Hier erklären wir dir komplexe technische Dinge einfach und kompakt in übersichtlichen FAQs. Hier: Die E-Mail-Verschlüsselung mittels PGP / OpenPGP – von der Geschichte über die Funktionsweise bis zu den Vor- und Nachteilen.
Woher stammt PGP?
PGP wurde 1991 vom amerikanischen Informatiker Phil Zimmermann in einer ersten Version entwickelt. Da es durch das US-Exportgesetz anfangs nicht lizenzfrei exportiert werden konnte, veröffentlichte Zimmermann den gesamten Quellcode als Buch, das dann über 60 Freiwillige abgetippt haben. Nach etlichen Verkäufen und Zusammenschlüssen wurde die PGP Corporation dann 2010 von der amerikanischen Software-Firma Symantec für 300 Millionen US-Dollar gekauft. Die ursprüngliche Kommerzialisierung hatte dabei einzig das Ziel, die Rechtsstreitigkeiten mit der US-Regierung zu finanzieren.
Wofür steht PGP / OpenPGP?
PGP bedeutet Pretty Good Privacy, also auf Deutsch etwa Ziemlich gute Privatsphäre. PGP bezeichnet heute allerdings nur noch ein Programm, das noch als „Symantec Encryption Desktop“ zu beziehen ist. Alternativ wurde der freie Standard OpenPGP entwickelt, der in GPG zum Einsatz kommt. PGP ist entsprechend nur noch umgangssprachlich.
Du willst nicht abgehängt werden, wenn es um KI, Green Tech und die Tech-Themen von Morgen geht? Über 10.000 Vordenker bekommen jeden Tag die wichtigsten News direkt in die Inbox und sichern sich ihren Vorsprung.
Nur für kurze Zeit: Anmelden und mit etwas Glück AirPods 4 gewinnen!
Mit deiner Anmeldung bestätigst du unsere Datenschutzerklärung. Beim Gewinnspiel gelten die AGB.
Was ist PGP / OpenPGP?
PGP / OpenPGP ermöglicht es dem Nutzer, die Echtheit einer Nachricht (einer E-Mail) mit einer Signatur zu bestätigen und zudem die Nachricht zu verschlüsseln. Das funktioniert nach dem Schlüssel-Schloss-Prinzip.
Was ist das Schlüssel-Schloss-Prinzip?
Man stelle sich ein gewöhnliches Vorhängeschloss vor. Dieses Vorhängeschloss gebe ich all meinen Kontakten (oder stelle es auf meine Website, lade es auf sogenannte Keyserver hoch). Den Schlüssel aber behalte ich nur für mich. So kann jeder, der mir eine Nachricht verschlüsselt schicken möchte, diese mit dem Vorhängeschloss „abschließen“ und mir übergeben. Nur ich alleine kann sie öffnen. Möchte ich eine PGP-verschlüsselte Nachricht verschicken, besorge ich mir das Vorhängeschloss meines Gegenübers und schließe es damit ab. Nun kann nur noch er die Nachricht öffnen.
Was sind Public Key und Secret Key?
Die Bezeichnungen Public Key und Secret Key beschreiben das Schlüssel-Schloss-Prinzip. Der Public Key ist der Code, mit dem die Nachricht verschlüsselt wird (das Vorhängeschloss). Der Secret Key ist mein Schlüssel, um die Nachricht zu entschlüsseln (der Schlüssel).
Wird mit PGP / OpenPGP alles verschlüsselt?
Nein. PGP / OpenPGP verschlüsselt nur den Inhalt einer Nachricht, kann aber nicht die Meta-Daten verschlüsseln, also wann wer mit wem geschrieben hat. Zudem bleibt der Betreff unverschlüsselt. Es gibt bereits Ansätze, dieses Problem zu umgehen, etwa von der Dark-Mail-Allianz rund um Phil Zimmermann und Ladar Levison. Wichtig ist aber zu verstehen, dass E-Mail-Verschlüsselung bei PGP nur ein Anwendungszweck ist.
Was ist die Signatur von Nachrichten?
Mit der Signatur kann der Empfänger überprüfen, ob die Nachricht auch wirklich vom gewünschten Absender stammt und nicht unterwegs manipuliert wurde. Jedes PGP-Programm bietet die Möglichkeit an, eine Nachricht zu signieren.
Was ist das Web of Trust?
Das Web of Trust – zu Deutsch: Netz des Vertrauens – beschreibt die Idee, ein vertrauenswürdiges Netz aus Schlüsseln aufzubauen, ohne dass ich jeden Schlüsselinhaber selbst kennen und verifizieren muss. In der Wikipedia wird es gut wie folgt und leicht von uns angepasst beschrieben: „Anton signiert den Schlüssel von Anja und vertraut Anjas Schlüsselsignaturen. Anja signiert den Schlüssel von Peter. Somit betrachtet Anton den Schlüssel von Peter als gültig.“ Entsprechend empfiehlt es sich also, dass ich Schlüssel von mir bekannten Personen verifiziere. Aber Achtung: Das Web of Trust kann leicht manipuliert werden.
Welche Programme brauche ich?
Für Mac-Nutzer empfiehlt sich ein Blick auf GPGTools.org. Windows-Nutzer schauen am besten bei GPG4Win.org vorbei.
Wo finde ich Schritt-für-Schritt-Anleitungen?
Bei uns natürlich. Im Herbst 2013 haben wir uns im Tagebuch eines Ahnungslosen daran gemacht, E-Mail-Verschlüsselung aus Sicht eines Anfängers für Anfänger aufzubereiten:
- E-Mails verschlüsseln mit PGP – How To
- E-Mails verschlüsseln mit PGP – Erfahrungen
- E-Mails verschlüsseln mit PGP – am Smartphone
- E-Mails verschlüsseln mit S/MIME – How To
- E-Mails verschlüsseln mit S/MIME – am Smartphone
- E-Mails verschlüsseln – Fingerprints und Web of Trust
Zudem haben wir das alles in dem Buch Spurlos & Verschlüsselt! verarbeitet sowie als E-Book herausgebracht. Mehr dazu hier.
