Definition Pretty Good Privacy (PGP)

Was ist PGP?

| Autor / Redakteur: tutanch / Peter Schmitz

Pretty Good Privacy (PGP) ist ein Tool für das Verschlüsseln und Signieren von E-Mail-Nachrichten.
Pretty Good Privacy (PGP) ist ein Tool für das Verschlüsseln und Signieren von E-Mail-Nachrichten. (Bild: Pixabay / CC0)

PGP (Pretty Good Privacy) ist ein Programm, mit dem sich Nachrichten wie E-Mails sowohl verschlüsseln als auch signieren lassen. Es kann für eine sichere Kommunikation verwendet werden und nutzt asymmetrische Verschlüsselungsverfahren mit öffentlichen und privaten Schlüsseln.

Das Kürzel PGP steht für den englischen Begriff "Pretty Good Privacy" und bedeutet übersetzt "ziemlich gute Privatsphäre". Es handelt sich bei PGP um ein ursprünglich von Phil Zimmermann entwickeltes Programm, mit dem Nachrichten sowohl verschlüsselt als auch signiert werden können. Eines der wichtigsten Einsatzgebiete des Programms ist die sichere Kommunikation via E-Mail. Anwender die PGP für den Versand von E-Mail-Nachrichten verwenden, haben die Wahl, ob sie die Nachricht nur verschlüsseln, nur signieren oder signieren und verschlüsseln möchten. Während das Verschlüsseln verhindert, dass Nachrichten für Unbefugte lesbar sind, dient die Signatur dazu, die Authentizität und Integrität der Nachricht nachzuweisen.

Bei einer signierten E-Mail ist sichergestellt, dass sie vom benannten Absender stammt und keine Veränderung stattgefunden hat. Basierend auf PGP entwickelte sich der Standard OpenPGP als freie Alternative. Mittlerweile sind im OpenPGP-Standard viele zusätzlichen Funktionen enthalten, die ursprünglich in PGP nicht vorgesehen waren. PGP basiert auf dem so genannten Public-Key-Verfahren mit asymmetrischer Verschlüsselung. Allerdings nutzt PGP auch symmetrische Schlüssel, weshalb das Verschlüsselungsverfahren als hybrides Verfahren einzuordnen ist.

Wie verschlüsselt PGP Nachrichten?

Die Verschlüsselung von PGP nutzt private und öffentliche Schlüssel. Mit dem öffentlichen Schlüssel kann jeder Nachrichten für einen Empfänger verschlüsseln. Das Entschlüsseln ist nur mit dem privaten Schlüssel möglich, der lediglich dem Empfänger bekannt sein darf. Soll eine Nachricht verschlüsselt werden, verwendet der Sender hierfür den öffentlichen Schlüssel des Empfängers. Allerdings erfolgt keine Verschlüsselung der kompletten Nachricht mit dem öffentlichen Schlüssel, da das asymmetrische Verschlüsselungsverfahren sehr ressourcenaufwendig ist. Die eigentliche Nachricht wird mit einem zuvor zufällig und jedes Mal neu generierten symmetrischen Session-Schlüssel chiffriert. Mit Hilfe des öffentlichen Schlüssels erfolgt die asymmetrische Verschlüsselung des symmetrischen Session-Schlüssels, der anschließend an die Nachricht angehängt wird. Dank diesem Verfahren sinkt der Rechenaufwand beim Ver- und Entschlüsseln und das gleichzeitige Versenden einer Nachrichten an mehrere Empfänger wird erleichtert.

Wie können Nachrichten mit PGP signiert werden?

Um die Authentizität und die Integrität einer Nachricht zu gewährleisten, fügt der Sender der Nachricht eine Signatur hinzu. Hierfür erzeugt Pretty Good Privacy aus dem Klartext der Nachricht über kryptographische Hashverfahren einen digitalen, eindeutigen Fingerprint. Der Fingerprint ist deutlich kürzer als die eigentliche Nachricht. Mit Hilfe seines privaten Schlüssels verschlüsselt der Sender diesen digitalen Fingerprint und fügt ihn der Nachricht hinzu.

Wie erfolgt die Entschlüsselung von Nachrichten?

Um verschlüsselte und signierte Nachrichten wieder in Klartext zu verwandeln, sind mehrere Schritte zu durchlaufen. Zunächst erfolgt die Entschlüsselung des symmetrischen, für diese Session generierten Schlüssels mit dem privaten Schlüssel des Empfängers. Den symmetrischen Schlüssel nutzt der Empfänger anschließend zur Entschlüsselung der Nachricht. Ist dies geschehen, liegt die Nachricht in Klartext mit einer digitalen Signatur vor. Im nächsten Schritt überprüft PGP die Signatur zur Sicherstellung der Integrität der Nachricht und der Authentizität des Absenders. Zu diesem Zweck erzeugt PGP aus dem Klartext der Nachricht den digitalen Fingerprint mit dem gleichen kryptographischen Hashverfahren, wie es der Sender genutzt hat. Zusätzlich entschlüsselt PGP die Signatur mit dem öffentlichen Schlüssel des Absenders. Das Ergebnis wird mit dem zuvor ermittelten digitalen Fingerprint verglichen. Stimmen beide Zeichenfolgen überein, kann der Empfänger davon ausgehen, dass die Signatur tatsächlich vom benannten Empfänger stammt und keine Veränderung der ursprünglichen Nachricht stattgefunden hat.

Web of Trust

Um die öffentlichen Schlüssel gesichert auszutauschen, kann Pretty Good Privacy ein so genannte Web of Trust verwenden. Die Nutzer vertrauen in diesem Netz darauf, dass die Schlüssel tatsächlich von den benannten Personen stammen. Es handelt sich beim Web of Trust um eine dezentrale Alternative zu hierarchischen PKI-Systemen (Public Key Infrastructure). Die Echtheit der Schlüssel basiert auf gegenseitigem Vertrauen und Bestätigungen der Teilnehmer des Web of Trust.

Der Schlüssel zur IT-Compliance

Neues eBook „Verschlüsselung und Key Management“

Der Schlüssel zur IT-Compliance

14.06.16 - Verschlüsselung ist eine der zentralen und dienstältesten IT-Sicherheitsmaßnahmen. Trotzdem haben viele Unternehmen noch Nachholbedarf beim Verschlüsseln ihrer Daten. Unser neues eBook nennt die Probleme und gibt Tipps. lesen

Jeder kann sicher kommunizieren!

E-Mail-Verschlüsselung

Jeder kann sicher kommunizieren!

08.09.16 - Unverschlüsselte E-Mails sind wie Postkarten. Mit wenig Aufwand können Hacker alle damit versendeten Informationen mitlesen, von persönlichen Unterhaltungen über Geschäftsdaten und Kalkulationen, bis hin zu per Mail verschickten Zugangsdaten und Passwörtern. lesen

Die Top 25 der E-Mail Encryption Tools

Übersicht über die gängigsten Lösungen zur E-Mail-Verschlüsselung

Die Top 25 der E-Mail Encryption Tools

11.08.14 - Während die E-Mail als benutzerfreundlich und wartungsfrei gilt, wird die Verschlüsselung der elektronischen Post eher als hinderlich gesehen. Komfort-Einbußen und eine langwierige, komplexe Implementierung müssen aber nicht sein, wie unsere aktualisierte und erweiterte Top-Liste der E-Mail-Verschlüsselungslösungen zeigt. lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Cloud-Speicher mit clientseitiger Daten-Verschlüsselung

Im Gespräch mit luckycloud-Gründer Luc Mader

Cloud-Speicher mit clientseitiger Daten-Verschlüsselung

Cloud-Storage-Dienste gibt es mittlerweile wie Sand am Meer. Wer abseits der großen Anbieter wie Dropbox, Google oder Microsoft nach Alternativen sucht, stößt mitunter auf deutsche, regional angesiedelte Unternehmen wie luckycloud. Das in Berlin beheimatete Startup hat sich insbesondere das Thema Verschlüsselung auf die Fahnen geschrieben. lesen

Fünf praktische Verschlüsselungstools

So verschlüsseln Sie richtig!

Fünf praktische Verschlüsselungstools

Nicht nur die NSA und andere Geheimdienste schnüffeln in Daten, sondern auch Angreifer und Industriespione. Es macht also durchaus Sinn Daten zu verschlüsseln, wo immer das möglich ist. Dazu sind nicht immer teure und komplizierte Zusatzanwendungen notwendig. Wir zeigen fünf praktische Tools zur einfachen Verschlüsselung zur Datenweitergabe. lesen

Was ist Verschlüsselung?

Definition symmetrische und asymmetrische Verschlüsselung

Was ist Verschlüsselung?

Mit Hilfe der Verschlüsselung lassen sich Daten in eine für Unbefugte nicht mehr lesbare Form verwandeln. Zur Verschlüsselung kommen digitale Schlüssel (Schlüsseldateien) in symmetrischen oder asymmetrischen Verschlüsselungsverfahren zum Einsatz. lesen

Verschlüsselung in Zeiten der Post-Quantum-Kryptographie

Neue Algorithmen gegen Quantencomputer

Verschlüsselung in Zeiten der Post-Quantum-Kryptographie

Ohne zuverlässige Verschlüsselung ist die digitale Welt unvorstellbar. Nach zahllosen Tests gelten die etablierten Verfahren heute als äußerst sicher. Doch das könnte sich bald ändern, wenn Codebrecher über Quantencomputer verfügen. Mit Hochdruck arbeiten Mathematiker an neuen Verfahren. Läuft alles glatt, sollen sie in 10 Jahren einsatzfähig sein, die Frage ist aber, ob das schnell genug ist. lesen

Kontaktloser Sicherheits-Chip sicher vor Quantencomputern

Post-Quantum-Kryptographie

Kontaktloser Sicherheits-Chip sicher vor Quantencomputern

Quantencomputer besitzen aufgrund ihrer Rechenleistung das Potenzial, verschiedene aktuell verwendete Verschlüsselungsalgorithmen zu knacken. Infineon Technologies will jetzt den reibungslosen Übergang von heutigen Sicherheitsprotokollen auf die Post-Quantum-Kryptographie (Post-Quantum Cryptography; PQC) schaffen. Infineon hat die erste PQC-Implementierung auf einem kontaktlosen Sicherheitschip, der üblicherweise für Ausweisdokumente verwendet wird, erfolgreich realisiert. lesen

Safe-T modernisiert DMZ und sichert Cloud

Alternatives Paradigma für Governance und Netzwerksicherheit

Safe-T modernisiert DMZ und sichert Cloud

Einen sicheren und kontrollierten Zugriff auf Unternehmensdaten verspricht Safe-T mit seinen Produkten Safe-T-Box und RSAccess. Die Lösungen fungieren als Reverse-Access-Lösung oder Security Broker für verschiedenste Anwendungen und Clouddienste. lesen

Open Source Authentifizierung jetzt schneller und sicherer

privacyIDEA 2.14

Open Source Authentifizierung jetzt schneller und sicherer

Das Open Source Mehr-Faktor-Authentifizierungssystem privacyIDEA ist in der Version 2.14 verfügbar. Das neue Release des privacyIDEA Authentication Systems bringt verbessertes Event-Handling und verschiedene Performance-Optimierungen. lesen

Opsec – Kniffe für mehr Datensicherheit

Sicher auf Reisen

Opsec – Kniffe für mehr Datensicherheit

Opsec oder Operations Security kann auf der Geschäftsreise die Frage, wer eventuell unberechtigt Daten abgegriffen hat, überflüssig machen. Wie aber schützt man sich, seine Gerätschaften und Daten, ohne gleich zum Militärexperten zu werden? lesen

Abhörsichere Smartphone-Gespräche

Telefon-Verschlüsselung

Abhörsichere Smartphone-Gespräche

Bei der Absicherung ihrer Kommunikation vergessen Unternehmen oft die Telefonie über unsichere Netze. Dabei ist sogar mit handelsüblichen iOS- und Android-Smartphones eine abhörsichere Kommunikation möglich. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44790827 / Definitionen)