PGP steht für Pretty Good Privacy. Es handelt sich um eine Verschlüsselungssoftware, die Datenschutz, Sicherheit und Authentifizierung für Online-Kommunikationssysteme bietet. Phil Zimmerman ist der Name hinter dem ersten PGP-Programm, das seiner Meinung nach aufgrund der wachsenden gesellschaftlichen Nachfrage nach Privatsphäre kostenlos zur Verfügung gestellt wurde.

Seit seiner Einführung im Jahr 1991 wurden viele Versionen der PGP-Software erstellt. Im Jahr 1997 unterbreitete Phil Zimmerman der Internet Engineering Task Force (IETF) einen Vorschlag zur Schaffung eines Open-Source-PGP-Standards. Der Vorschlag wurde angenommen und führte zur Schaffung des OpenPGP-Protokolls, das Standardformate für Verschlüsselungsschlüssel und Nachrichten definiert.

Obwohl PGP ursprünglich nur zum Schutz von E-Mail-Nachrichten und Anhängen verwendet wurde, wird es heute in einer Vielzahl von Anwendungsfällen eingesetzt, darunter digitale Signaturen, vollständige Festplattenverschlüsselung und Netzwerkschutz.

PGP war ursprünglich im Besitz der Firma PGP Inc, die später von Network Associates Inc. übernommen wurde. Im Jahr 2010 erwarb Symantec Corp. PGP für 300 Millionen US-Dollar, und der Begriff ist heute eine Marke für seine OpenPGP-kompatiblen Produkte.


Wie es funktioniert?

PGP gehört zu den ersten weit verbreiteten Softwareprogrammen, die Public-Key-Kryptografie implementieren. Es handelt sich um ein hybrides kryptografisches System, das sowohl symmetrische als auch asymmetrische Verschlüsselung verwendet, um ein hohes Maß an Sicherheit zu erreichen.

Bei einem einfachen Textverschlüsselungsprozess wird Klartext (klar verständliche Daten) in Chiffretext (nicht lesbare Daten) umgewandelt. Doch bevor der Verschlüsselungsprozess stattfindet, führen die meisten PGP-Systeme eine Datenkomprimierung durch. Durch die Komprimierung reiner Textdateien vor der Übertragung spart PGP Speicherplatz und Übertragungszeit und verbessert gleichzeitig die Sicherheit.

Nach der Dateikomprimierung beginnt der eigentliche Verschlüsselungsprozess. In dieser Phase wird die komprimierte Klartextdatei mit einem einmaligen Schlüssel, dem sogenannten Sitzungsschlüssel, verschlüsselt. Dieser Schlüssel wird zufällig mithilfe der symmetrischen Kryptographie generiert und jede PGP-Kommunikationssitzung verfügt über einen eindeutigen Sitzungsschlüssel.

Der Sitzungsschlüssel(1) selbst wird dann mittels asymmetrischer Verschlüsselung verschlüsselt: Der beabsichtigte Empfänger (Bob) stellt dem Absender der Nachricht (Alice) seinen öffentlichen Schlüssel(2) zur Verfügung, damit dieser den Sitzungsschlüssel verschlüsseln kann. Dieser Schritt ermöglicht es Alice, den Sitzungsschlüssel unabhängig von den Sicherheitsbedingungen sicher über das Internet mit Bob zu teilen.

¿Qué es PGP?

Die asymmetrische Verschlüsselung des Sitzungsschlüssels erfolgt normalerweise mithilfe des RSA-Algorithmus. Viele andere Verschlüsselungssysteme verwenden RSA, einschließlich des Transport Layer Security (TLS)-Protokolls, das einen Großteil des Internets schützt.

Sobald der Nachrichten-Chiffretext und der verschlüsselte Sitzungsschlüssel übertragen wurden, kann Bob seinen privaten Schlüssel (3) verwenden, um den Sitzungsschlüssel zu entschlüsseln, der dann verwendet wird, um den Chiffretext wieder in Klartext zu entschlüsseln.

¿Qué es PGP?

Neben dem grundlegenden Verschlüsselungs- und Entschlüsselungsprozess unterstützt PGP auch digitale Signaturen, die mindestens drei Funktionen erfüllen:

  • Authentifizierung: Bob kann überprüfen, ob der Absender der Nachricht Alice war.

  • Integrität: Bob kann sicher sein, dass die Nachricht nicht geändert wurde.

  • Unbestreitbarkeit: Nachdem die Nachricht digital signiert wurde, kann Alice nicht behaupten, dass sie sie nicht gesendet hat.


Anwendungsfälle

Eine der häufigsten Anwendungen von PGP ist der Schutz von E-Mails. Eine PGP-geschützte E-Mail wird in eine Reihe von nicht lesbaren Zeichen (Chiffretext) umgewandelt und kann nur mit dem entsprechenden Entschlüsselungsschlüssel entschlüsselt werden. Die Arbeitsmechanismen sind beim Schutz von Textnachrichten weitgehend dieselben, und es gibt auch einige Softwareanwendungen, die die Implementierung von PGP zusätzlich zu anderen Anwendungen ermöglichen und so ungesicherten Nachrichtendiensten ein Verschlüsselungssystem hinzufügen.

Obwohl PGP hauptsächlich zur Sicherung der Internetkommunikation eingesetzt wird, kann es auch zur Verschlüsselung einzelner Geräte eingesetzt werden. In diesem Zusammenhang kann PGP auf Festplattenpartitionen eines Computers oder Mobilgeräts angewendet werden. Wenn Sie die Festplatte verschlüsseln, muss der Benutzer bei jedem Systemstart ein Kennwort angeben.


Vorteile und Nachteile

Dank der kombinierten Verwendung symmetrischer und asymmetrischer Verschlüsselung ermöglicht PGP Benutzern den sicheren Austausch von Informationen und kryptografischen Schlüsseln über das Internet. Als Hybridsystem profitiert PGP sowohl von der Sicherheit der asymmetrischen Kryptografie als auch von der Geschwindigkeit der symmetrischen Verschlüsselung. Digitale Signaturen garantieren neben Sicherheit und Geschwindigkeit auch die Datenintegrität und die Authentizität des Absenders.

Das OpenPGP-Protokoll ermöglichte die Entstehung einer standardisierten Wettbewerbsumgebung und PGP-Lösungen werden mittlerweile von verschiedenen Unternehmen und Organisationen angeboten. Dennoch sind alle PGP-Programme, die den OpenPGP-Standards entsprechen, untereinander kompatibel. Das bedeutet, dass Dateien und Schlüssel, die in einem Programm generiert wurden, problemlos in einem anderen Programm verwendet werden können.

Was die Nachteile betrifft, sind PGP-Systeme nicht so einfach zu bedienen und zu verstehen, insbesondere für Benutzer mit geringen technischen Kenntnissen. Darüber hinaus empfinden viele die große Länge öffentlicher Schlüssel als recht unpraktisch.

Im Jahr 2018 veröffentlichte die Electronic Frontier Foundation (EFF) eine große Sicherheitslücke namens EFAIL. EFAIL ermöglichte es Angreifern, aktive HTML-Inhalte in verschlüsselten E-Mails auszunutzen, um Zugriff auf Klartextversionen der Nachrichten zu erhalten.

Einige der von EFAIL beschriebenen Bedenken waren der PGP-Community jedoch bereits seit Ende der 1990er Jahre bekannt, und tatsächlich beziehen sich die Schwachstellen auf unterschiedliche Implementierungen von E-Mail-Clients und nicht auf PGP selbst. Trotz der alarmierenden und irreführenden Schlagzeilen ist PGP also nicht kaputt und bleibt äußerst sicher.


Abschließend

Seit seiner Entwicklung im Jahr 1991 ist PGP ein wesentliches Werkzeug für den Datenschutz und wird heute in einer Vielzahl von Anwendungen eingesetzt und bietet Datenschutz, Sicherheit und Authentifizierung für verschiedene Kommunikationssysteme und Anbieter digitaler Dienste.

Obwohl die Entdeckung des EFAIL-Fehlers im Jahr 2018 erhebliche Bedenken hinsichtlich der Lebensfähigkeit des Protokolls aufkommen ließ, gilt die Kerntechnologie immer noch als robust und kryptographisch. Es ist zu beachten, dass unterschiedliche PGP-Implementierungen unterschiedliche Sicherheitsniveaus bieten können.