Verschlüsselung: Was ist eigentlich PGP?

Ab April bietet WEB.DE und andere De-Mail Anbieter eine Browser-Erweiterung an, mit der De-Mails kinderleicht durchgehend verschlüsselt werden können. Die Verschlüsselung basiert auf dem Verfahren Pretty Good Privacy (PGP). Rolf Haynberg, Security-Experte bei WEB.DE & GMX, erklärt in einem Gastbeitrag, wie PGP funktioniert und vor welchen Bedrohungen es schützt.

26. März 2015 von Martin Wilhelm
Security-Experte Rolf Haynberg schreibt in einem Gastbeitrag, was es mit dem Verschlüsselungsverfahren PGP auf sich hat. (c) WEB.DE
Security-Experte Rolf Haynberg schreibt in einem Gastbeitrag, was es mit dem Verschlüsselungsverfahren PGP auf sich hat. (c) WEB.DE

Wer bei E-Mails auf Nummer sicher gehen will, sollte also anhand einer digitalen Signatur überprüfen können, ob eine empfangene Nachricht tatsächlich von dem Absender stammt, der darin angegeben ist. Um außerdem zu verhindern, dass Unbefugte auf den Inhalt der E-Mails zugreifen können, können Nutzer neben der Transportverschlüsselung, die z.B. bei E-Mail made in Germany Providern standardmäßig auf allen Transportwegen durch das Netz vorgenommen wird, eine Ende-zu-Ende-Verschlüsselung vorhanden sein. Dies bedeutet, dass eine E-Mail zusätzlich zu den Übertragungswegen zwischen jeweils zwei Servern über die gesamte Strecke vom Absender bis zum Empfänger verschlüsselt wird. Auf diese Weise können sich beide Kommunikationspartnerganz sicher gehen, dass ausschließlich sie die Nachricht lesen können.

Für diesen Zweck wurde OpenPGP oder kurz PGP entwickelt. PGP steht für Pretty Good Privacy. Aus dem Englischen übersetzt: Ziemlich gute Privatsphäre. Die Software wurde von dem Informatiker Philip R. Zimmermann geschrieben. Die erste Version stammt aus dem Jahr 1991. Zimmermanns Ziel, so das Online-Lexikon Wikipedia, war es, dass alle Nutzer und insbesondere Bürgerbewegungen vor der Neugier der Geheimdienste geschützt sind und sicher verschlüsselte Nachrichten austauschen können.

Der große Vorteil von PGP ist, dass es sowohl eine Möglichkeit zur Ende-zu-Ende-Verschlüsselung als auch ein standardisiertes Datenformat für digitale Signaturen bietet. Anwender können folglich zwei Fliegen mit einer Klappe schlagen. Über ein Browser-Plugin lässt sich PGP in den beliebtesten Webmailern oder E-Mail-Programmen nutzen. Mit ihm können E-Mails bei Bedarf und nahezu transparent an andere PGP-Nutzer signiert und verschlüsselt gesendet werden.

Intern nutzt PGP ein sogenanntes Public-Key-Verfahren. Dabei gibt es für jeden Nutzer ein eindeutig zugeordnetes Schlüsselpaar: Den öffentlichen und den geheimen Schlüssel. E-Mails an einen Empfänger werden mit dessen öffentlichem Schlüssel verschlüsselt und können dann mithilfe seines privaten Schlüssels nur von ihm selbst entschlüsselt werden.

Beim Signieren von E-Mails geht man umgekehrt vor. Hier wird der private Schlüssel vom Absender verwendet, um eine digitale Unterschrift zu erstellen. Der Empfänger kann später anhand des öffentlichen Schlüssels die Signatur der Nachricht verifizieren.

Die Sicherheitseigenschaften basieren also darauf, dass die Nutzer die öffentlichen Schlüssel verlässlich einer Person zuordnen können. Dies kann neben dem persönlichen Austausch des Schlüssels u.a. durch den nachträglichen Abgleich per Telefon geschehen. Alternativ ermöglicht PGP, die öffentlichen Schlüssel über ein sogenanntes Web of Trust auszutauschen. Dabei werden die öffentlichen Schlüssel in Verzeichnissen gespeichert. Die Nutzer müssen in diesem Fall darauf vertrauen, dass die hinterlegten Daten korrekt sind.

Wenn Sie Ihre Urlaubserlebnisse wirklich nur Ihrem besten Freund schreiben wollen, denken Sie beim nächsten Mal daran, ihm vorher Ihren öffentlichen Schlüssel mitzuteilen.

Autor: Rolf Haynberg