Was ist eigentlich PGP?

Autor: Tom Wannenmacher

Artikelbild: Shutterstock / Von mstanley
Artikelbild: Shutterstock / Von mstanley

Möglicherweise haben Sie schon mal von „PGP“ gehört. Was ist PGP?

Die E-Mail-Kommunikation wird häufig mit der klassischen Briefpost verglichen. Ein oft nicht bedachter Makel bei E-Mail-Nachrichten ist das „fehlende Briefgeheimnis“. Die gesamte Kommunikation geschieht in der Regel völlig offen. Den Versand einer E-Mail kann man sich wie bei einer Postkarte vorstellen. Vom Postangestellten, der die Karte annimmt, über die Sortieranlage bis zum Briefträger kann jeder den Inhalt lesen oder sogar verändern. Bei der E-Mail betrifft es den Weg zwischen dem Computer und dem genutzten Mailserver des Providers.

Die Frage ist nun, ob und wie man sich wirkungsvoll vor dem Verlust der Privatsphäre schützen kann. Die Antwort hierauf lautet PGP (Pretty Good Privacy). PGP basiert auf einem asynchronen Verschlüsselungsverfahren. Der Versand und Empfang von PGP-verschlüsselten E-Mails funktioniert mit einem Schlüsselpaar, bestehend aus einem öffentlichen und einem privaten Schlüssel. Der öffentliche Schlüssel wird an alle weitergegeben, von denen man verschlüsselte Nachrichten empfangen möchte. Er wird zur Verschlüsselung der Nachricht verwendet und funktioniert auch nur in diese eine Richtung. Entschlüsseln kann man die E-Mails ausschließlich mit dem privaten Schlüssel. Selbstverständlich gibt man diesen nicht weiter.

Bild: Funktionsweise von PGP
Bild: Funktionsweise von PGP

Nehmen wir einmal an, Person A möchte Person B eine verschlüsselte Nachricht schicken. Dann müssen:

  • beide Personen den PGP-Standard benutzen
  • Person A muss den öffentlichen Schlüssel von Person B besitzen
  • Um Person A antworten zu können, benötigt Person B den öffentlichen Schüssel von Person A

Die öffentlichen Schlüssel auszutauschen ist kein Problem, über eine E-Mail ist das schnell erledigt. Wer seinen öffentlichen Schlüssel jedem Kommunikationspartner zur Verfügung stellen möchte, kann auf einen sogenannten Schlüsselserver zurückgreifen. Diese speichern eine Vielzahl öffentlicher Schlüssel und die zugehörigen Personendaten.

Damit die Echtheit eines öffentlichen Schlüssels verifiziert werden kann, verfügt jeder Schlüssel über einen einmaligen „Fingerabdruck“ in Form einer Prüfsumme.

Ein Fingerabdruck sieht wie folgt aus: EBFA E62A 1852 E10C EB58 A43A 450D 0B5C 081B 53FA

Dieser Fingerabdruck sollte am besten persönlich oder zumindest per Telefon mit dem Besitzer verglichen werden. Um auszuschließen, dass der Schlüssel durch einen anderen ersetzt wurde. Wichtig beim Abgleich dieser Daten ist, dass man sich absolut sicher ist, diese von der richtigen Person zu erhalten.

Die Verschlüsselung per PGP ist mittlerweile und vor allem dank E-Mailprogrammen wie Mozilla Thunderbird eine einfache Methode, um die Vertraulichkeit eigener Daten zu erhalten. Natürlich muss nicht jede Mail verschlüsselt werden, aber wenn E-Mails wichtige Geschäftsdaten enthalten, ist dies ein sinnvolles Vorgehen.

PGP-Verschlüsselungstools

Für Benutzer von Mozilla Thunderbird (https://www.thunderbird.net/de/) gibt es (wie bereits erwähnt) eine besonders komfortable Methode, PGP zu nutzen. Seit Version 78 integriert Thunderbird die Verschlüsselung mit OpenPGP direkt in das E-Mailprogramm. Die Bedienung ist so einfach wie möglich.

Bild: Verschlüsselung mit Mozilla Thunderbird
Bild: Verschlüsselung mit Mozilla Thunderbird

Wer Thunderbird nicht nutzt oder nicht nutzen möchte, findet mit dem kostenlosen Open-Source-Programm GnuPG (https://gnupg.org/) eine gute Alternative. GnuPG steht für die gängigsten Betriebssysteme (Linux, Mac OS X sowie Windows) zur Verfügung. Das Programm ist kommandozeilenbasiert. Daher muss man für die Verwendung von GnuPG einige Parameter kennen. Alternativ gibt es eine Reihe von grafischen Oberflächen, die diese Vorgänge enorm erleichtern, zum Beispiel GnuPG Shell, Cryptophane, Seahorse, KGPG und Kleopatra.

Für den Einsteiger wie auch für den fortgeschrittenen GnuPG Anwender empfiehlt sich die Installation des Gpg4Win-Installationspakets (https://www.gpg4win.de/ – für Windows). In Gpg4Win sind neben GnuPG alle im Rahmen des GnuPG-Projekts veröffentlichten Zusatzkomponenten eingebunden. Im Wesentlichen besteht Gpg4win aus GnuPG (das Verschlüsselungsprogramm) und Kleopatra (als Benutzeroberfläche). Hilfe bei der Installation und Benutzung bietet das sehr einsteigerfreundliche GPG4Win-Kompendium (155 Seiten): https://files.gpg4win.org/doc/gpg4win-compendium-de.pdf

Wichtige Sicherheitshinweise

  • Die PGP-Verschlüsselung ist nur so lange sicher, wie der private Schlüssel geheim bleibt.
  • Serverseitige Anwendungen (z. B. Virenschutz-Software wie ClamAV) können verschlüsselte E-Mails nicht auf Schadcode prüfen. Umso wichtiger ist es, den Computer mit einem Virenscanner abzusichern.

Generell sollte Sie keinem Absender blind vertrauen, auch nicht, wenn sie verschlüsselt miteinander kommunizieren. Es genügt bereits ein infizierter Rechner eines bekannten Kommunikationspartners, um z. B. Malware ohne weitere Hindernisse in Ihren Posteingang gelangen zu lassen. Erscheint der E-Mail-Inhalt dann noch stimmig, trennt Sie womöglich nur ein Klick vor einer Malware-Infektion.

Bei der Benutzung von E-Mails empfiehlt sich allgemein die Beachtung folgender Sicherheitsregeln:

  • Es sollten keine ausführbaren Programme ausgeführt werden, die man per E-Mail bekommen hat. Außer wenn der Absender vertrauenswürdig ist und dieser vorher (in einem persönlichen Gespräch) auf das ausführbare Programm hingewiesen hat. Die gleiche Vorsichtsmaßnahme gilt auch für Links, die Sie per E-Mail erhalten.
  • Wenn man ein Microsoft Office Dokument erhält, das Makros enthält, fragt das Office-Programm, ob die Makros ausgeführt werden sollen. Für die Ausführung gelten mindestens die gleichen Vorsichtsmaßnahmen wie für die Ausführung von Programmen im vorherigen Punkt.
  • Ausführbare Programme haben meist (aber nicht nur) die Endung exe oder vbs. Wenn man eine Dateiendung nicht kennt, sollte man so verfahren, als wenn es sich um ein ausführbares Programm handelt.

Autor: René Hifinger (IT-Sicherheitsexperte)


Passend zum Thema: Was ist…? Erklärungen zu unterschiedlichen Fachbegriffen im Internet

Unterstützen 🤍

FAKE NEWS BEKÄMPFEN

Unterstützen Sie Mimikama, um gemeinsam gegen Fake News vorzugehen und die Demokratie zu stärken. Helfen Sie mit, Fake News zu stoppen!

Mit Deiner Unterstützung via PayPal, Banküberweisung, Steady oder Patreon ermöglichst Du es uns, Falschmeldungen zu entlarven und klare Fakten zu präsentieren. Jeder Beitrag, groß oder klein, macht einen Unterschied. Vielen Dank für Deine Hilfe! ❤️

Mimikama-Webshop

Unser Ziel bei Mimikama ist einfach: Wir kämpfen mit Humor und Scharfsinn gegen Desinformation und Verschwörungstheorien.

Abonniere unseren WhatsApp-Kanal per Link- oder QR-Scan! Aktiviere die kleine 🔔 und erhalte eine aktuelle News-Übersicht sowie spannende Faktenchecks.

Link: Mimikamas WhatsApp-Kanal

Mimikama WhatsApp-Kanal

Hinweise: 1) Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell
war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur
Auseinandersetzung der Sache mit dem Thema.


2) Einzelne Beiträge (keine Faktenchecks) entstanden durch den Einsatz von maschineller Hilfe und
wurde vor der Publikation gewissenhaft von der Mimikama-Redaktion kontrolliert. (Begründung)


Mit deiner Hilfe unterstützt du eine der wichtigsten unabhängigen Informationsquellen zum Thema Fake News und Verbraucherschutz im deutschsprachigen Raum

INSERT_STEADY_CHECKOUT_HERE

Kämpfe mit uns für ein echtes, faktenbasiertes Internet! Besorgt über Falschmeldungen? Unterstütze Mimikama und hilf uns, Qualität und Vertrauen im digitalen Raum zu fördern. Dein Beitrag, egal in welcher Höhe, hilft uns, weiterhin für eine wahrheitsgetreue Online-Welt zu arbeiten. Unterstütze jetzt und mach einen echten Unterschied! Werde auch Du ein jetzt ein Botschafter von Mimikama

Mehr von Mimikama

Mimikama Workshops & Vorträge: Stark gegen Fake News!

Mit unseren Workshops erleben Sie ein Feuerwerk an Impulsen mit echtem Mehrwert in Medienkompetenz, lernen Fake News und deren Manipulation zu erkennen, schützen sich vor Falschmeldungen und deren Auswirkungen und fördern dabei einen informierten, kritischen und transparenten Umgang mit Informationen.