Das Wort PGP ist eine Abkürzung für Pretty Good Privacy. Es handelt sich um eine Verschlüsselungssoftware, die Datenschutz, Sicherheit und Authentifizierung für Internet-Kommunikationssysteme bietet. Phil Zimmerman ist der Besitzer der ersten PGP-Software und seiner Aussage zufolge wurde sie aufgrund der steigenden gesellschaftlichen Nachfrage nach Privatsphäre kostenlos zur Verfügung gestellt.

Seit seiner Einführung im Jahr 1991 wurden viele Versionen von PGP erstellt. 1997 unterbreitete Phil Zimmerman der Internet Engineering Task Force (IETF) einen Vorschlag zur Schaffung eines Open-Source-PGP-Standards. Der Vorschlag wurde dann angenommen und führte zur Schaffung des OpenPGP-Protokolls, das Standardformate für Verschlüsselungsschlüssel und Nachrichten definiert.

Obwohl PGP ursprünglich nur zum Sichern von E-Mails und Anhängen verwendet wurde, wird es heute in einer Vielzahl von Anwendungsfällen eingesetzt, darunter digitale Signaturen, vollständige Festplattenverschlüsselung und Netzwerkschutz.

PGP war ursprünglich im Besitz von PGP Inc., das später von Network Associates Inc. aufgekauft wurde. Im Jahr 2010 kaufte Symantec Corp. PGP für 300 Millionen US-Dollar und der Begriff ist heute eine Marke für seine OpenPGP-kompatiblen Produkte.


Wie es funktioniert?

PGP gehört zu den ersten allgemein verfügbaren Programmen zur Implementierung der Public-Key-Kryptographie. Es handelt sich um ein hybrides Verschlüsselungssystem, das symmetrische und asymmetrische Verschlüsselung nutzt, um ein hohes Maß an Sicherheit zu erreichen.

Beim einfachen Prozess der Textverschlüsselung wird Klartext (klar verständliche Daten) in Chiffretext (nicht lesbare Daten) umgewandelt. Doch vor der Verschlüsselung komprimieren die meisten PGP-Systeme Daten, indem sie reine Textdateien vor dem Senden komprimieren. PGP spart Speicherplatz und Übertragungszeit und verbessert gleichzeitig die Sicherheit.

Nach dem Komprimieren der Datei beginnt der eigentliche Verschlüsselungsprozess. Zu diesem Zeitpunkt wird die komprimierte Klartextdatei mit einem Einmalschlüssel verschlüsselt, der als Sitzungsschlüssel bezeichnet wird. Dieser Schlüssel wird durch symmetrische Verschlüsselung zufällig generiert und jede PGP-Verbindungssitzung verfügt über einen eindeutigen Sitzungsschlüssel.

Der Sitzungsschlüssel selbst wird dann mithilfe asymmetrischer Verschlüsselung verschlüsselt (1). Der beabsichtigte Empfänger (Bob) stellt dem Absender der Nachricht (Alice) seinen öffentlichen Schlüssel (2) zur Verfügung, damit dieser den Sitzungsschlüssel verschlüsseln kann. Dieser Schritt ermöglicht es Alice, den Sitzungsschlüssel unabhängig von den Sicherheitsbedingungen sicher über das Internet mit Bob zu teilen.

ما هو الـ PGP؟


Die asymmetrische Verschlüsselung des Sitzungsschlüssels erfolgt üblicherweise durch den Einsatz des RSA-Algorithmus. Viele andere Verschlüsselungssysteme verwenden RSA, einschließlich des Transport Layer Security (TLS)-Protokolls, das einen Großteil des Internets sichert.

Sobald der Chiffretext der Nachricht und der verschlüsselte Sitzungsschlüssel gesendet wurden, kann Bob seinen privaten Schlüssel (3) verwenden, um den Sitzungsschlüssel zu entschlüsseln, der dann verwendet wird, um den Chiffretext wieder in den ursprünglichen Klartext zu entschlüsseln.


ما هو الـ PGP؟


Neben dem grundlegenden Prozess der Verschlüsselung und Entschlüsselung unterstützt PGP auch digitale Signaturen, die mindestens drei Funktionen erfüllen:

  • Authentifizierung: Bob kann überprüfen, ob der Absender der Nachricht Alice ist.

  • Integrität: Bob kann sicher sein, dass sich die Nachricht nicht geändert hat.

  • Unbestreitbarkeit: Nachdem Alice die Nachricht digital signiert hat, kann sie nicht behaupten, dass sie sie nicht gesendet hat.


Anwendungsfälle

Eine der häufigsten Anwendungen von PGP ist die Sicherung von E-Mails. Durch PGP geschützte E-Mails werden in eine unlesbare Zeichenfolge (Geheimtext) umgewandelt und können nur mit dem entsprechenden Entschlüsselungsschlüssel entschlüsselt werden. Die Vorgehensweise ist praktisch die gleiche wie beim Sichern von Textnachrichten. Es gibt auch einige Softwareanwendungen, die es ermöglichen, PGP zusätzlich zu anderen Anwendungen zu implementieren und so unsicheren Messaging-Diensten effektiv ein Verschlüsselungssystem hinzuzufügen.

Obwohl PGP hauptsächlich zur Sicherung von Internetverbindungen verwendet wird, kann es auch zur Verschlüsselung einzelner Geräte eingesetzt werden. Das bedeutet, dass PGP auf die Festplattenpartitionen eines Computers oder Mobilgeräts angewendet werden kann. Das heißt, wenn die Festplatte verschlüsselt ist, wird der Benutzer bei jedem Systemstart aufgefordert, ein Passwort einzugeben.


Vorteile und Nachteile

Dank der kombinierten Verwendung von symmetrischer und asymmetrischer Verschlüsselung ermöglicht PGP Benutzern den sicheren Austausch von Informationen und Verschlüsselungsschlüsseln über das Internet. Als Hybridsystem profitiert PGP sowohl von der Sicherheit der asymmetrischen Verschlüsselung als auch von der Geschwindigkeit der symmetrischen Verschlüsselung. Digitale Signaturen gewährleisten neben Sicherheit und Geschwindigkeit auch die Integrität der Daten und die Authentizität des Absenders.

Das OpenPGP-Protokoll, das die Entstehung einer einheitlichen Wettbewerbsumgebung und PGP-Lösungen ermöglicht, wird mittlerweile von vielen Unternehmen und Organisationen bereitgestellt. Allerdings sind alle PGP-Programme, die den OpenPGP-Standards entsprechen, untereinander kompatibel. Das bedeutet, dass in einem Programm erstellte Dateien und Schlüssel problemlos in anderen Programmen verwendet werden können.

Was die Nachteile betrifft, sind PGP-Systeme nicht einfach zu verwenden und zu verstehen, insbesondere für Benutzer mit geringen technischen Kenntnissen. Auch die große Länge öffentlicher Schlüssel wird von vielen als relativ unpraktisch empfunden.

Im Jahr 2018 wurde von der Electronic Frontier Foundation (EFF) eine große Sicherheitslücke namens EFAIL veröffentlicht. Mit EFAIL konnten Angreifer aktive HTML-Inhalte in verschlüsselten E-Mails ausnutzen, um auf unverschlüsselte Versionen von Nachrichten zuzugreifen

Einige der von EFAIL beschriebenen Bedenken waren der PGP-Community jedoch bereits seit Ende der 1990er Jahre bekannt. Tatsächlich hängen die Schwachstellen mit unterschiedlichen Implementierungen seitens der E-Mail-Clients zusammen und nicht mit PGP selbst. Trotz der nervigen und irreführenden Schlagzeilen ist PGP also immer noch sehr sicher.


Abschließende Gedanken

PGP hat sich zu einem unverzichtbaren Tool für den Datenschutz entwickelt und wird seit seiner Einführung im Jahr 1991 mittlerweile in einer Vielzahl von Anwendungen eingesetzt und bietet Datenschutz, Sicherheit und Authentifizierung für viele Kommunikationssysteme und Anbieter digitaler Dienste.

Obwohl die Entdeckung des EFAIL-Fehlers im Jahr 2018 große Bedenken hinsichtlich der Machbarkeit des Protokolls aufkommen ließ, wird die zugrunde liegende Technologie immer noch als kryptografisch robust und solide angesehen. Es sollte auch beachtet werden, dass verschiedene PGP-Implementierungen unterschiedliche Sicherheitsniveaus bieten können.