Sofern E-Mailadressen den Vermerk (PGP) enthalten, können Mails an diese Adressen mittels PGP verschlüsselt werden. Der dazu nötige öffentliche Schlüssel nebst Fingerprint ist in dieser Auflistung abrufbar:

E-Mailadresse Öffentlicher Schlüssel Fingerprint
Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! Download 374B 16EC 6E59 F578 96B4
EED6 DAE2 C488 0988 1105 
 Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! Download
 A549 69CF 6920 196A 7170 6E39 E3C1 AED5 9C7C 4A69
 Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! Download AFEA 58CB A19F F92D B1AA 7E9C 7466 7881 CD54 C6CB 
     
     

 

Was ist PGP?

Das Kürzel PGP steht für den englischen Begriff "Pretty Good Privacy" und bedeutet übersetzt "ziemlich gute Privatsphäre". Es handelt sich bei PGP um ein ursprünglich von Phil Zimmermann entwickeltes Programm, mit dem Nachrichten sowohl verschlüsselt als auch signiert werden können. Eines der wichtigsten Einsatzgebiete des Programms ist die sichere Kommunikation via E-Mail. Anwender die PGP für den Versand von E-Mail-Nachrichten verwenden, haben die Wahl, ob sie die Nachricht nur verschlüsseln, nur signieren oder signieren und verschlüsseln möchten. Während das Verschlüsseln verhindert, dass Nachrichten für Unbefugte lesbar sind, dient die Signatur dazu, die Authentizität und Integrität der Nachricht nachzuweisen, d.h. bei einer signierten E-Mail ist sichergestellt, dass sie vom benannten Absender stammt und keine Veränderung während des Versendens stattgefunden hat.

PGP ist eine sogenannte Ende-zu Ende-Verschlüsselung, d.h. Mails bleiben vom Abschicken vom Absender bis zum Eingang beim Empfänger durchgehend verschlüsselt. Auf dem Weg dazwischen (z.B. auf einem Mailserver) bestehen die Mails nur aus wirren Zeichen!

Basierend auf PGP entwickelte sich der Standard OpenPGP als freie Alternative. Mittlerweile sind im OpenPGP-Standard viele zusätzlichen Funktionen enthalten, die ursprünglich in PGP nicht vorgesehen waren. PGP basiert auf dem so genannten Public-Key-Verfahren mit asymmetrischer Verschlüsselung. Allerdings nutzt PGP auch symmetrische Schlüssel, weshalb das Verschlüsselungsverfahren als hybrides Verfahren einzuordnen ist.

Wie verschlüsselt PGP Nachrichten?

Die Verschlüsselung von PGP nutzt private und öffentliche Schlüssel, welches als Schlüsselpaar einmalig vom Teilnehmer erzeugt wird. Der öffentliche Schlüssel darf dabei beliebig weiterverbreitet werden (z.B. per Mail, Veröffentlichung auf einer Internetseite oder Schlüsselservern). Sofern der Kommunikationspartner ebenfalls einen öffentlichen Schlüssel besitzt, ist es möglich, Nachrichten für diesen mit dessen Schlüssel zu verschlüsseln.

Das Entschlüsseln von Nachrichten ist nur mit dem privaten Schlüssel des Empfängers möglich, der auch nur diesem bekannt sein darf und auch gut unter Verschluss gehalten werden muss! Dieser Schlüssel sollte auch mit einem langen Passwort ("Passphrase") geschützt werden.

Soll eine Nachricht verschlüsselt werden, verwendet der Sender hierfür den öffentlichen Schlüssel des Empfängers. Allerdings erfolgt keine Verschlüsselung der kompletten Nachricht mit dem öffentlichen Schlüssel, da das asymmetrische Verschlüsselungsverfahren sehr ressourcenaufwendig ist. Die eigentliche Nachricht wird mit einem zuvor zufällig und jedes Mal neu generierten symmetrischen Session-Schlüssel chiffriert. Mit Hilfe des öffentlichen Schlüssels erfolgt die asymmetrische Verschlüsselung des symmetrischen Session-Schlüssels, der anschließend an die Nachricht angehängt wird. Dank diesem Verfahren sinkt der Rechenaufwand beim Ver- und Entschlüsseln und das gleichzeitige Versenden einer Nachrichten an mehrere Empfänger wird erleichtert.

Wie können Nachrichten mit PGP signiert werden?

Um die Authentizität und die Integrität einer Nachricht zu gewährleisten, fügt der Sender der Nachricht eine Signatur hinzu. Hierfür erzeugt Pretty Good Privacy aus dem Klartext der Nachricht über kryptographische Verfahren eine digitale, eindeutige Prüfsumme, den sogenannten Hashwert. Diese Prüfsumme ist deutlich kürzer als die eigentliche Nachricht. Mit Hilfe seines privaten Schlüssels verschlüsselt der Sender diese digitale Prüfsumme und fügt sie der Nachricht hinzu.

Wie erfolgt die Entschlüsselung von Nachrichten?

Um verschlüsselte und signierte Nachrichten wieder in Klartext zu verwandeln, sind mehrere Schritte zu durchlaufen. Zunächst erfolgt die Entschlüsselung des symmetrischen, für diese Session generierten Schlüssels mit dem privaten Schlüssel des Empfängers. Den symmetrischen Schlüssel nutzt der Empfänger anschließend zur Entschlüsselung der Nachricht. Ist dies geschehen, liegt die Nachricht in Klartext mit einer digitalen Signatur vor.

Im nächsten Schritt überprüft PGP die Signatur zur Sicherstellung der Integrität der Nachricht und der Authentizität des Absenders. Zu diesem Zweck erzeugt PGP beim Empfänger aus dem Klartext der Nachricht die digitale Prüfsumme mit dem gleichen kryptographischen Hashverfahren, wie es der Sender genutzt hat. Zusätzlich entschlüsselt PGP die Signatur des Absenders mit dessen öffentlichen Schlüssel. Die von der Nachricht ermittelte Prüfsumme wird mit der entschlüsselten Prüfsumme verglichen. Stimmen beide Zeichenfolgen überein, kann der Empfänger davon ausgehen, dass die Signatur tatsächlich vom benannten Empfänger stammt und keine Veränderung der ursprünglichen Nachricht stattgefunden hat.

Praktischer Einsatz von PGP:

PGP wird in der Regel mit E-Mail-Programmen (E-Mail-Clients) betrieben, z.B. Thunderbird (kostenlos) oder Outlook. Bestimmte E-Mail-Anbieter bieten auch PGP-Verschlüsselung per Webmailer an. Hierzu ist die Erweiterung Mailvelope zu installieren. Diese wird ist nur bei bestimmten Browsern (z.B. Firefox) anwendbar. Für weitergehende Infos und Einrichtung:

PGP Verschlüsselung mit Thunderbird

PGP-Verschlüsselung mit Outlook

PGP-Verschlüsselung mit Mailvelope

Nun kann der öffentliche Schlüssel des Empfängers heruntergeladen werden und in die Anwendung importiert werden.

Sehr wichtig:

Heruntergeladene Schlüssel können von Dritten stammen, die vortäuschen, das es sich hierbei um den Schlüssel des Kommunikationspartners handelt! Um sich letztendlich von der Echtheit des Schlüssels seines Kommunikationspartners zu überzeugen, ist es daher erforderlich, sich vom Gegenüber den Fingerprint seines Schlüssels über einen zweiten Kanal (z.B. per Telefon) geben zu lassen.
Der Fingerprint eines Schlüssels ist eine 40-stellige, einmalige Ziffernkombination. Diese kann für jeden Schlüssel in jeder Anwendung aufgerufen werden.
Stimmt dieser Fingerprint mit dem des heruntergeladenen Schlüssels überein, kann davon ausgegangen werden, das der Schlüssel des Gegenübers tatsächlich echt ist und dieser verwendet werden kann. Die Prüfung der Echtheit ist nur einmal je Schlüssel erforderlich. Je nach Anwendung kann dort danach der Schlüssel als echt bzw. vertrauenswürdig gekennzeichnet werden.