Sicherheit

E-Mail-Verschlüsselung mit PGP / OpenPGP einfach erklärt

Hacker Sicherheit Passwort Hack Safer Internet Day
geschrieben von Tobias Gillen

Hier erklären wir dir komplexe technische Dinge einfach und kompakt in übersichtlichen FAQs. Hier: Die E-Mail-Verschlüsselung mittels PGP / OpenPGP – von der Geschichte über die Funktionsweise bis zu den Vor- und Nachteilen.

Woher stammt PGP?

PGP wurde 1991 vom amerikanischen Informatiker Phil Zimmermann in einer ersten Version entwickelt. Da es durch das US-Exportgesetz anfangs nicht lizenzfrei exportiert werden konnte, veröffentlichte Zimmermann den gesamten Quellcode als Buch, das dann über 60 Freiwillige abgetippt haben. Nach etlichen Verkäufen und Zusammenschlüssen wurde die PGP Corporation dann 2010 von der amerikanischen Software-Firma Symantec für 300 Millionen US-Dollar gekauft. Die ursprüngliche Kommerzialisierung hatte dabei einzig das Ziel, die Rechtsstreitigkeiten mit der US-Regierung zu finanzieren.

Wofür steht PGP / OpenPGP?

PGP bedeutet Pretty Good Privacy, also auf Deutsch etwa Ziemlich gute Privatsphäre. PGP bezeichnet heute allerdings nur noch ein Programm, das noch als „Symantec Encryption Desktop“ zu beziehen ist. Alternativ wurde der freie Standard OpenPGP entwickelt, der in GPG zum Einsatz kommt. PGP ist entsprechend nur noch umgangssprachlich.

Was ist PGP / OpenPGP?

PGP / OpenPGP ermöglicht es dem Nutzer, die Echtheit einer Nachricht (einer E-Mail) mit einer Signatur zu bestätigen und zudem die Nachricht zu verschlüsseln. Das funktioniert nach dem Schlüssel-Schloss-Prinzip.

Was ist das Schlüssel-Schloss-Prinzip?

Man stelle sich ein gewöhnliches Vorhängeschloss vor. Dieses Vorhängeschloss gebe ich all meinen Kontakten (oder stelle es auf meine Website, lade es auf sogenannte Keyserver hoch). Den Schlüssel aber behalte ich nur für mich. So kann jeder, der mir eine Nachricht verschlüsselt schicken möchte, diese mit dem Vorhängeschloss „abschließen“ und mir übergeben. Nur ich alleine kann sie öffnen. Möchte ich eine PGP-verschlüsselte Nachricht verschicken, besorge ich mir das Vorhängeschloss meines Gegenübers und schließe es damit ab. Nun kann nur noch er die Nachricht öffnen.

Was sind Public Key und Secret Key?

Die Bezeichnungen Public Key und Secret Key beschreiben das Schlüssel-Schloss-Prinzip. Der Public Key ist der Code, mit dem die Nachricht verschlüsselt wird (das Vorhängeschloss). Der Secret Key ist mein Schlüssel, um die Nachricht zu entschlüsseln (der Schlüssel).

Wird mit PGP / OpenPGP alles verschlüsselt?

Nein. PGP / OpenPGP verschlüsselt nur den Inhalt einer Nachricht, kann aber nicht die Meta-Daten verschlüsseln, also wann wer mit wem geschrieben hat. Zudem bleibt der Betreff unverschlüsselt. Es gibt bereits Ansätze, dieses Problem zu umgehen, etwa von der Dark-Mail-Allianz rund um Phil Zimmermann und Ladar Levison. Wichtig ist aber zu verstehen, dass E-Mail-Verschlüsselung bei PGP nur ein Anwendungszweck ist.

Was ist die Signatur von Nachrichten?

Mit der Signatur kann der Empfänger überprüfen, ob die Nachricht auch wirklich vom gewünschten Absender stammt und nicht unterwegs manipuliert wurde. Jedes PGP-Programm bietet die Möglichkeit an, eine Nachricht zu signieren.

Was ist das Web of Trust?

Das Web of Trust – zu Deutsch: Netz des Vertrauens – beschreibt die Idee, ein vertrauenswürdiges Netz aus Schlüsseln aufzubauen, ohne dass ich jeden Schlüsselinhaber selbst kennen und verifizieren muss. In der Wikipedia wird es gut wie folgt und leicht von uns angepasst beschrieben: „Anton signiert den Schlüssel von Anja und vertraut Anjas Schlüsselsignaturen. Anja signiert den Schlüssel von Peter. Somit betrachtet Anton den Schlüssel von Peter als gültig.“ Entsprechend empfiehlt es sich also, dass ich Schlüssel von mir bekannten Personen verifiziere. Aber Achtung: Das Web of Trust kann leicht manipuliert werden.

Welche Programme brauche ich?

Für Mac-Nutzer empfiehlt sich ein Blick auf GPGTools.org. Windows-Nutzer schauen am besten bei GPG4Win.org vorbei.

Wo finde ich Schritt-für-Schritt-Anleitungen?

Bei uns natürlich. Im Herbst 2013 haben wir uns im Tagebuch eines Ahnungslosen daran gemacht, E-Mail-Verschlüsselung aus Sicht eines Anfängers für Anfänger aufzubereiten:

  1. E-Mails verschlüsseln mit PGP – How To
  2. E-Mails verschlüsseln mit PGP – Erfahrungen
  3. E-Mails verschlüsseln mit PGP – am Smartphone
  4. E-Mails verschlüsseln mit S/MIME – How To
  5. E-Mails verschlüsseln mit S/MIME – am Smartphone
  6. E-Mails verschlüsseln – Fingerprints und Web of Trust

Zudem haben wir das alles in dem Buch Spurlos & Verschlüsselt! verarbeitet sowie als E-Book herausgebracht. Mehr dazu hier.


Vernetze dich mit uns!

Like uns auf Facebook oder folge uns bei Twitter


Über den Autor

Tobias Gillen

Tobias Gillen ist seit August 2014 Chefredakteur und seit Mai 2015 Geschäftsführer von BASIC thinking. Erreichen kann man ihn immer per E-Mail oder in den Netzwerken.

2 Kommentare

  • In Zeiten von NSA und BND ist die PGP Verschlüsselung eine ziemlich nützliche Sache um den Geheimdiensten nicht sein ganzes Leben mitteilen zu müssen. Ich persönlich nutze selten die PGP Verschlüsselung über den Email Verkehr, wenn es um sensible Daten geht.

  • Ich befürchte, dass die (Schritt-für-Schritt-)Liste auf mobilen Geräten schlecht benutzbar ist – hier würde mehr Zeilenabstand helfen.

    Semantisch sollten die collapse-Klassen an button-Tags statt an a-Tags gebunden werden (ihr leitet ja nicht auf eine neue Seite um).

    Abkürzungen können in abbr-Tags mit ausgeschriebenem Tags im title-Attribut hinterlegt werden (so spart ihr Platz und der geneigte Leser kommt trotzdem an die Information über ein Mouse-Hover). Wenn ihr wollt, könnt ihr auf kleinen Geräten per content-/attr-Regeln (https://developer.mozilla.org/en-US/docs/Web/CSS/content#CSS_Content_4) angehängen.

Kommentieren