Pgp Pretty Good Privacy

Was bedeutet PGP (Pretty Good Privacy)?

PGP (Pretty Good Privacy) ist ein Verschlüsselungsstandard für E-Mails, den der US-Amerikaner Phil Zimmermann erfunden hat. Es ermöglicht die Verschlüsselung von Nachrichten, die nur der echte Empfänger lesen kann. Die daraus entwickelte kommerzielle Variante hat in der Vergangenheit mehrmals den Eigentümer gewechselt und spielt heute in der Praxis keine Rolle mehr. Das Misstrauen ist zu groß, dass sich bei einem der Eigentümerwechsel Sicherheitslücken ins Programm eingeschlichen haben. Ist von PGP die Rede, ist damit heute in der Regel das seit 1998 erhältliche OpenPGP (RFC 4880) gemeint, das auf der PGP Version 5 basiert. Diese Variante gilt bei richtiger Anwendung als sicher, auch Edward Snowden vertraute bei seiner Kommunikation der PGP-Verschlüsselung.

Wie funktioniert PGP?

Bei dem gegenseitigen Vertrauensmodell von PGP tauschen zwei Seiten ihren öffentlichen Schlüssel gegenseitig aus und bestätigen die Vertrauenswürdigkeit und Identität der anderen Seite. Das Verschlüsselungskonzept verzichtet auf eine zentrale Instanz. Hauptanwendungen sind die Verschlüsselung und Signierung von E-Mails. Die Verschlüsselung benötigt ein Schlüsselpaar, das aus einem privaten und öffentlichen Schlüssel besteht. Der private Schlüssel muss geheim bleiben, der öffentliche Schlüssel dient zum Verschlüsseln der E-Mails. Die Entschlüsselung ist nur für den Anwender möglich, der im Besitz des privaten Schlüssels ist. Zusätzlich agiert der öffentliche Schlüssel als Signatur. Damit wird die Echtheit einer E-Mail bestätigt. Der Empfänger einer verschlüsselten Nachricht kann andernfalls nicht sicherstellen, dass die E-Mail wirklich vom angegeben Absender verschickt wurde. Aus diesem Grund müssen andere PGP-Nutzer den öffentlichen Schlüssel eines Anwenders beglaubigen. Dies geschieht, indem Nutzer die öffentlichen Schlüssel der ihnen bekannten Nutzer mit ihrem privaten Schlüssel beglaubigen.

Wie wird PGP angewendet?

Alle PGP-Nutzer besitzen ein Schlüsselpaar mit öffentlichem und privatem Schlüssel. Ein Schlüsselpaar hat zusätzlich einen digitalen Fingerabdruck und eine Schlüssel-ID. Die Kombination aus Schlüssel-ID und digitalem Fingerabdruck ist einzigartig. Über den Fingerabdruck kann jeder Nutzer die Echtheit eines öffentlichen Schlüssels überprüfen. Beim Fingerabdruck handelt es sich um eine Prüfsumme der Schlüsseldaten, die in hexadezimaler Form abgebildet wird. Zur Anwendung: Ein Nutzer verschickt den öffentlichen Schlüssel an alle Kontakte, von denen verschlüsselte E-Mails empfangen werden sollen. Mit dem privaten Schlüssel lassen sich anschließend die mit dem öffentlichen Schlüssel verschlüsselten Nachrichten wieder entschlüsseln. Der öffentliche Schlüssel eignet sich zudem zum Signieren, zur Beglaubigung der Echtheit wird eine E-Mail so digital unterschrieben. PGP verschlüsselt den Inhalt einer E-Mail wirksam, nicht jedoch die Metadaten wie Sender und Empfänger.