PGP - Prof. Dr. Norbert Pohlmann
PGP | |
 | Inhaltsverzeichnis Was ist Pretty Good Privacy – PGP?
Heute ist Pretty Good Privacy (PGP) eine E-Mail-Sicherheitslösung, die sich für Privatpersonen sowie kleine und mittlere Unternehmen (KMU) für die IT-Sicherheit von E-Mails etabliert hat. Die E-Mails werden in der Regel zwischen zwei Personen verschlüsselt und/oder signiert übertragen und sind dadurch während der Übertragung (falls verschlüsselt) im Internet sowie auf den E-Mail-Gateways der E-Mail-Dienste vor Einsicht Dritter geschützt. PGP und die alternative S/MIME sind E-Mail-Sicherheitslösungen, die zueinander nicht kompatibel sind, obwohl beide Verfahren nach einem ähnlichen Prinzip arbeiten und sogar dieselben kryptografischen Algorithmen verwenden. Das heißt, Nutzer können keine verschlüsselten oder signierten E-Mails untereinander austauschen, wenn nicht dasselbe Verfahren genutzt wird. Generelle Cyber-Sicherheitsherausforderungen des E-Mail-Dienstes, die bei der Nutzung grundsätzlich betrachtet werden müssen: E-Mail-Sicherheitsherausforderungen Im Folgenden wird das verwendete Nachrichtenformat, Vertrauensmodell, Schlüsselformat und der Schlüsselverwaltung von PGP beschrieben. Nachrichtenformat: Pretty Good Privacy (PGP)PGP benötigt in der Regel zusätzliche Erweiterungen und Software, um seine kryptografischen Funktionen erfüllen zu können. Die Gründe dafür sind historisch bedingt, da PGP aus einem privaten Projekt entstand. Es gibt verschiedene, teilweise inkompatible Versionen von PGP. Darunter ist OpenPGP (welches auf PGP 5.x aufbaut) heute internationaler Internet-Standard. Als Nachrichtenformat für signierte oder verschlüsselte E-Mails sollte das PGP/MIME-Format nach RFC 3156 verwendet werden. Vertrauensmodelle der E-Mail-Sicherheitslösungen PGPBei jedem Public Key-Verfahren stellt das Cyber-Sicherheitsbedürfnis „Gewährleistung der Authentizität“ für den öffentlichen Schlüssel eine besondere Aufgabe dar. Die Vertrauensstruktur ist bei beiden E-Mail-Sicherheitslösungen PGP und S/MIME sehr unterschiedlich. Um die Authentizität eines öffentlichen Schlüssels der Nutzer zu gewährleisten, gibt es verschiedene Vertrauensmodelle für unterschiedliche Public Key-Lösungen. PGP setzt auf eine dezentrale Vertrauensstruktur, das sogenannte „Web of Trust“, ein Netzwerk des Vertrauens, das die Zugehörigkeit eines öffentlichen Schlüssels zu einem Nutzer bestätigen soll. Es gibt keine zentrale administrative Instanz, die einem öffentlichen Schlüssel der Nutzer das Vertrauen ausspricht. Jeder Nutzer kann einen öffentlichen Schlüssel, einschließlich seiner eigenen Schlüssel, signieren und somit zur Vertrauenswürdigkeit der Authentizität der öffentlichen Schlüssel beitragen. Je mehr Schlüsselinhaber die Authentizität eines öffentlichen Schlüssels eines anderen Nutzers bestätigen, desto mehr Vertrauen wird gegenüber diesem öffentlichen Schlüssel im Web of Trust generiert. 
Jeder Nutzer kann seinen öffentlichen Schlüssel auf einem Schlüsselserver hinterlegen, der den öffentlichen Schlüssel auf andere verbundene Schlüsselserver synchronisiert. So kann ein Nutzer an vertrauenswürdige öffentliche Schlüssel von anderen Nutzern gelangen. Schlüsselerstellung und SchlüsselformatBei PGP kann jeder ein gültiges Schlüsselpaar eines asymmetrischen Verfahrens wie dem RSA-Verfahren erstellen und auch für Verschlüsselung und Signierung von E-Mails nutzen. Das Schlüsselformat erlaubt es für den Schlüsselinhaber, einen primären öffentlichen Schlüssel und mehrere sekundäre öffentliche Schlüssel auf derselben digitalen Identität zu verwalten, ähnlich wie bei einem Schlüsselbund. Der primäre öffentliche Schlüssel kann mehr als eine Nutzer-ID mit jeweils mehreren digitalen Signaturen beinhalten. Jeder einzelne dieser öffentlichen Schlüssel kann auch bei Bedarf widerrufen werden. Widerrufen eines SchlüsselsBei PGP wird der widerrufene Schlüssel ebenfalls auf den Schlüsselservern, auf dem auch die aktiven Schlüssel liegen, gespeichert. Bei einem Widerruf wird der Schlüssel um eine spezielle Signatur erweitert, an der der Widerruf des Schlüssels erkannt werden kann. Wird ein Schlüssel auf Gültigkeit überprüft, kann festgestellt werden, ob dieser widerrufen wurde oder noch gültig ist. Für eine Überprüfung wird eine Internet-Verbindung benötigt. Bei PGP kann nur der Schlüsselinhaber einen Widerruf für einen seiner öffentlichen Schlüssel durchführen. Zusammenfassung PGPPGP nutzt das „Web of Trust“ als dezentrales Vertrauensmodell. Jeder Schlüsselinhaber kann Schlüssel signieren und so dazu beitragen, die Authentizität eines Schlüssels zu gewährleisten. Das Vertrauensmodell kommt auch bei der Schlüsselerstellung und -verwaltung ohne die Abhängigkeit gegenüber einer zentralen Verwaltungsinstanz aus. In der Praxis nutzen Privatpersonen und KMU mehr PGP und große Unternehmen mehr S/MIME. Weitere Informationen zum Begriff “PGP”:„Ein Quantum Bit. Quantencomputer und ihre Auswirkungen auf die Sicherheit von morgen“ „Selbstverteidigung – Verschlüsselung als Mittel gegen die Überwachung“ „Wiederaufbau – Verschlüsselung als Mittel gegen die Überwachung“ „Sichere und qualitativ hochwertige Voice over IP Anwendung“ „Strafverfolgung darf die IT-Sicherheit im Internet nicht schwächen“ „Übungsaufgaben und Ergebnisse zum Lehrbuch Cyber-Sicherheit“ „Bücher im Bereich Cyber-Sicherheit und IT-Sicherheit zum kostenlosen Download“
„Sicherheit mit digitaler Selbstbestimmung – Self-Sovereign Identity (SSI)“ „Security: Kann es Sicherheit im Netz geben?“ „Blockchain-Technologie als Tool für Industrial Security“
„Master-Studiengang Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)“ Zurück zur Übersicht Summary Article Name PGP Description Pretty Good Privacy (PGP) ist eine E-Mail-Sicherheitslösung, die sich für Privatpersonen und KMU für die IT-Sicherheit von E-Mails etabliert hat. PGP setzt auf dem Vertrauensmodell „Web of Trust“, das die Zugehörigkeit des öffentlichen Schlüssels und Nutzer bestätigt. Author Prof. Norbert Pohlmann Publisher Name Institut für Internet-Sicherheit – if(is) Publisher Logo  |
| |