PGP (Pretty Good Privacy) ist eine Verschlüsselungssoftware, die Online-Kommunikationssystemen Datenschutz, Sicherheit und Authentifizierung bietet. Phil Zimmerman schuf das erste PGP-Programm und seiner Aussage nach wurde es aufgrund der wachsenden Nachfrage nach Privatsphäre öffentlich zugänglich.

Seit ihrer Einführung im Jahr 1991 wurden viele Versionen der PGP-Software erstellt. Im Jahr 1997 machte Phil Zimmerman den Vorschlag, die Internet Engineering Task Force (IETF) zu gründen, einen weithin akzeptierten Open-Source-Standard für PGP. Der Vorschlag wurde angenommen und führte zur Schaffung des OpenPGP-Protokolls, das Standardverschlüsselungsformate für Schlüssel und Nachrichten definiert.

Obwohl PGP ursprünglich nur zum Schutz von E-Mails und ihren Anhängen verwendet wurde, wird es heute in größerem Umfang eingesetzt, einschließlich digitaler Signaturen, vollständiger Festplattenverschlüsselung und Netzwerksicherheit.

PGP war ursprünglich im Besitz von PGP Inc, das später von Network Associates Inc. übernommen wurde. Im Jahr 2010 gründete Symantec Corp. kaufte PGP für 300 Millionen US-Dollar und der Begriff ist heute eine Marke für ihre OpenPGP-kompatiblen Produkte.


Wie es funktioniert?

PGP ist eines der ersten allgemein verfügbaren Programme zur Implementierung der Public-Key-Kryptographie. Es handelt sich um ein hybrides Kryptosystem, das sowohl symmetrische als auch asymmetrische Verschlüsselung nutzt, um ein hohes Maß an Sicherheit zu erreichen.

Im Grundprozess werden Textdaten (die leicht verständlich sind) verschlüsselt und in Chiffretext (nicht lesbare Daten) umgewandelt. Doch bevor der Verschlüsselungsprozess beginnt, führen die meisten PGP-Systeme eine Komprimierung durch. Durch die Komprimierung von Textdateien spart PGP Speicherplatz und Übertragungszeit und verbessert außerdem die Sicherheit.

Nachdem die Datei komprimiert wurde, beginnt der Verschlüsselungsprozess. In diesem Stadium wird die komprimierte Textdatei mit einem einmaligen Schlüssel namens Sitzungsschlüssel verschlüsselt. Dieser Schlüssel wird mithilfe der symmetrischen Kryptografie zufällig generiert und jede PGP-Sitzung verfügt über ihren eigenen eindeutigen Sitzungsschlüssel.

Der Sitzungsschlüssel (1) wird dann mithilfe einer asymmetrischen Verschlüsselung verschlüsselt: Der beabsichtigte Empfänger (Bob) stellt dem Absender der Nachricht (Alice) seinen öffentlichen Schlüssel (2) zur Verfügung, damit dieser den Sitzungsschlüssel verschlüsseln kann. Dieser Schritt ermöglicht es Alice, den Schlüssel unabhängig von der Sicherheitsstufe sicher über das Internet mit Bob zu teilen.

Что такое PGP?

Die asymmetrische Sitzungsschlüsselverschlüsselung wird normalerweise mithilfe des RSA-Algorithmus durchgeführt. Viele andere Verschlüsselungssysteme verwenden es, einschließlich des Transport Layer Security (TLS)-Protokolls, das einen Großteil des Internets sichert.

Sobald der Nachrichten-Chiffretext und der verschlüsselte Sitzungsschlüssel erhalten wurden, kann Bob seinen privaten Schlüssel (3) verwenden, um den Sitzungsschlüssel zu entschlüsseln, der dann zum Entschlüsseln des Chiffretexts verwendet wird.

Что такое PGP?

Neben dem grundlegenden Ver- und Entschlüsselungsprozess unterstützt PGP auch digitale Signaturen, die mindestens drei Funktionen erfüllen: 

  • Authentifizierung: Bob kann überprüfen, ob der Absender der Nachricht Alice war;

  • Integrität: Bob kann sicher sein, dass die Nachricht intakt ist;

  • Unbestreitbarkeit: Sobald eine Nachricht digital signiert ist, kann Alice nicht mehr behaupten, dass sie sie nicht gesendet hat.


Anwendungsmöglichkeiten

Eine der häufigsten Anwendungen von PGP ist die Sicherung von E-Mails. Eine mit PGP geschützte Nachricht wird zu einer nicht lesbaren Zeichenfolge (Geheimtext) und kann nur mit dem entsprechenden Schlüssel entschlüsselt werden. Um die Nachrichtensicherheit zu gewährleisten, ist der Sicherheitsmechanismus im Wesentlichen derselbe, und es gibt auch Softwareanwendungen, die es Ihnen ermöglichen, PGP zusätzlich zu anderen zu implementieren und so die Verschlüsselung effektiv in unsichere Nachrichtendienste zu integrieren.

Während PGP in erster Linie für die Sicherung der Internetkommunikation konzipiert ist, kann es auch zur Verschlüsselung einzelner Geräte verwendet werden. In diesem Fall kann das Programm auf Festplattenpartitionen auf einem PC oder Mobilgerät angewendet werden. Beim Verschlüsseln einer Festplatte muss der Benutzer bei jedem Systemstart ein Passwort eingeben.


Vorteile und Nachteile

Durch den kombinierten Einsatz symmetrischer und asymmetrischer Verschlüsselung ermöglicht PGP Benutzern den sicheren Austausch von Informationen und kryptografischen Schlüsseln über das Internet. Als Hybridsystem bietet PGP die Vorteile sowohl der Sicherheit der asymmetrischen Kryptografie als auch der Geschwindigkeit der symmetrischen Verschlüsselung. Zusätzlich zu diesen Vorteilen implementiert PGP digitale Signaturen, um die Datenintegrität und die Authentizität des Absenders sicherzustellen.

Das OpenPGP-Protokoll hat ein standardisiertes Wettbewerbsumfeld geschaffen und PGP-Lösungen werden mittlerweile von mehreren Unternehmen und Organisationen angeboten. Allerdings sind alle PGP-Programme, die den OpenPGP-Standards entsprechen, untereinander kompatibel. Das bedeutet, dass Dateien und Schlüssel, die in einem Programm erstellt wurden, problemlos in einem anderen Programm verwendet werden können.

Was die Nachteile betrifft, sind PGP-Systeme nicht so einfach zu bedienen und zu verstehen, insbesondere für Benutzer mit geringen technischen Fähigkeiten. Darüber hinaus wird die große Länge öffentlicher Schlüssel von vielen als störend empfunden.

Im Jahr 2018 veröffentlichte die Electronic Frontier Foundation (EFF) eine große Sicherheitslücke namens EFAIL. Dieses Problem ermöglicht es Hackern, aktive HTML-Inhalte in verschlüsselten E-Mails zu verwenden, um Zugriff auf die entschlüsselte Version der Nachrichten zu erhalten.

Einige der in EFAIL beschriebenen Probleme waren der PGP-Benutzergemeinschaft jedoch bereits seit Ende der 1990er Jahre bekannt, und tatsächlich lag die Schwachstelle in unterschiedlichen Implementierungen seitens der E-Mail-Clients und nicht in PGP selbst. Trotz der alarmierenden und irreführenden Schlagzeilen ist PGP also immer noch äußerst sicher.


Abschluss

Seit seiner Einführung im Jahr 1991 ist PGP ein wichtiges Instrument für den Datenschutz und wird heute in den meisten Anwendungen verwendet und bietet Datenschutz, Sicherheit und Authentifizierung für Kommunikationssysteme und Anbieter digitaler Dienste. 

Obwohl die Enthüllung von EFAIL im Jahr 2018 ernsthafte Bedenken hinsichtlich der Lebensfähigkeit des Protokolls aufkommen ließ, gilt die zugrunde liegende Technologie immer noch als sicher und kryptografisch einwandfrei. Es ist zu beachten, dass verschiedene PGP-Implementierungen unterschiedliche Sicherheitsstufen haben können.