Definition

Pretty Good Privacy (PGP)

Pretty Good Privacy, oder abgekürzt PGP, ist ein beliebtes Programm, das zum Verschlüsseln und Entschlüsseln von E-Mails über das Internet genutzt wird. Es dient außerdem dazu, die Echtheit von Nachrichten und verschlüsselten Dateien mit digitalen Signaturen sicherzustellen.

Zunächst war PGP als Freeware kostenlos verfügbar. Aktuelle kommerzielle Versionen sind dagegen kostenpflichtig und werden vor allem von Unternehmen genutzt. PGP war früher das auch von Privatanwendern am meisten genutzte Programm, um die Privatsphäre sicherzustellen. Es wurde 1991 von Philip R. Zimmermann entwickelt und gilt immer noch als De-facto-Standard für E-Mail-Sicherheit.

Wie PGP funktioniert

Pretty Good Privacy nutzt eine Variante des Public-Key-Systems, bei dem jeder Anwender einen öffentlichen Schlüssel besitzt, der beliebig weitergegeben werden kann. Dazu kommt ein privater Schlüssel, der nur dem Anwender bekannt ist. Um eine verschlüsselte Nachricht an jemand anderes zu versenden, benötigen Sie seinen öffentlichen Schlüssel. Wenn der Empfänger die Nachricht erhalten hat, kann er sie mit seinem privaten Schlüssel decodieren. Weil es sehr zeitaufwändig sein kann, eine komplette Nachricht zu verschlüsseln, setzt PGP auf einen schnelleren Algorithmus. Dieser verwendet einen zusätzlichen kürzeren Key, um die Nachricht zu verschlüsseln. Nur dieser kürzere Schlüssel wird dann mit dem öffentlichen Schlüssel des Empfängers verschlüsselt. Sowohl die chiffrierte Nachricht als auch der verschlüsselte kürzere Schlüssel werden dann an den Empfänger gesendet. Mit seinem privaten Schlüssel kann dieser zunächst den verschlüsselten Key entschlüsseln, und diesen dann dazu verwenden, die eigentliche Nachricht wieder lesbar zu machen.

PGP gibt es prinzipiell in zwei verschiedenen Versionen, die entweder auf Rivest-Shamir-Adleman (RSA) oder Diffie-Hellman basieren. Die RSA-Version, für die PGP eine Lizenzgebühr an RSA zahlen muss, verwendet den IDEA-Algorithmus, um einen kurzen Schlüssel für die ganze Nachricht zu erstellen und RSA, um diesen kurzen Schlüssel zu verschlüsseln. Die Diffie-Hellman-Version nutzt den CAST-Algorithmus für den kurzen Schlüssel und Diffie-Hellman, um den kurzen Schlüssel zu verschlüsseln.

Um digitale Signaturen zu erstellen, verwendet PGP ebenfalls einen effizienten Algorithmus, der einen Hash (eine Art mathematischer Prüfsumme) aus dem Namen des Nutzers und anderen Informationen erstellt. Der Hash-Code wird dann mit dem privaten Schlüssel des Absenders verschlüsselt. Der Empfänger verwendet den öffentlichen Schlüssel des Absenders, um den Hash-Code zu entschlüsseln. Wenn er mit dem als digitale Signatur in der Nachricht mitgesendeten Hash-Code übereinstimmt, kann sich der Empfänger sicher sein, dass die Nachricht wirklich von dem angegebenen Absender stammt. Die RSA-Version von PGP verwendet den MD5-Algorithmus, um den Hash-Code zu erstellen. Die Diffie-Hellman-Version setzt dagegen auf den SHA-1-Algorithmus, um den Hash-Code zu generieren.

So bekommen Sie PGP

Um Pretty Good Privacy zu nutzen, laden Sie es entweder herunter oder kaufen Sie es und installieren Sie es dann auf Ihrem Computer. Die meisten Versionen enthalten ein Nutzer-Interface, das sich direkt in Ihr E-Mail-Programm integriert. Nach dem Erstellen Ihrer Schlüssel, sollten Sie Ihren öffentlichen Schlüssel noch auf einen Public-Key-Server hochladen. Andere Personen, mit denen Sie E-Mails austauschen wollen, können Ihren öffentlichen Schlüssel dort finden.

Die Freeware-Version von PGP gibt es nur noch für ältere Windows-Versionen, Mac OS, DOS, Unix und andere meist nicht mehr ganz aktuelle Betriebssysteme. Das liegt daran, dass Symantec 2010 die PGP Corporation übernommen hat, die damals alle Rechte am Quellcode von PGP hielt. Kurz darauf stellte Symantec die Freeware-Version ein. Stattdessen bietet der Hersteller die PGP-Technologie jetzt in verschiedenen seiner Verschlüsselungsprodukte an, beispielsweise als Symantec Encryption Desktop, Symantec Desktop Email Encryption und Symantec Encryption Desktop Storage. Der Quellcode von Symantec Encryption Desktop kann von interessierten Anwendern auch heruntergeladen und überprüft werden.

Obwohl Symantec die Freeware-Version von PGP eingestellt hat, gibt es doch noch andere nicht-proprietäre Versionen der Software, die frei verfügbar sind. So ist beispielsweise OpenPGP eine Open-Source-Version von PGP, die von der Internet Engineering Task Force (IETF) unterstützt wird. OpenPGP wird seinerseits von verschiedenen Software-Herstellern genutzt, um eigene Produkte anzubieten. So hat etwa Coviant Software ein kostenloses Verschlüsselungs-Tool auf Basis von OpenPGP entwickelt. HushMail bietet dagegen einen web-basierten E-Mail-Dienst ebenfalls auf Basis von OpenPGP an. Darüber hinaus hat die Free Software Foundation die Verschlüsselungslösung GNU Privacy Guard (GPG) entwickelt, die kompatibel zu OpenPGP ist.

Wofür können Sie PGP einsetzen?

Pretty Good Privacy kann genutzt werden, um digitale Signaturen zu überprüfen und um Texte, E-Mails, Dateien, Verzeichnisse sowie komplette Partitionen zu ver- und entschlüsseln. Auf Basis von PGP bietet etwa Symantec die Lösung Symantec File Share Encryption an, mit der sich Dateien in Netzwerken verschlüsseln lassen. Symantec Endpoint Encryption eignet sich dagegen dazu, Computer sowie mobile Endgeräte und Datenspeicher zu verschlüsseln. Beim Verschlüsseln von Dateien und Festplatten ermöglichen es die Symantec-Produkte, Daten per Single-Sign-on zu entschlüsseln und wieder zu verschlüsseln.

Ursprünglich hatte die US-Regierung den Export von PGP-Technologie verboten und sogar ein Strafverfahren gegen Zimmermann eröffnet, weil er sein Produkt als Public Domain veröffentlicht hatte (das Verfahren wurde später eingestellt). 1997 kaufte Network Associates Inc. (NAI) Zimmermanns Firma PGP Inc. und konnte den Quellcode von PGP dann ohne rechtliche Hürden veröffentlichen. Später verkaufte NAI die Rechte an PGP wieder an mehrere frühere PGP-Entwickler, die 2002 das Unternehmen PGP Corporation gründeten. Diese Firma wurde 2010 von Symantec geschluckt.

Heute ist es kein Problem mehr, mit PGP verschlüsselte Nachrichten mit Anwendern außerhalb der USA auszutauschen - vorausgesetzt allerdings, dass beide Nutzer passende PGP-Versionen verwenden.

Es sind verschiedene PGP-Versionen im Umlauf, für die es teilweise Erweiterungen zu kaufen gibt, die etwa die Rückwärtskompatibilitär von neueren RSA-Versionen zu älteren Varianten sicherstellen. Nichtsdestotrotz arbeiten die Diffie-Hellman- und die RSA-Versionen nicht miteinander, weil sie verschiedene Algorithmen verwenden. Es gibt außerdem einige IT-Firmen, die Tools und Dienste rund um PGP veröffentlicht haben. Beispielsweise stellte Google 2014 ein Verschlüsselungs-Plug-in für Chrome auf Basis von OpenPGP vor, während Yahoo PGP-Verschlüsselung für seinen E-Mail-Service einführte.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

 

Diese Definition wurde zuletzt im Juni 2016 aktualisiert

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit