Definition Pretty Good Privacy (PGP)

Was ist PGP?

| Autor / Redakteur: tutanch / Peter Schmitz

Pretty Good Privacy (PGP) ist ein Tool für das Verschlüsseln und Signieren von E-Mail-Nachrichten.
Pretty Good Privacy (PGP) ist ein Tool für das Verschlüsseln und Signieren von E-Mail-Nachrichten. (Bild: Pixabay / CC0)

PGP (Pretty Good Privacy) ist ein Programm, mit dem sich Nachrichten wie E-Mails sowohl verschlüsseln als auch signieren lassen. Es kann für eine sichere Kommunikation verwendet werden und nutzt asymmetrische Verschlüsselungsverfahren mit öffentlichen und privaten Schlüsseln.

Das Kürzel PGP steht für den englischen Begriff "Pretty Good Privacy" und bedeutet übersetzt "ziemlich gute Privatsphäre". Es handelt sich bei PGP um ein ursprünglich von Phil Zimmermann entwickeltes Programm, mit dem Nachrichten sowohl verschlüsselt als auch signiert werden können. Eines der wichtigsten Einsatzgebiete des Programms ist die sichere Kommunikation via E-Mail. Anwender die PGP für den Versand von E-Mail-Nachrichten verwenden, haben die Wahl, ob sie die Nachricht nur verschlüsseln, nur signieren oder signieren und verschlüsseln möchten. Während das Verschlüsseln verhindert, dass Nachrichten für Unbefugte lesbar sind, dient die Signatur dazu, die Authentizität und Integrität der Nachricht nachzuweisen.

Bei einer signierten E-Mail ist sichergestellt, dass sie vom benannten Absender stammt und keine Veränderung stattgefunden hat. Basierend auf PGP entwickelte sich der Standard OpenPGP als freie Alternative. Mittlerweile sind im OpenPGP-Standard viele zusätzlichen Funktionen enthalten, die ursprünglich in PGP nicht vorgesehen waren. PGP basiert auf dem so genannten Public-Key-Verfahren mit asymmetrischer Verschlüsselung. Allerdings nutzt PGP auch symmetrische Schlüssel, weshalb das Verschlüsselungsverfahren als hybrides Verfahren einzuordnen ist.

Wie verschlüsselt PGP Nachrichten?

Die Verschlüsselung von PGP nutzt private und öffentliche Schlüssel. Mit dem öffentlichen Schlüssel kann jeder Nachrichten für einen Empfänger verschlüsseln. Das Entschlüsseln ist nur mit dem privaten Schlüssel möglich, der lediglich dem Empfänger bekannt sein darf. Soll eine Nachricht verschlüsselt werden, verwendet der Sender hierfür den öffentlichen Schlüssel des Empfängers. Allerdings erfolgt keine Verschlüsselung der kompletten Nachricht mit dem öffentlichen Schlüssel, da das asymmetrische Verschlüsselungsverfahren sehr ressourcenaufwendig ist. Die eigentliche Nachricht wird mit einem zuvor zufällig und jedes Mal neu generierten symmetrischen Session-Schlüssel chiffriert. Mit Hilfe des öffentlichen Schlüssels erfolgt die asymmetrische Verschlüsselung des symmetrischen Session-Schlüssels, der anschließend an die Nachricht angehängt wird. Dank diesem Verfahren sinkt der Rechenaufwand beim Ver- und Entschlüsseln und das gleichzeitige Versenden einer Nachrichten an mehrere Empfänger wird erleichtert.

Wie können Nachrichten mit PGP signiert werden?

Um die Authentizität und die Integrität einer Nachricht zu gewährleisten, fügt der Sender der Nachricht eine Signatur hinzu. Hierfür erzeugt Pretty Good Privacy aus dem Klartext der Nachricht über kryptographische Hashverfahren einen digitalen, eindeutigen Fingerprint. Der Fingerprint ist deutlich kürzer als die eigentliche Nachricht. Mit Hilfe seines privaten Schlüssels verschlüsselt der Sender diesen digitalen Fingerprint und fügt ihn der Nachricht hinzu.

Wie erfolgt die Entschlüsselung von Nachrichten?

Um verschlüsselte und signierte Nachrichten wieder in Klartext zu verwandeln, sind mehrere Schritte zu durchlaufen. Zunächst erfolgt die Entschlüsselung des symmetrischen, für diese Session generierten Schlüssels mit dem privaten Schlüssel des Empfängers. Den symmetrischen Schlüssel nutzt der Empfänger anschließend zur Entschlüsselung der Nachricht. Ist dies geschehen, liegt die Nachricht in Klartext mit einer digitalen Signatur vor. Im nächsten Schritt überprüft PGP die Signatur zur Sicherstellung der Integrität der Nachricht und der Authentizität des Absenders. Zu diesem Zweck erzeugt PGP aus dem Klartext der Nachricht den digitalen Fingerprint mit dem gleichen kryptographischen Hashverfahren, wie es der Sender genutzt hat. Zusätzlich entschlüsselt PGP die Signatur mit dem öffentlichen Schlüssel des Absenders. Das Ergebnis wird mit dem zuvor ermittelten digitalen Fingerprint verglichen. Stimmen beide Zeichenfolgen überein, kann der Empfänger davon ausgehen, dass die Signatur tatsächlich vom benannten Empfänger stammt und keine Veränderung der ursprünglichen Nachricht stattgefunden hat.

Web of Trust

Um die öffentlichen Schlüssel gesichert auszutauschen, kann Pretty Good Privacy ein so genannte Web of Trust verwenden. Die Nutzer vertrauen in diesem Netz darauf, dass die Schlüssel tatsächlich von den benannten Personen stammen. Es handelt sich beim Web of Trust um eine dezentrale Alternative zu hierarchischen PKI-Systemen (Public Key Infrastructure). Die Echtheit der Schlüssel basiert auf gegenseitigem Vertrauen und Bestätigungen der Teilnehmer des Web of Trust.

Der Schlüssel zur IT-Compliance

Neues eBook „Verschlüsselung und Key Management“

Der Schlüssel zur IT-Compliance

14.06.16 - Verschlüsselung ist eine der zentralen und dienstältesten IT-Sicherheitsmaßnahmen. Trotzdem haben viele Unternehmen noch Nachholbedarf beim Verschlüsseln ihrer Daten. Unser neues eBook nennt die Probleme und gibt Tipps. lesen

Jeder kann sicher kommunizieren!

E-Mail-Verschlüsselung

Jeder kann sicher kommunizieren!

08.09.16 - Unverschlüsselte E-Mails sind wie Postkarten. Mit wenig Aufwand können Hacker alle damit versendeten Informationen mitlesen, von persönlichen Unterhaltungen über Geschäftsdaten und Kalkulationen, bis hin zu per Mail verschickten Zugangsdaten und Passwörtern. lesen

Die Top 25 der E-Mail Encryption Tools

Übersicht über die gängigsten Lösungen zur E-Mail-Verschlüsselung

Die Top 25 der E-Mail Encryption Tools

11.08.14 - Während die E-Mail als benutzerfreundlich und wartungsfrei gilt, wird die Verschlüsselung der elektronischen Post eher als hinderlich gesehen. Komfort-Einbußen und eine langwierige, komplexe Implementierung müssen aber nicht sein, wie unsere aktualisierte und erweiterte Top-Liste der E-Mail-Verschlüsselungslösungen zeigt. lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Einfach E-Mails verschlüsseln

ProtonMail, Tutanota, OpenPGP, Web.de & Co.

Einfach E-Mails verschlüsseln

Damit vertrauliche E-Mails von Unbefugten nicht gelesen werden können, sollten auch kleine Unternehmen ihre Nachrichten verschlüsseln. Viele glauben allerdings immer noch, E-Mail-Verschlüsselung sei kompliziert. Wir zeigen wie einfach E-Mail-Verschlüsselung inzwischen mit Diensten wie ProtonMail, Tutanota, den Webmail-Diensten GMX und Web.de und auch dem Klassiker OpenPGP funktioniert. lesen

Mit PKI zur Cyber­sicher­heit durch Daten­ver­schlüs­se­lung

Verschlüsselung für Unternehmen

Mit PKI zur Cyber­sicher­heit durch Daten­ver­schlüs­se­lung

Die wachsende Zahl erfolgreicher Cyber­angriffe auf deutsche Unternehmen zeigt, dass auch im Mittelstand präventive Maßnahmen auf Netz­werk­ebene nicht mehr ausreichen. Um Angriffsfläche und potenziellen Schaden zu minimieren, braucht es verschlüsselte Sicherheitsbereiche auf Datenebene. Doch was ist zu beachten, damit die Datenhoheit des Unternehmens gewahrt bleibt? lesen

So arbeiten Hacker und Datendiebe wirklich

Daten- und Kommunikationssicherheit

So arbeiten Hacker und Datendiebe wirklich

IT-Sicherheit ist mitten unter uns. Wer diese Aussage für eine bloße Plattitüde hält, der sollte sich kurz die Zeit nehmen, das Vorgehen eines Hackers an einem konkreten Beispiel zu beobachten. Ein ehemaliger Berufs-Hacker zeigt, wie schnell Cyber­kriminelle oft erfolgreich sind, auch bei Unternehmen die glauben geschützt zu sein. lesen

Efail-Angriff auf PGP und S/MIME verschlüsselte Mails

Verschlüsselte E-Mails angreifbar

Efail-Angriff auf PGP und S/MIME verschlüsselte Mails

Die Implementierung der die beiden bekanntesten E-Mail-Verschlüsselungs­verfahren OpenPGP und S/MIME ist bei vielen E-Mail-Programmen angreifbar. Das hat jetzt ein internationales Forscherteam herausgefunden. Der Angriff, den die Forscher Efail tauften, war für S/MIME bei 25 von 35 getesteten E-Mail-Programmen und für OpenPGP bei 10 von 28 getesteten Programmen erfolgreich. lesen

Was ist AES (Advanced Encryption Standard)?

Definition AES-Verschlüsselung

Was ist AES (Advanced Encryption Standard)?

Der Advanced Encryption Standard (AES) ist eine sehr sichere symmetrische Verschlüsselungsmethode. Sie arbeitet mit Blockverschlüsselung und ist der Nachfolger des Data Encryption Standards (DES). Weltweit wird AES in vielen verschiedenen Bereichen verwendet. lesen

Sichere Suche in verschlüsselten E-Mails

Tutanota E-Mail-Verschlüsselung

Sichere Suche in verschlüsselten E-Mails

Tutanota, die Lösung zur E-Mail-Verschlüsselung hat zum Ziel, Ende-zu-Ende-Verschlüsselung einfach jedem zugänglich und somit massentauglich zu machen. Mit dem Hinzufügen einer einfach zu nutzenden Suchfunktion zum neuen Mail-Client macht Tutanota einen wichtigen Schritt lesen

Wie funktioniert E-Mail-Verschlüsselung?

Definition E-Mail-Verschlüsselung

Wie funktioniert E-Mail-Verschlüsselung?

Mit der E-Mail-Verschlüsselung lässt sich die elektronische Kommunikation vor unbefugtem Zugriff schützen. Man unterscheidet zwischen Transportverschlüsselung und Ende-zu-Ende-Verschlüsselung von E-Mails unterschieden werden. Meist kommen asymmetrische Verfahren für die E-Mail-Verschlüsselung zum Einsatz. lesen

Cloud-Speicher mit clientseitiger Daten-Verschlüsselung

Im Gespräch mit luckycloud-Gründer Luc Mader

Cloud-Speicher mit clientseitiger Daten-Verschlüsselung

Cloud-Storage-Dienste gibt es mittlerweile wie Sand am Meer. Wer abseits der großen Anbieter wie Dropbox, Google oder Microsoft nach Alternativen sucht, stößt mitunter auf deutsche, regional angesiedelte Unternehmen wie luckycloud. Das in Berlin beheimatete Startup hat sich insbesondere das Thema Verschlüsselung auf die Fahnen geschrieben. lesen

Fünf praktische Verschlüsselungstools

So verschlüsseln Sie richtig!

Fünf praktische Verschlüsselungstools

Nicht nur die NSA und andere Geheimdienste schnüffeln in Daten, sondern auch Angreifer und Industriespione. Es macht also durchaus Sinn Daten zu verschlüsseln, wo immer das möglich ist. Dazu sind nicht immer teure und komplizierte Zusatzanwendungen notwendig. Wir zeigen fünf praktische Tools zur einfachen Verschlüsselung zur Datenweitergabe. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44790827 / Definitionen)