und dabei vom Telefongespräch bis zur Email buchstäblich alles mitschneiden, was übertragen wird. Die lange geleugnete Existenz des Echelon-Systems wurde jetzt offiziell von den Vereinigten Staaten bestätigt. Der Wunsch eines Staates, sich gegen Terrorismus und Spionage zu schützen, ist verständlich, aber ist es nicht beleidigend, wenn jeder Auslandskontakt als ein potenzieller terroristischer Akt behandelt wird? Würde man sich als Kunde nicht auch erniedrigt fühlen, wenn man sich bei jedem Einkauf im Supermarkt von neugierigen Warenhausdetektiven in der Handtasche herumschnüffeln lassen müsste? Das Entwürdigende wäre nicht, als Ladendieb erwischt zu werden, denn man hat ja nichts gestohlen. Das Entwürdigende bestünde darin, nicht willkommen geheißen, sondern pauschal als potenzieller Verbrecher behandelt zu werden.