Suchen

Definition Pretty Good Privacy (PGP) Was ist PGP?

| Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Peter Schmitz

PGP (Pretty Good Privacy) ist ein Programm, mit dem sich Nachrichten wie E-Mails sowohl verschlüsseln als auch signieren lassen. Es kann für eine sichere Kommunikation verwendet werden und nutzt asymmetrische Verschlüsselungsverfahren mit öffentlichen und privaten Schlüsseln.

Firma zum Thema

Pretty Good Privacy (PGP) ist ein Tool für das Verschlüsseln und Signieren von E-Mail-Nachrichten.
Pretty Good Privacy (PGP) ist ein Tool für das Verschlüsseln und Signieren von E-Mail-Nachrichten.
(Bild: Pixabay / CC0 )

Das Kürzel PGP steht für den englischen Begriff "Pretty Good Privacy" und bedeutet übersetzt "ziemlich gute Privatsphäre". Es handelt sich bei PGP um ein ursprünglich von Phil Zimmermann entwickeltes Programm, mit dem Nachrichten sowohl verschlüsselt als auch signiert werden können. Eines der wichtigsten Einsatzgebiete des Programms ist die sichere Kommunikation via E-Mail. Anwender die PGP für den Versand von E-Mail-Nachrichten verwenden, haben die Wahl, ob sie die Nachricht nur verschlüsseln, nur signieren oder signieren und verschlüsseln möchten. Während das Verschlüsseln verhindert, dass Nachrichten für Unbefugte lesbar sind, dient die Signatur dazu, die Authentizität und Integrität der Nachricht nachzuweisen.

Bei einer signierten E-Mail ist sichergestellt, dass sie vom benannten Absender stammt und keine Veränderung stattgefunden hat. Basierend auf PGP entwickelte sich der Standard OpenPGP als freie Alternative. Mittlerweile sind im OpenPGP-Standard viele zusätzlichen Funktionen enthalten, die ursprünglich in PGP nicht vorgesehen waren. PGP basiert auf dem so genannten Public-Key-Verfahren mit asymmetrischer Verschlüsselung. Allerdings nutzt PGP auch symmetrische Schlüssel, weshalb das Verschlüsselungsverfahren als hybrides Verfahren einzuordnen ist.

Wie verschlüsselt PGP Nachrichten?

Die Verschlüsselung von PGP nutzt private und öffentliche Schlüssel. Mit dem öffentlichen Schlüssel kann jeder Nachrichten für einen Empfänger verschlüsseln. Das Entschlüsseln ist nur mit dem privaten Schlüssel möglich, der lediglich dem Empfänger bekannt sein darf. Soll eine Nachricht verschlüsselt werden, verwendet der Sender hierfür den öffentlichen Schlüssel des Empfängers. Allerdings erfolgt keine Verschlüsselung der kompletten Nachricht mit dem öffentlichen Schlüssel, da das asymmetrische Verschlüsselungsverfahren sehr ressourcenaufwendig ist. Die eigentliche Nachricht wird mit einem zuvor zufällig und jedes Mal neu generierten symmetrischen Session-Schlüssel chiffriert. Mit Hilfe des öffentlichen Schlüssels erfolgt die asymmetrische Verschlüsselung des symmetrischen Session-Schlüssels, der anschließend an die Nachricht angehängt wird. Dank diesem Verfahren sinkt der Rechenaufwand beim Ver- und Entschlüsseln und das gleichzeitige Versenden einer Nachrichten an mehrere Empfänger wird erleichtert.

Wie können Nachrichten mit PGP signiert werden?

Um die Authentizität und die Integrität einer Nachricht zu gewährleisten, fügt der Sender der Nachricht eine Signatur hinzu. Hierfür erzeugt Pretty Good Privacy aus dem Klartext der Nachricht über kryptographische Hashverfahren einen digitalen, eindeutigen Fingerprint. Der Fingerprint ist deutlich kürzer als die eigentliche Nachricht. Mit Hilfe seines privaten Schlüssels verschlüsselt der Sender diesen digitalen Fingerprint und fügt ihn der Nachricht hinzu.

Wie erfolgt die Entschlüsselung von Nachrichten?

Um verschlüsselte und signierte Nachrichten wieder in Klartext zu verwandeln, sind mehrere Schritte zu durchlaufen. Zunächst erfolgt die Entschlüsselung des symmetrischen, für diese Session generierten Schlüssels mit dem privaten Schlüssel des Empfängers. Den symmetrischen Schlüssel nutzt der Empfänger anschließend zur Entschlüsselung der Nachricht. Ist dies geschehen, liegt die Nachricht in Klartext mit einer digitalen Signatur vor. Im nächsten Schritt überprüft PGP die Signatur zur Sicherstellung der Integrität der Nachricht und der Authentizität des Absenders. Zu diesem Zweck erzeugt PGP aus dem Klartext der Nachricht den digitalen Fingerprint mit dem gleichen kryptographischen Hashverfahren, wie es der Sender genutzt hat. Zusätzlich entschlüsselt PGP die Signatur mit dem öffentlichen Schlüssel des Absenders. Das Ergebnis wird mit dem zuvor ermittelten digitalen Fingerprint verglichen. Stimmen beide Zeichenfolgen überein, kann der Empfänger davon ausgehen, dass die Signatur tatsächlich vom benannten Empfänger stammt und keine Veränderung der ursprünglichen Nachricht stattgefunden hat.

Web of Trust

Um die öffentlichen Schlüssel gesichert auszutauschen, kann Pretty Good Privacy ein so genannte Web of Trust verwenden. Die Nutzer vertrauen in diesem Netz darauf, dass die Schlüssel tatsächlich von den benannten Personen stammen. Es handelt sich beim Web of Trust um eine dezentrale Alternative zu hierarchischen PKI-Systemen (Public Key Infrastructure). Die Echtheit der Schlüssel basiert auf gegenseitigem Vertrauen und Bestätigungen der Teilnehmer des Web of Trust.

(ID:44790827)

Über den Autor