Was ist PGP?
Startseite
Artikel
Was ist PGP?

Was ist PGP?

Mittel
Ver├Âffentlicht May 6, 2019Aktualisiert Dec 11, 2023
5m
PGP steht f├╝r Pretty Good Privacy. Es ist eine Verschl├╝sselungssoftware, die entwickelt wurde, um Datenschutz, Sicherheit und Authentifizierung f├╝r Online-Kommunikationssysteme zu gew├Ąhrleisten. Phil Zimmerman ist der Name hinter dem ersten PGP-Programm, und laut ihm wurde es aufgrund des wachsenden sozialen Bedarfs an Privatsph├Ąre frei zug├Ąnglich gemacht.

Seit seiner Gr├╝ndung im Jahr 1991 wurden viele Versionen der PGP-Software erstellt. 1997 machte Phil Zimmerman der Internet Engineering Task Force (IETF) einen Vorschlag zur Erstellung eines Open-Source-PGP-Standards. Der Vorschlag wurde angenommen und f├╝hrte zur Entwicklung des OpenPGP-Protokolls, das Standardformate f├╝r Verschl├╝sselungscodes und -nachrichten definiert.

Obwohl PGP urspr├╝nglich nur zum Schutz von E-Mail-Nachrichten und -Anh├Ąngen verwendet wurde, wird es heute f├╝r eine Vielzahl von Anwendungsf├Ąllen eingesetzt, darunter digitale Signaturen, vollst├Ąndige Festplattenverschl├╝sselung und Netzwerkschutz.

PGP war zun├Ąchst im Besitz der Firma PGP Inc., die sp├Ąter von Network Associates Inc. ├╝bernommen wurde. Im Jahr 2010 erwarb Symantec Corp. PGP f├╝r 300 Millionen US-Dollar, und der Begriff ist heute eine Marke, die f├╝r ihre OpenPGP-konformen Produkte verwendet wird.


Wie funktioniert es?

PGP ist eine der ersten weit verbreiteten Softwarel├Âsungen zur Implementierung von Public-Key-Kryptographie. Es handelt sich um ein hybrides Kryptosystem, das sowohl symmetrische als auch asymmetrische Verschl├╝sselung verwendet, um ein hohes Sicherheitsniveau zu erreichen.
In einem grundlegenden Prozess der Textverschl├╝sselung wird ein Klartext (Daten, die klar verst├Ąndlich sind) in Chiffretext (unlesbare Daten) umgewandelt. Aber bevor der Prozess der Verschl├╝sselung stattfindet, f├╝hren die meisten PGP-Systeme eine Datenkompression durch. Durch die Komprimierung von Klartextdateien vor der ├ťbertragung spart PGP sowohl Festplattenspeicher als auch ├ťbertragungszeit - und verbessert gleichzeitig die Sicherheit.

Nach der Dateikompression beginnt der eigentliche Verschl├╝sselungsprozess. In diesem Schritt wird die komprimierte Klartextdatei mit einem Einweg-Schl├╝ssel, dem so genannten Sitzungsschl├╝ssel, verschl├╝sselt. Dieser Schl├╝ssel wird zuf├Ąllig durch die Verwendung von symmetrischer Kryptographie erzeugt, und jede PGP-Kommunikationssitzung hat einen eindeutigen Sitzungsschl├╝ssel.

Anschlie├čend wird der Sitzungsschl├╝ssel selbst asymmetrisch verschl├╝sselt: Der vorgesehene Empf├Ąnger (Bob) stellt dem Absender der Nachricht (Alice) seinen ├Âffentlichen Schl├╝ssel zur Verf├╝gung, damit er den Sitzungsschl├╝ssel verschl├╝sseln kann. Dieser Schritt erm├Âglicht es Alice, den Sitzungsschl├╝ssel sicher mit Bob ├╝ber das Internet zu teilen, unabh├Ąngig von den Sicherheitsbedingungen.

Die asymmetrische Verschl├╝sselung des Sitzungsschl├╝ssels erfolgt in der Regel durch den Einsatz des RSA-Algorithmus. Viele andere Verschl├╝sselungssysteme verwenden RSA, einschlie├člich des Transport Layer Security (TLS)-Protokolls, das einen gro├čen Teil des Internets sichert.

Sobald der Chiffriertext der Nachricht und der verschl├╝sselte Sitzungsschl├╝ssel ├╝bertragen wurden, kann Bob mit seinem privaten Schl├╝ssel den Sitzungsschl├╝ssel entschl├╝sseln, mit dem dann der Chiffriertext wieder im urspr├╝nglichen Klartext entschl├╝sselt wird.


Neben dem grundlegenden Prozess der Ver- und Entschlüsselung unterstützt PGP auch digitale Signaturen - die mindestens drei Funktionen erfüllen: 

  • Authentifizierung: Bob kann best├Ątigen, dass der Absender der Nachricht Alice war.

  • Integrit├Ąt: Bob kann sicher sein, dass die Nachricht nicht ver├Ąndert wurde.

  • Unleugbarkeit: Nachdem die Nachricht digital signiert ist, kann Alice nicht behaupten, dass sie sie nicht gesendet hat.


Anwendungsf├Ąlle

Eine der h├Ąufigsten Anwendungen f├╝r PGP ist die Sicherung von E-Mails. Eine mit PGP gesch├╝tzte E-Mail wird in eine Zeichenfolge umgewandelt, die unlesbar ist (Chiffretext) und nur mit dem entsprechenden Entschl├╝sselungscode entschl├╝sselt werden kann. Die Arbeitsmechanismen f├╝r die Sicherung von Textnachrichten sind praktisch die gleichen, und es gibt auch einige Softwareanwendungen, die es erm├Âglichen, PGP auf anderen Apps zu implementieren, wodurch den nicht gesicherten Messaging-Diensten effektiv ein Verschl├╝sselungssystem hinzugef├╝gt wird.

Obwohl PGP haupts├Ąchlich zur Sicherung der Internetkommunikation verwendet wird, kann es auch zur Verschl├╝sselung einzelner Ger├Ąte eingesetzt werden. In diesem Zusammenhang kann PGP auf Laufwerkf├Ącher eines Computers oder einer mobilen Vorrichtung angewendet werden. Durch die Verschl├╝sselung der Festplatte muss der Benutzer bei jedem Systemstart ein Passwort eingeben.


Vor- und Nachteile

Dank der kombinierten Verwendung von symmetrischer und asymmetrischer Verschl├╝sselung erm├Âglicht PGP den sicheren Austausch von Informationen und kryptografischen Schl├╝sseln ├╝ber das Internet. Als hybrides System profitiert PGP sowohl von der Sicherheit der asymmetrischen Kryptographie als auch von der Geschwindigkeit der symmetrischen Verschl├╝sselung. Neben Sicherheit und Geschwindigkeit gew├Ąhrleisten digitale Signaturen die Integrit├Ąt der Daten und die Authentizit├Ąt des Absenders.┬á

Das OpenPGP-Protokoll erm├Âglichte die Entstehung eines standardisierten Wettbewerbsumfelds und PGP-L├Âsungen werden heute von mehreren Unternehmen und Organisationen angeboten. Dennoch sind alle PGP-Programme, die den OpenPGP-Standards entsprechen, untereinander kompatibel. Das bedeutet, dass in einem Programm erzeugte Dateien und Schl├╝ssel problemlos in einem anderen verwendet werden k├Ânnen.

Was die Nachteile betrifft, so sind PGP-Systeme nicht so einfach zu bedienen und zu verstehen, insbesondere f├╝r Anwender mit geringen technischen Kenntnissen. Auch die lange L├Ąnge der ├Âffentlichen Schl├╝ssel wird von vielen als sehr unangenehm empfunden.┬á

Im Jahr 2018 wurde von der Electronic Frontier Foundation (EFF) eine gro├če Schwachstelle namens EFAIL ver├Âffentlicht. EFAIL erm├Âglichte es Angreifern, aktive HTML-Inhalte in verschl├╝sselten E-Mails zu nutzen, um Zugang zu den Klartextversionen von Nachrichten zu erhalten.

Einige der von EFAIL beschriebenen Bedenken waren der PGP-Community jedoch bereits seit Ende der 90er Jahre bekannt, und tats├Ąchlich h├Ąngen die Schwachstellen mit den verschiedenen Implementierungen seitens der E-Mail-Clients zusammen und nicht mit PGP selbst. Trotz der alarmierenden und irref├╝hrenden Schlagzeilen ist PGP also stets hochgradig sicher.


Schlussworte

Seit seiner Entwicklung im Jahr 1991 ist PGP ein unverzichtbares Instrument f├╝r den Datenschutz und wird heute in einer Vielzahl von Anwendungen eingesetzt, die Privatsph├Ąre, Sicherheit und Authentifizierung f├╝r verschiedene Kommunikationssysteme und digitale Dienstleister bieten.┬á

W├Ąhrend die Entdeckung des EFAIL-Fehlers im Jahr 2018 erhebliche Bedenken hinsichtlich der Lebensf├Ąhigkeit des Protokolls aufwarf, gilt die Kerntechnologie nach wie vor als robust und kryptographisch einwandfrei. Es ist anzumerken, dass verschiedene PGP-Implementierungen unterschiedliche Sicherheitsstufen aufweisen k├Ânnen.

Beitrag teilen
Er├Âffne ein Konto
Setze dein Wissen in die Praxis um und er├Âffne noch heute ein Binance-Konto.