Technologie

E-Mail-Verschlüsselung mit PGP / OpenPGP einfach erklärt

Hacker Sicherheit Passwort Hack Safer Internet Day
geschrieben von Tobias Gillen

Hier erklären wir dir komplexe technische Dinge einfach und kompakt in übersichtlichen FAQs. Hier: Die E-Mail-Verschlüsselung mittels PGP / OpenPGP – von der Geschichte über die Funktionsweise bis zu den Vor- und Nachteilen.

Woher stammt PGP?

PGP wurde 1991 vom amerikanischen Informatiker Phil Zimmermann in einer ersten Version entwickelt. Da es durch das US-Exportgesetz anfangs nicht lizenzfrei exportiert werden konnte, veröffentlichte Zimmermann den gesamten Quellcode als Buch, das dann über 60 Freiwillige abgetippt haben. Nach etlichen Verkäufen und Zusammenschlüssen wurde die PGP Corporation dann 2010 von der amerikanischen Software-Firma Symantec für 300 Millionen US-Dollar gekauft. Die ursprüngliche Kommerzialisierung hatte dabei einzig das Ziel, die Rechtsstreitigkeiten mit der US-Regierung zu finanzieren.

Wofür steht PGP / OpenPGP?

PGP bedeutet Pretty Good Privacy, also auf Deutsch etwa Ziemlich gute Privatsphäre. PGP bezeichnet heute allerdings nur noch ein Programm, das noch als „Symantec Encryption Desktop“ zu beziehen ist. Alternativ wurde der freie Standard OpenPGP entwickelt, der in GPG zum Einsatz kommt. PGP ist entsprechend nur noch umgangssprachlich.


Neue Stellenangebote

Growth Marketing Manager:in – Social Media
GOhiring GmbH in Home Office
Senior Social Media Manager:in im Corporate Strategy Office (w/d/m)
Haufe Group SE in Freiburg im Breisgau
Senior Communication Manager – Social Media (f/m/d)
E.ON Energy Markets GmbH in Essen

Alle Stellenanzeigen


Was ist PGP / OpenPGP?

PGP / OpenPGP ermöglicht es dem Nutzer, die Echtheit einer Nachricht (einer E-Mail) mit einer Signatur zu bestätigen und zudem die Nachricht zu verschlüsseln. Das funktioniert nach dem Schlüssel-Schloss-Prinzip.

Was ist das Schlüssel-Schloss-Prinzip?

Man stelle sich ein gewöhnliches Vorhängeschloss vor. Dieses Vorhängeschloss gebe ich all meinen Kontakten (oder stelle es auf meine Website, lade es auf sogenannte Keyserver hoch). Den Schlüssel aber behalte ich nur für mich. So kann jeder, der mir eine Nachricht verschlüsselt schicken möchte, diese mit dem Vorhängeschloss „abschließen“ und mir übergeben. Nur ich alleine kann sie öffnen. Möchte ich eine PGP-verschlüsselte Nachricht verschicken, besorge ich mir das Vorhängeschloss meines Gegenübers und schließe es damit ab. Nun kann nur noch er die Nachricht öffnen.

Was sind Public Key und Secret Key?

Die Bezeichnungen Public Key und Secret Key beschreiben das Schlüssel-Schloss-Prinzip. Der Public Key ist der Code, mit dem die Nachricht verschlüsselt wird (das Vorhängeschloss). Der Secret Key ist mein Schlüssel, um die Nachricht zu entschlüsseln (der Schlüssel).

Wird mit PGP / OpenPGP alles verschlüsselt?

Nein. PGP / OpenPGP verschlüsselt nur den Inhalt einer Nachricht, kann aber nicht die Meta-Daten verschlüsseln, also wann wer mit wem geschrieben hat. Zudem bleibt der Betreff unverschlüsselt. Es gibt bereits Ansätze, dieses Problem zu umgehen, etwa von der Dark-Mail-Allianz rund um Phil Zimmermann und Ladar Levison. Wichtig ist aber zu verstehen, dass E-Mail-Verschlüsselung bei PGP nur ein Anwendungszweck ist.

Was ist die Signatur von Nachrichten?

Mit der Signatur kann der Empfänger überprüfen, ob die Nachricht auch wirklich vom gewünschten Absender stammt und nicht unterwegs manipuliert wurde. Jedes PGP-Programm bietet die Möglichkeit an, eine Nachricht zu signieren.

Was ist das Web of Trust?

Das Web of Trust – zu Deutsch: Netz des Vertrauens – beschreibt die Idee, ein vertrauenswürdiges Netz aus Schlüsseln aufzubauen, ohne dass ich jeden Schlüsselinhaber selbst kennen und verifizieren muss. In der Wikipedia wird es gut wie folgt und leicht von uns angepasst beschrieben: „Anton signiert den Schlüssel von Anja und vertraut Anjas Schlüsselsignaturen. Anja signiert den Schlüssel von Peter. Somit betrachtet Anton den Schlüssel von Peter als gültig.“ Entsprechend empfiehlt es sich also, dass ich Schlüssel von mir bekannten Personen verifiziere. Aber Achtung: Das Web of Trust kann leicht manipuliert werden.

Welche Programme brauche ich?

Für Mac-Nutzer empfiehlt sich ein Blick auf GPGTools.org. Windows-Nutzer schauen am besten bei GPG4Win.org vorbei.

Wo finde ich Schritt-für-Schritt-Anleitungen?

Bei uns natürlich. Im Herbst 2013 haben wir uns im Tagebuch eines Ahnungslosen daran gemacht, E-Mail-Verschlüsselung aus Sicht eines Anfängers für Anfänger aufzubereiten:

  1. E-Mails verschlüsseln mit PGP – How To
  2. E-Mails verschlüsseln mit PGP – Erfahrungen
  3. E-Mails verschlüsseln mit PGP – am Smartphone
  4. E-Mails verschlüsseln mit S/MIME – How To
  5. E-Mails verschlüsseln mit S/MIME – am Smartphone
  6. E-Mails verschlüsseln – Fingerprints und Web of Trust

Zudem haben wir das alles in dem Buch Spurlos & Verschlüsselt! verarbeitet sowie als E-Book herausgebracht. Mehr dazu hier.

Über den Autor

Tobias Gillen

Tobias Gillen ist Geschäftsführer der BASIC thinking GmbH und damit verantwortlich für BASIC thinking und BASIC thinking International. Seit 2017 leitet er zudem die Medienmarke FINANZENTDECKER.de. Erreichen kann man ihn immer per Social Media.

3 Kommentare