Pretty Good Privacy (PGP) ist ein Verschlüsselungssystem, das sowohl zum Senden verschlüsselter E-Mails als auch zum Verschlüsseln vertraulicher Dateien verwendet wird. Seit seiner Erfindung im Jahr 1991 hat sich PGP zum De-facto-Standard für E-Mail-Sicherheit entwickelt.
PGP ist vor allem aus zwei Gründen so beliebt: Erstens war das System ursprünglich als Freeware erhältlich und verbreitete sich daher schnell unter Benutzern, die eine zusätzliche Sicherheitsebene für ihre E-Mails wollten. Zweitens verwendet PGP sowohl symmetrische Verschlüsselung als auch Verschlüsselung mit einem öffentlichen Schlüssel. Daher können Benutzer, die sich noch nie begegnet sind, einander verschlüsselte Nachrichten verschicken, ohne private Schlüssel auszutauschen.
Wenn Sie Ihren E-Mail-Verkehr sicherer gestalten möchten, ist PGP eine relativ einfache und kostengünstige Möglichkeit. In diesem Leitfaden zeigen wir Ihnen, wie das geht.
PGP hat einige Funktionen mit anderen Verschlüsselungssystemen gemeinsam, von denen Sie vielleicht schon gehört haben. Das sind beispielsweise die Kerberos-Verschlüsselung (die zur Authentifizierung von Netzwerkbenutzern verwendet wird) und die SSL-Verschlüsselung (die zur Sicherung von Websites verwendet wird).
Grundsätzlich wird bei der PGP-Verschlüsselung eine Kombination aus zwei Verschlüsselungsformen verwendet: Symmetrische Verschlüsselung und Verschlüsselung mit einem öffentlichen Schlüssel.
Das folgende Diagramm kann die Funktionsweise von PGP gut veranschaulichen:
Der mathematische Unterbau dieser Verschlüsselungsmethoden ist relativ komplex (einen Einblick dazu erhalten Sie hier, wenn Sie möchten). Deshalb beschränken wir uns hier auf die grundlegenden Konzepte. Auf der höchsten Ebene funktioniert die PGP-Verschlüsselung folgendermaßen:
Diese Vorgehensweise mag erst einmal seltsam wirken. Warum sollten wir den Verschlüsselungscode selbst verschlüsseln?
Nun, die Antwort ist ziemlich einfach. Die Kryptographie mit öffentlichen Schlüsseln ist viel langsamer als die symmetrische Verschlüsselung (bei der Absender und Empfänger denselben Schlüssel verwenden). Die Verwendung der symmetrischen Verschlüsselung erfordert jedoch, dass der Absender dem Empfänger den Schlüssel im Klartext mitteilt, was wiederum unsicher wäre. Durch die Verschlüsselung des symmetrischen Schlüssels mit dem (asymmetrischen) öffentlichen Schlüsselsystem kombiniert PGP die Effizienz der symmetrischen Verschlüsselung mit der Sicherheit von öffentlichen Schlüsseln.
In der Praxis ist das Versenden einer mit PGP verschlüsselten Nachricht einfacher, als man nach der obigen Erklärung meinen könnte. Schauen wir uns zum Beispiel ProtonMail an.
ProtonMail unterstützt nativ PGP. Man muss lediglich auf „Mail signieren“ gehen, um seine E-Mails zu verschlüsseln. Dann wird ein Vorhängeschloss-Symbol in der Betreffzeile der E-Mails angezeigt. Die E-Mail sieht so aus (die E-Mail-Adressen wurden aus Datenschutzgründen verwischt):
ProtonMail blendet die komplexen Vorgänge der Ver- und Entschlüsselung der Nachricht aus (wie die meisten E-Mail-Clients mit PGP). Wenn Sie mit Benutzern außerhalb von ProtonMail kommunizieren, müssen Sie ihnen zuerst Ihren öffentlichen Schlüssel senden.
Obwohl die Nachricht sicher versendet wurde, muss sich der Empfänger keine Gedanken darüber machen, wie das erfolgt.
Es gibt im Wesentlichen drei Hauptverwendungszwecke für PGP:
Von diesen drei Anwendungsfällen ist der erste – sicherer E-Mail-Verkehr – bei weitem der häufigste. Aber lassen Sie uns kurz einen Blick auf alle drei werfen.
Wie im obigen Beispiel verwenden die meisten Menschen PGP, um verschlüsselte E-Mails zu versenden. In den Anfangsjahren von PGP wurde es hauptsächlich von Aktivisten, Journalisten und anderen Personen verwendet, die mit vertraulichen Informationen arbeiten. Das PGP-System wurde ursprünglich sogar von einem Friedens- und Politikaktivisten namens Phil Zimmermann entwickelt, der seit Kurzem bei Startpage arbeitet, einer der beliebtesten privaten Suchmaschinen.
Heutzutage hat die Popularität von PGP deutlich zugenommen. Da die Benutzer zunehmend erkennen, wie viele Daten Unternehmen und Regierungen über sie sammeln, nutzen immer mehr Menschen jetzt diesen Standard, um ihre privaten Informationen auch privat zu halten.
Ein ähnlicher Anwendungsfall von PGP ist die E-Mail-Verifizierung. Ist sich ein Journalist beispielsweise nicht sicher über die Identität einer Person, die ihm eine Nachricht schickt, kann er zusammen mit PGP auch eine digitale Signatur verwenden, um dies zu überprüfen.
Digitale Signaturen verwenden einen Algorithmus, der den Schlüssel des Absenders mit den gesendeten Daten kombiniert. So entsteht eine „Hash-Funktion“ – ein weiterer Algorithmus, der eine Nachricht in einen Datenblock mit fester Größe umwandeln kann. Dieser Hash wird dann mit dem privaten Schlüssel des Absenders verschlüsselt.
Der Empfänger der Nachricht kann diese Daten dann mit dem öffentlichen Schlüssel des Absenders entschlüsseln. Wenn auch nur ein Zeichen der Nachricht während der Übertragung verändert wurde, kann der Empfänger das sehen. Das kann beispielsweise darauf hindeuten, dass der Absender nicht die Person ist, für die er sich ausgibt, dass er versucht hat, eine digitale Signatur zu fälschen, oder dass die Nachricht manipuliert wurde.
Eine dritte Anwendung von PGP ist die Verschlüsselung von Dateien. Da der von PGP verwendete Algorithmus – in der Regel der RSA-Algorithmus – im Grunde „unknackbar“ ist, ist PGP eine extrem sichere Methode, um Dateien im Ruhezustand zu verschlüsseln. Insbesondere dann, wenn sie zusammen mit einer Lösung zur Bedrohungserkennung und -bekämpfung verwendet wird. Tatsächlich ist dieser Algorithmus so sicher, dass er sogar in fortschrittlicher Malware wie der CryptoLocker-Malware verwendet wird.
Im Jahr 2010 hat Symantec die PGP Corp. übernommen, der die Rechte am PGP-System gehörten. Seitdem hat sich Symantec mit Produkten wie Symantec Encryption Desktop und Symantec Encryption Desktop Storage zum führenden Anbieter von PGP-Dateiverschlüsselungssoftware entwickelt. Diese Software bietet PGP-Verschlüsselung für alle Ihre Dateien und blendet gleichzeitig die Komplexität der Ver- und Entschlüsselungsprozesse aus.
Ob Sie PGP-Verschlüsselung benötigen, hängt davon ab, wie sicher Ihre Kommunikation (oder Ihre Dateien) sein soll(en). Wie jede Datenschutz- oder Sicherheitssoftware erfordert auch PGP ein wenig mehr Arbeit beim Senden und Empfangen von Nachrichten, kann aber auch die Resilienz Ihres Systems im Angriffsfall erheblich verbessern.
Schauen wir uns das einmal genauer an.
Der größte Vorteil der PGP-Verschlüsselung ist, dass sie im Grunde unknackbar ist. Daher wird sie immer noch von Journalisten und Aktivisten verwendet und gilt allgemein als die beste Methode zur Verbesserung der Cloud-Sicherheit. Kurz gefasst: es kann im Grunde niemand – ob Hacker oder oder sogar die NSA – die PGP-Verschlüsselung knacken.
Obwohl es einige Nachrichtenmeldungen gab, die auf Sicherheitslücken in bestimmten Implementierungen von PGP hinwiesen, z. B. die Efail-Schwachstelle, muss man doch festhalten, dass PGP selbst immer noch sehr sicher ist.
Der größte Nachteil von PGP besteht darin, dass es nicht besonders benutzerfreundlich ist. Das ändert sich – dank der Standardlösungen, auf die wir gleich noch zu sprechen kommen werden. Dennoch kann die Verwendung von PGP zu einem erheblichen Mehraufwand an Arbeit und Zeit in Ihrem Tagesablauf führen. Darüber hinaus müssen die Benutzer des Systems wissen, wie es funktioniert, damit keine Sicherheitslücken durch unsachgemäße Verwendung entstehen. Daher müssen Unternehmen bei einer Umstellung auf PGP auch Schulungen anbieten.
Aus diesem Grund kommen für viele Unternehmen auch andere Alternativen in Frage. Es gibt beispielsweise verschlüsselte Messaging-Apps wie Signal, die benutzerfreundlichere Kryptographie bieten. Was die Speicherung von Daten betrifft, so kann die Anonymisierung eine gute Alternative zur Verschlüsselung sein und eine effizientere Ressourcennutzung ermöglichen.
Schließlich sollten Sie wissen, dass PGP Ihre Nachrichten zwar verschlüsselt, Sie aber nicht anonym macht. Im Gegensatz zu anonymen Browsern, die Proxy-Server oder einen VPN verwenden, um Ihren wahren Standort zu verbergen, können über PGP gesendete E-Mails zu einem Absender und Empfänger zurückverfolgt werden. Auch die Betreffzeilen sind nicht verschlüsselt, daher sollten Sie dort keine sensiblen Informationen angeben.
In den allermeisten Fällen müssen Sie für die Einrichtung der PGP-Verschlüsselung ein Add-on für Ihr E-Mail-Programm herunterladen und dann die Installationsanweisungen befolgen. Solche Add-ons gibt es für Thunderbird, Outlook und Apple Mail. Im Folgenden werden sie beschrieben. In den letzten Jahren sind auch eine Reihe von Online-E-Mail-Systemen entstanden, die standardmäßig PGP verwenden (am bekanntesten ist ProtonMail).
Für diejenigen, die ihre Dateien mit PGP verschlüsseln möchten, gibt es eine Reihe umfangreicher Softwarelösungen. Symantec bietet beispielsweise PGP-basierte Produkte wie Symantec File Share Encryption für die Verschlüsselung von Dateien, die über ein Netzwerk geteilt werden. Außerdem gibt es Symantec Endpoint Encryption für die vollständige Festplattenverschlüsselung auf Desktop-PCs, mobilen Geräten und Wechseldatenträgern.
Wenn Sie PGP-Verschlüsselung verwenden möchten, müssen Sie in der Regel eine Software herunterladen, die den Ver- und Entschlüsselungsprozess automatisiert. Dafür gibt es eine Reihe von Produkten. Sie sollten jedoch wissen, worauf Sie achten müssen.
Je nachdem, wozu Sie PGP verwenden und wie oft Sie es benutzen müssen, gibt es verschiedene Möglichkeiten zur Einrichtung. In diesem Abschnitt konzentrieren wir uns darauf, was die meisten Benutzer von PGP wollen: sichere E-Mails. Die verschlüsselte Datenspeicherung lassen wir hier außen vor, da das ein komplexeres Thema ist. Hier sind also fünf Lösungen für die Implementierung von PGP in Ihrem Heim- oder Geschäftsnetzwerk.
Gpg4o ist eine der beliebtesten PGP-Lösungen für Windows-Nutzer und ist auf die nahtlose Integration in Outlook 2010 – 2016 ausgelegt.
Die Standardimplementierung der PGP-Verschlüsselung für Mac-Benutzer ist GPGTools, eine Software-Suite zur Verschlüsselung aller Bereiche des Mac-Systems.
Wie bei den oben genannten Tools wurde auch Enigmail für die Integration in einen bestimmten E-Mail-Client entwickelt, in diesem Fall Thunderbird.
ProtonMail war einer der ersten Anbieter für sichere E-Mails und bleibt auch weiterhin einer der beliebtesten. Im Gegensatz zu den oben genannten Lösungen funktioniert ProtonMail über ein Web-Portal. Es lässt sich daher ganz einfach von Ihrem Alltagspostfach trennen.
Schließlich gibt es noch FairEmail, das die PGP-Verschlüsselung auf Android-Smartphones erweitert. Dabei handelt es sich um eine eigenständige E-Mail-Anwendung, die kostenlos genutzt werden kann.
Selbst nach dieser Erklärung haben Sie möglicherweise noch einige Fragen. Hier finden Sie die Antworten auf die am häufigsten gestellten Fragen zu PGP.
A: Ja. Obwohl PGP inzwischen mehr als 20 Jahre alt ist, wurden in der grundlegenden Implementierung des Systems keine Schwachstellen gefunden. Allerdings reicht die Verschlüsselung Ihrer E-Mails nicht aus, und Sie sollten PGP immer in Kombination mit einer vollständigen Cybersicherheitssuite mit Bedrohungserkennungssoftware verwenden.
A: PGP verwendet eine Kombination aus symmetrischer Kryptographie und Kryptographie mit öffentlichem Schlüssel. Damit können Benutzer sicher Nachrichten aneinander versenden.
A: Die „beste“ PGP-Software hängt von Ihren Anforderungen ab. Die meisten Menschen müssen nicht alle ihre E-Mails verschlüsseln, sodass für sie ein webbasierter PGP-E-Mail-Anbieter die beste Lösung ist. Wenn Sie jedoch häufig verschlüsselte E-Mails versenden müssen, wäre ein PGP-Add-on für Ihr Standard-E-Mail-Programm eine Überlegung wert.
A: Es kommt darauf an. Wenn Sie Kundeninformationen speichern, lautet die Antwort „Ja“. Die Verschlüsselung Ihrer persönlichen Dateien ist keine Notwendigkeit, kann aber Ihren Schutz vor Cyberangriffen erheblich verbessern. PGP-basierte Verschlüsselungssoftware ist in der Regel mit am einfachsten zu bedienen und ein guter Einstieg in die Verschlüsselung Ihrer Dateien.
PGP-Verschlüsselung kann als leistungsstarkes Tool für den Schutz Ihrer Daten, Ihrer Privatsphäre und Ihrer Sicherheit dienen. Sie bietet eine relativ einfache und vollständig sichere Methode zum Senden von E-Mails und ermöglicht es Ihnen auch, die Identität der Personen zu überprüfen, mit denen Sie kommunizieren. Da PGP-Zusatzprogramme auch für die meisten gängigen E-Mail-Programme verfügbar sind, ist diese Form der Verschlüsselung generell einfach zu implementieren.
Dennoch ist der sichere E-Mail-Verkehr nur ein Aspekt der Cybersicherheit. Sie sollten sicherstellen, dass Sie neben PGP auch eine robuste Datensicherheitsplattform und Software zur Datenverlustprävention verwenden. So viele Tools wie möglich zu nutzen ist der beste Schutz für Ihre Privatsphäre und Sicherheit.