Was ist PGP?
Bei PGP (Pretty Good Privacy) handelt es sich um ein Programm, mit dem sich elektronische Nachrichten, wie beispielsweise E-Mails, mit einem persönlichen Schlüssel verschlüsseln und signieren lassen. Die Software kann für eine sichere Kommunikation über das Internet verwendet werden und basiert auf asymmetrischen Verschlüsselungsverfahren mit privaten und öffentlichen Schlüsseln.
Verschlüsselungsverfahren für eine sichere Kommunikation im Netz
Die Abkürzung PGP steht für den englischen Ausdruck „Pretty Good Privacy“ und bedeutet wörtlich übersetzt so viel wie „ziemlich gute Privatsphäre“. PGP wurde ursprünglich von dem US-amerikanischen Informatiker und Sicherheitsforscher Phil Zimmermann mit dem Ziel entwickelt, Anwendern eine Möglichkeit zu geben, elektronische Nachrichten im Internet verschlüsseln als auch signieren zu können. Eines der bedeutendsten Einsatzbereiche der Software ist die sichere Kommunikation via E-Mail. Nutzer, die PGP für den Versand von E-Mails benutzen, haben die Möglichkeit, die Nachrichten nur zu verschlüsseln, nur zu signieren oder sie zu signieren und zu verschlüsseln. Während die Signatur eingesetzt wird, um die Authentizität und die Integrität der Nachricht zu bestätigen, wird durch das Verschlüsseln verhindert, dass Unbefugte den Inhalt der Nachricht lesen können.
Bei einer signierten E-Mail kann gewährleistet werden, dass diese tatsächlich von dem angegebenen Absender stammt und dass keine Veränderungen vorgenommen wurden. Aus PGP entwickelte sich im Laufe der Jahre der Open-PGP-Standard als eine freie Alternative. Inzwischen bietet Open-PGP viele zusätzliche Funktionalitäten, die ursprünglich im PGP nicht enthalten waren. Als Basis nutzt PGP das sogenannte „Public-Key-Verfahren“ mit einer asymmetrischen Verschlüsselung. Allerdings kommen bei PGP auch symmetrische Schlüssel zum Einsatz, weswegen die Verschlüsselungsmethode als hybrides Verfahren zu klassifizieren ist.
PGP-Anwendungsfälle
PGP wird in erster Linie bei der Sicherung von E-Mails eingesetzt. Eine mit dem PGP-Verfahren gesicherte E-Mail wird in eine verschlüsselte Zeichenfolge umgewandelt, die unlesbar ist und ausschließlich mit dem entsprechenden Schlüssel wieder lesbar gemacht werden kann. Es gibt auch einige Softwarelösungen, die es ermöglichen, PGP in andere Apps und Dienste zu integrieren. Obwohl Pretty Good Privacy primär bei der Sicherung der Internetkommunikation eingesetzt wird, kann das Verfahren auch zur Sicherung einzelner Geräte verwendet werden.
Wie werden Nachrichten mit PGP verschlüsselt?
Die Verschlüsselung von PGP basiert auf privaten und öffentlichen Schlüsseln. Anwender nutzen den öffentlichen Schlüssel, um Nachrichten für einen Empfänger zu verschlüsseln. Das Entschlüsseln einer Nachricht ist nur mit dem privaten Schlüssel möglich, der ausschließlich dem Empfänger bekannt sein sollte. Bei der Verschlüsselung einer Nachricht verwendet der Sender hierfür den öffentlichen Schlüssel des Empfängers. Mit dem öffentlichen Schlüssel erfolgt jedoch keine Verschlüsselung der kompletten Nachricht, da die asymmetrische Verschlüsselungsmethode sehr rechenintensiv is. Dafür benötigt eine entsprechend leistungsstarke Hardware.
Bei dem Verschlüsselungsverfahren „Pretty Good Privacy“ wird die eigentliche Nachricht mit einem symmetrischen Session-Schlüssel verschlüsselt, der jedes Mal nach dem Zufallsprinzip neu generiert wird.
Wie können Nachrichten mit PGP signiert werden?
Um die Integrität und die Authentizität einer Nachricht gewährleisten zu können, kann der Sender der Nachricht eine Signatur hinzufügen. Hierfür erzeugt PGP aus dem Klartext der Nachricht über ein komplexes Haschverfahren einen digitalen Fingerprint, der den Sender eindeutig identifiziert. Dieser Fingerprint ist viel kürzer als die eigentliche Nachricht. Der Sender verschlüsselt mithilfe seines privaten Schlüssels diesen digitalen Fingerabdruck und fügt ihn dann der E-Mail hinzu.
PGP-Entschlüsselung von Nachrichten?
Zunächst wird der symmetrische Schlüssel entschlüsselt, der für die Session mit dem privaten Schlüssel des Empfängers generiert wurde. Der symmetrische Schlüssel wird anschließend vom Empfänger zur Entschlüsselung der Nachricht genutzt. Nachdem dieser Prozess erfolgreich abgeschlossen wurde, hat der Anwender Zugriff auf den Inhalt der Nachricht inklusive der digitalen Signatur. Im nächsten Schritt wird die Signatur überprüft, um die Authentizität des Absenders und die Integrität der Nachricht sicherzustellen. Um dies zu bewerkstelligen, erzeugt PGP aus dem Klartext der Nachricht einen digitalen Fingerprint mit demselben Hashverfahren, das auch der Sender der Nachricht genutzt hat. Zeitgleich entschlüsselt PGP den digitalen Fingerprint mit dem öffentlichen Schlüssel des Absenders. Falls beide Zeichenfolgen identisch sind, kann man davon ausgehen, dass die Signatur von dem benannten Sender stammt.
Netz des Vertrauens (Web of Trust)
Um die öffentlichen Schlüssel sicher austauschen zu können, nutzt Pretty Good Privacy ein sogenanntes „Netz des Vertrauens“ (Web of Trust). Hierbei handelt es sich um eine dezentrale Alternative zu der hierarchischen Public Key Infrastructure. In dem Web of Trust vertrauen die Teilnehmer darauf, dass die Schlüssel in der Tat von den benannten Sendern stammen. Nutzer bauen Vertrauensketten auf, indem sie Schlüssel unterschreiben, von denen sie sich sicher sind, dass sie zu einem bestimmten Kommunikationspartner gehören. Wenn ausreichend Nutzer Schlüssel überprüfen und unterschreiben, entsteht ein Vertrauensnetz.
- Über den Autor
- Aktuelle Beiträge
Daniel Faust ist Redakteur im Content-Team der Biteno und betreut den Blog der Biteno GmbH.