Seitdem das Stichwort Prism durch die Medien geistert, wird verstärkt über das Thema verschlüsselte Kommunkation berichtet und diskutiert. Dabei wird in der Berichterstattung häufig von PGP gesprochen. Doch was genau ist PGP und was kann es für euch tun?

PGP ist eine Abkürzung und steht für den Ausdruck “Pretty Good Privacy”. PGP selbst ist allerdings keine Verschlüsselung, sondern erstmal eine Anwendung zur Erstellung von öffentlichen und privaten Schlüsseln und digitalen Signaturen. PGP greift dafür auf verschiedene Verschlüsselungstechniken (Algorithmen) zurück. Diese sind meinem Kenntnisstand nach alle bekannt und wurden in der Vergangenheit bereits auf Schwachstellen untersucht.

An dieser Stelle sei angemerkt, daß die Sicherheit eines Algorithmus nicht dauerhaft ist. Die Einstufung eines Algorithmus kann schnell von sicher auf unsicher wechseln, wenn es effiziente Verfahren gibt, diesen zu “knacken”, oder, noch einfacher, die Rechenleistung verfügbarer Hardware stark genug zunimmt.

PGP ist für Privatpersonen ersteinmal frei verfügbar, kommerzielle Versionen gibt es für den Einsatz in Unternehmen.

Was genau könnt ihr nun mit PGP anstellen? Erstmal könnt ihr damit private und öffentliche Schlüsselzertifiate erzeugen. Damit könnt ihr Emailkommunikation verschlüsseln, eure Emails digital signieren oder auch Dateien verschlüsseln.

Auch wenn für die sichere Emailkommunikation zwei unterschiedliche Schlüssel verwendet werden (öffentlicher und privater Schlüssel, eine sog. asymmetrische Verschlüsselung), werden die Nachrichten selbst symmetrisch verschlüsselt, d.h. Verschlüsselung und Entschlüsselung nutzen den selben Schlüssel. Der Vorteil in einer symmetrischen Verschlüsselung liegt dabei in deutlich höherer Performanz, als bei asymetrischen Verfahren.

Warum aber gibt es dann zwei Schlüssel, die für PGP relevant sind? Ganz einfach. PGP arbeitet sowohl mit symmetrischer, als auch mit asymetrischer Verschlüsselung. Für die Nachrichten wird eine symmetrische Verschlüsselung benutzt. Diese hat erstmal nichts mit euren Schlüsseldateien zu tun. Vielmehr berechnet PGP für eure Nachricht einen sog. Session-Key (Einmal- oder Wegwerfschlüssel). Einfach gesprochen nimmt PGP eure Nachricht und komprimiert sie. Dann wird sie mit dem Einmalschlüssel verschlüsselt. Soweit so gut. Nun braucht man den Einmalschlüssel aber noch zum entschlüsseln. Da ihr den nicht kennt (und zu kennen braucht), kommen nun eure Schlüsseldateien zur Anwendung. PGP schnappt sich also den öffentlichen Schlüssel des Empängers (euren, wenn die Mail an euch geht) und verschlüsselt damit den Einmalschlüssel. Damit er nicht verloren geht, wird dieser mit der Nachricht verbunden und diese dann versendet.

Auf Empfängerseite läuft dieser Prozess dann genau umgekehrt ab. Allerdings kann der Einmalschlüssel nur mit dem privaten Schlüssel des Empfängers entschlüsset werden. Erst wenn das gemacht wurde, kann PGP die Nachricht selbst entschlüsseln und dekomprimieren, damit man sie am Ende lesen kann.

Klingt kompliziert, ist es aber eigentlich nicht. Wenn ihr erstmal eure PGP Schlüssel erstellt habt, könnt ihr euren privaten Schlüssel direkt in eurem Emailprogramme hinterlegen, sofern dieses PGP unterstützt. Anschliessend müsst ihr euren Kommunikationspartnern euren öffentlichen Schlüssel mitteilen, damit diese ihre Emails an euch entsprechend verschlüsseln kann. Die zur Entschlüsselung auf eurer Seite müsst ihr normalerweise nur euren Schlüssel “entsperren”, dazu gebt ihr euer Passwort, daß bei der Schlüsselerstellung festgelegt hab ein (sog. “Mantra”).

Da ihr mit eurem privaten Schlüssel auch Nachrichten digital signieren könnt, bietet es sich an, euren öffentlichen Schlüssel in eine der öffentlichen Datenbanken einzutragen. Dann kann die Signatur direkt geprüft werden.

Die Funktionsweise der digitalen Signatur mit PGP ist dabei deutlich weniger komplex als die Verschlüsselung:

1. Aus der Nachricht wird eine Hashwert (Prüfsumme) berechnet
2. Hashwert wird mit dem privaten Schlüssel verschlüsselt
3. verschlüsselter Hashwert wird an die Nachricht angehängt

Zur Prüfung der Signatur kann der Hashwert mit eurem öffentlichen Schlüssel entschlüsselt und dann mit dem Hashwert der erhaltenen Nachricht verglichen werden.

Natürlich kann die Nachricht erst signiert und anschliessend noch verschlüsselt werden.

Es existieren noch ähnliche Verfahren auf dem Markt, z.B. openPGP, das unter Linux mit GnuPG genutzt werden kann.

Ob man Emails nun verschlüsseln muss, oder nicht, muss der Nutzer entscheiden. Ich für meinen Teil nutze verschlüsselte Emails kaum, bin aber ein großer Freund der digitalen Signatur. Ich habe hier bewusst auf eine Anleitung zur Erstellung der Schlüsseldateien und der Nutzung mit einem Emailprogramm verzichtet. Dazu gibt es in der Zwischenzeit mehr als genug Anleitungen im Netz ;).