Was ist PGP?

Teilen
Was ist PGP?

PGP steht für Pretty Good Privacy. Es ist eine Verschlüsselungssoftware, die entwickelt wurde, um Datenschutz, Sicherheit und Authentifizierung für Online-Kommunikationssysteme zu gewährleisten. Phil Zimmerman ist der Name hinter dem ersten PGP-Programm, und laut ihm wurde es aufgrund des wachsenden sozialen Bedarfs an Privatsphäre frei zugänglich gemacht.

Seit seiner Gründung im Jahr 1991 wurden viele Versionen der PGP-Software erstellt. 1997 machte Phil Zimmerman der Internet Engineering Task Force (IETF) einen Vorschlag zur Erstellung eines Open-Source-PGP-Standards. Der Vorschlag wurde angenommen und führte zur Entwicklung des OpenPGP-Protokolls, das Standardformate für Verschlüsselungscodes und -nachrichten definiert.

Obwohl PGP ursprünglich nur zum Schutz von E-Mail-Nachrichten und -Anhängen verwendet wurde, wird es heute für eine Vielzahl von Anwendungsfällen eingesetzt, darunter digitale Signaturen, vollständige Festplattenverschlüsselung und Netzwerkschutz.

PGP war zunächst im Besitz der Firma PGP Inc., die später von Network Associates Inc. übernommen wurde. Im Jahr 2010 erwarb Symantec Corp. PGP für 300 Millionen US-Dollar, und der Begriff ist heute eine Marke, die für ihre OpenPGP-konformen Produkte verwendet wird.


Wie funktioniert es?

PGP ist eine der ersten weit verbreiteten Softwarelösungen zur Implementierung von Public-Key-Kryptographie. Es handelt sich um ein hybrides Kryptosystem, das sowohl symmetrische als auch asymmetrische Verschlüsselung verwendet, um ein hohes Sicherheitsniveau zu erreichen.

In einem grundlegenden Prozess der Textverschlüsselung wird ein Klartext (Daten, die klar verständlich sind) in Chiffretext (unlesbare Daten) umgewandelt. Aber bevor der Prozess der Verschlüsselung stattfindet, führen die meisten PGP-Systeme eine Datenkompression durch. Durch die Komprimierung von Klartextdateien vor der Übertragung spart PGP sowohl Festplattenspeicher als auch Übertragungszeit - und verbessert gleichzeitig die Sicherheit.

Nach der Dateikompression beginnt der eigentliche Verschlüsselungsprozess. In diesem Schritt wird die komprimierte Klartextdatei mit einem Einweg-Schlüssel, dem so genannten Sitzungsschlüssel, verschlüsselt. Dieser Schlüssel wird zufällig durch die Verwendung von symmetrischer Kryptographie erzeugt, und jede PGP-Kommunikationssitzung hat einen eindeutigen Sitzungsschlüssel.

Anschließend wird der Sitzungsschlüssel selbst asymmetrisch verschlüsselt: Der vorgesehene Empfänger (Bob) stellt dem Absender der Nachricht (Alice) seinen öffentlichen Schlüssel zur Verfügung, damit er den Sitzungsschlüssel verschlüsseln kann. Dieser Schritt ermöglicht es Alice, den Sitzungsschlüssel sicher mit Bob über das Internet zu teilen, unabhängig von den Sicherheitsbedingungen.

Die asymmetrische Verschlüsselung des Sitzungsschlüssels erfolgt in der Regel durch den Einsatz des RSA-Algorithmus. Viele andere Verschlüsselungssysteme verwenden RSA, einschließlich des Transport Layer Security (TLS)-Protokolls, das einen großen Teil des Internets sichert.

Sobald der Chiffriertext der Nachricht und der verschlüsselte Sitzungsschlüssel übertragen wurden, kann Bob mit seinem privaten Schlüssel den Sitzungsschlüssel entschlüsseln, mit dem dann der Chiffriertext wieder im ursprünglichen Klartext entschlüsselt wird.


Neben dem grundlegenden Prozess der Ver- und Entschlüsselung unterstützt PGP auch digitale Signaturen - die mindestens drei Funktionen erfüllen: 

  • Authentifizierung: Bob kann bestätigen, dass der Absender der Nachricht Alice war.

  • Integrität: Bob kann sicher sein, dass die Nachricht nicht verändert wurde.

  • Unleugbarkeit: Nachdem die Nachricht digital signiert ist, kann Alice nicht behaupten, dass sie sie nicht gesendet hat.


Anwendungsfälle

Eine der häufigsten Anwendungen für PGP ist die Sicherung von E-Mails. Eine mit PGP geschützte E-Mail wird in eine Zeichenfolge umgewandelt, die unlesbar ist (Chiffretext) und nur mit dem entsprechenden Entschlüsselungscode entschlüsselt werden kann. Die Arbeitsmechanismen für die Sicherung von Textnachrichten sind praktisch die gleichen, und es gibt auch einige Softwareanwendungen, die es ermöglichen, PGP auf anderen Apps zu implementieren, wodurch den nicht gesicherten Messaging-Diensten effektiv ein Verschlüsselungssystem hinzugefügt wird.

Obwohl PGP hauptsächlich zur Sicherung der Internetkommunikation verwendet wird, kann es auch zur Verschlüsselung einzelner Geräte eingesetzt werden. In diesem Zusammenhang kann PGP auf Laufwerkfächer eines Computers oder einer mobilen Vorrichtung angewendet werden. Durch die Verschlüsselung der Festplatte muss der Benutzer bei jedem Systemstart ein Passwort eingeben.


Vor- und Nachteile

Dank der kombinierten Verwendung von symmetrischer und asymmetrischer Verschlüsselung ermöglicht PGP den sicheren Austausch von Informationen und kryptografischen Schlüsseln über das Internet. Als hybrides System profitiert PGP sowohl von der Sicherheit der asymmetrischen Kryptographie als auch von der Geschwindigkeit der symmetrischen Verschlüsselung. Neben Sicherheit und Geschwindigkeit gewährleisten digitale Signaturen die Integrität der Daten und die Authentizität des Absenders. 

Das OpenPGP-Protokoll ermöglichte die Entstehung eines standardisierten Wettbewerbsumfelds und PGP-Lösungen werden heute von mehreren Unternehmen und Organisationen angeboten. Dennoch sind alle PGP-Programme, die den OpenPGP-Standards entsprechen, untereinander kompatibel. Das bedeutet, dass in einem Programm erzeugte Dateien und Schlüssel problemlos in einem anderen verwendet werden können.

Was die Nachteile betrifft, so sind PGP-Systeme nicht so einfach zu bedienen und zu verstehen, insbesondere für Anwender mit geringen technischen Kenntnissen. Auch die lange Länge der öffentlichen Schlüssel wird von vielen als sehr unangenehm empfunden. 

Im Jahr 2018 wurde von der Electronic Frontier Foundation (EFF) eine große Schwachstelle namens EFAIL veröffentlicht. EFAIL ermöglichte es Angreifern, aktive HTML-Inhalte in verschlüsselten E-Mails zu nutzen, um Zugang zu den Klartextversionen von Nachrichten zu erhalten.

Einige der von EFAIL beschriebenen Bedenken waren der PGP-Community jedoch bereits seit Ende der 90er Jahre bekannt, und tatsächlich hängen die Schwachstellen mit den verschiedenen Implementierungen seitens der E-Mail-Clients zusammen und nicht mit PGP selbst. Trotz der alarmierenden und irreführenden Schlagzeilen ist PGP also stets hochgradig sicher.


Schlussworte

Seit seiner Entwicklung im Jahr 1991 ist PGP ein unverzichtbares Instrument für den Datenschutz und wird heute in einer Vielzahl von Anwendungen eingesetzt, die Privatsphäre, Sicherheit und Authentifizierung für verschiedene Kommunikationssysteme und digitale Dienstleister bieten. 

Während die Entdeckung des EFAIL-Fehlers im Jahr 2018 erhebliche Bedenken hinsichtlich der Lebensfähigkeit des Protokolls aufwarf, gilt die Kerntechnologie nach wie vor als robust und kryptographisch einwandfrei. Es ist anzumerken, dass verschiedene PGP-Implementierungen unterschiedliche Sicherheitsstufen aufweisen können.

Loading