Blogheim.at Logo
Samstag, 4 Dezember 2021

Was ist eigentlich PGP?

Möglicherweise haben Sie schon mal von „PGP“ gehört. Was ist PGP?

Die E-Mail-Kommunikation wird häufig mit der klassischen Briefpost verglichen. Ein oft nicht bedachter Makel bei E-Mail-Nachrichten ist das „fehlende Briefgeheimnis“. Die gesamte Kommunikation geschieht in der Regel völlig offen. Den Versand einer E-Mail kann man sich wie bei einer Postkarte vorstellen. Vom Postangestellten, der die Karte annimmt, über die Sortieranlage bis zum Briefträger kann jeder den Inhalt lesen oder sogar verändern. Bei der E-Mail betrifft es den Weg zwischen dem Computer und dem genutzten Mailserver des Providers.

Die Frage ist nun, ob und wie man sich wirkungsvoll vor dem Verlust der Privatsphäre schützen kann. Die Antwort hierauf lautet PGP (Pretty Good Privacy). PGP basiert auf einem asynchronen Verschlüsselungsverfahren. Der Versand und Empfang von PGP-verschlüsselten E-Mails funktioniert mit einem Schlüsselpaar, bestehend aus einem öffentlichen und einem privaten Schlüssel. Der öffentliche Schlüssel wird an alle weitergegeben, von denen man verschlüsselte Nachrichten empfangen möchte. Er wird zur Verschlüsselung der Nachricht verwendet und funktioniert auch nur in diese eine Richtung. Entschlüsseln kann man die E-Mails ausschließlich mit dem privaten Schlüssel. Selbstverständlich gibt man diesen nicht weiter.

Bild: Funktionsweise von PGP
Bild: Funktionsweise von PGP

Nehmen wir einmal an, Person A möchte Person B eine verschlüsselte Nachricht schicken. Dann müssen:

  • beide Personen den PGP-Standard benutzen
  • Person A muss den öffentlichen Schlüssel von Person B besitzen
  • Um Person A antworten zu können, benötigt Person B den öffentlichen Schüssel von Person A

Die öffentlichen Schlüssel auszutauschen ist kein Problem, über eine E-Mail ist das schnell erledigt. Wer seinen öffentlichen Schlüssel jedem Kommunikationspartner zur Verfügung stellen möchte, kann auf einen sogenannten Schlüsselserver zurückgreifen. Diese speichern eine Vielzahl öffentlicher Schlüssel und die zugehörigen Personendaten.

Damit die Echtheit eines öffentlichen Schlüssels verifiziert werden kann, verfügt jeder Schlüssel über einen einmaligen „Fingerabdruck“ in Form einer Prüfsumme.

Ein Fingerabdruck sieht wie folgt aus: EBFA E62A 1852 E10C EB58 A43A 450D 0B5C 081B 53FA

Dieser Fingerabdruck sollte am besten persönlich oder zumindest per Telefon mit dem Besitzer verglichen werden. Um auszuschließen, dass der Schlüssel durch einen anderen ersetzt wurde. Wichtig beim Abgleich dieser Daten ist, dass man sich absolut sicher ist, diese von der richtigen Person zu erhalten.

Die Verschlüsselung per PGP ist mittlerweile und vor allem dank E-Mailprogrammen wie Mozilla Thunderbird eine einfache Methode, um die Vertraulichkeit eigener Daten zu erhalten. Natürlich muss nicht jede Mail verschlüsselt werden, aber wenn E-Mails wichtige Geschäftsdaten enthalten, ist dies ein sinnvolles Vorgehen.

PGP-Verschlüsselungstools

Für Benutzer von Mozilla Thunderbird (https://www.thunderbird.net/de/) gibt es (wie bereits erwähnt) eine besonders komfortable Methode, PGP zu nutzen. Seit Version 78 integriert Thunderbird die Verschlüsselung mit OpenPGP direkt in das E-Mailprogramm. Die Bedienung ist so einfach wie möglich.

Bild: Verschlüsselung mit Mozilla Thunderbird
Bild: Verschlüsselung mit Mozilla Thunderbird

Wer Thunderbird nicht nutzt oder nicht nutzen möchte, findet mit dem kostenlosen Open-Source-Programm GnuPG (https://gnupg.org/) eine gute Alternative. GnuPG steht für die gängigsten Betriebssysteme (Linux, Mac OS X sowie Windows) zur Verfügung. Das Programm ist kommandozeilenbasiert. Daher muss man für die Verwendung von GnuPG einige Parameter kennen. Alternativ gibt es eine Reihe von grafischen Oberflächen, die diese Vorgänge enorm erleichtern, zum Beispiel GnuPG Shell, Cryptophane, Seahorse, KGPG und Kleopatra.

Für den Einsteiger wie auch für den fortgeschrittenen GnuPG Anwender empfiehlt sich die Installation des Gpg4Win-Installationspakets (https://www.gpg4win.de/ – für Windows). In Gpg4Win sind neben GnuPG alle im Rahmen des GnuPG-Projekts veröffentlichten Zusatzkomponenten eingebunden. Im Wesentlichen besteht Gpg4win aus GnuPG (das Verschlüsselungsprogramm) und Kleopatra (als Benutzeroberfläche). Hilfe bei der Installation und Benutzung bietet das sehr einsteigerfreundliche GPG4Win-Kompendium (155 Seiten): https://files.gpg4win.org/doc/gpg4win-compendium-de.pdf

Wichtige Sicherheitshinweise

  • Die PGP-Verschlüsselung ist nur so lange sicher, wie der private Schlüssel geheim bleibt.
  • Serverseitige Anwendungen (z. B. Virenschutz-Software wie ClamAV) können verschlüsselte E-Mails nicht auf Schadcode prüfen. Umso wichtiger ist es, den Computer mit einem Virenscanner abzusichern.

Generell sollte Sie keinem Absender blind vertrauen, auch nicht, wenn sie verschlüsselt miteinander kommunizieren. Es genügt bereits ein infizierter Rechner eines bekannten Kommunikationspartners, um z. B. Malware ohne weitere Hindernisse in Ihren Posteingang gelangen zu lassen. Erscheint der E-Mail-Inhalt dann noch stimmig, trennt Sie womöglich nur ein Klick vor einer Malware-Infektion.

Bei der Benutzung von E-Mails empfiehlt sich allgemein die Beachtung folgender Sicherheitsregeln:

  • Es sollten keine ausführbaren Programme ausgeführt werden, die man per E-Mail bekommen hat. Außer wenn der Absender vertrauenswürdig ist und dieser vorher (in einem persönlichen Gespräch) auf das ausführbare Programm hingewiesen hat. Die gleiche Vorsichtsmaßnahme gilt auch für Links, die Sie per E-Mail erhalten.
  • Wenn man ein Microsoft Office Dokument erhält, das Makros enthält, fragt das Office-Programm, ob die Makros ausgeführt werden sollen. Für die Ausführung gelten mindestens die gleichen Vorsichtsmaßnahmen wie für die Ausführung von Programmen im vorherigen Punkt.
  • Ausführbare Programme haben meist (aber nicht nur) die Endung exe oder vbs. Wenn man eine Dateiendung nicht kennt, sollte man so verfahren, als wenn es sich um ein ausführbares Programm handelt.

Autor: René Hifinger (IT-Sicherheitsexperte)


Passend zum Thema: Was ist…? Erklärungen zu unterschiedlichen Fachbegriffen im Internet


Unabhängige Faktenchecks und Recherchen sind wichtig und richtig. Sie fördern Medienkompetenz und Bildung. 

Ein unabhängiges und für jeden frei zugängliches Informationsmedium ist in Zeiten von Fakenews, aber auch Message Control besonders wichtig. Wir sind seit 2011 bestrebt, allen Internetnutzern stets hochwertige Faktenchecks zu bieten.  Dies soll es auch langfristig bleiben. Dafür brauchen wir jetzt Deine Unterstützung! Überhaupt jetzt, denn wir verzichten ab sofort auf lästige Werbebanner, denn wir wollen nicht länger Sklaven der Werbeindustrie sein und diesen Zustand möchten wir bewusst aufrechterhalten. Dafür gibt es einen guten Grund. Dieser Grund nennt sich: Unabhängigkeit.

Unterstützen


 

Exklusive Inhalte! Werde jetzt mimikamaPLUS- Abonnent und unterstütze so unser Handeln. Zusätzlich erhältst du exklusive Inhalte und die gesamte Webseite werbefrei.

Aktuelle Artikel

Hinweis: Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur Auseinandersetzung der Sache mit dem Thema.