Prof. Dr. Norbert Pohlmann Home Logo Mobile
Logo-Glossar
slider

PGP - Prof. Dr. Norbert Pohlmann

PGP

PGP - Pretty Good Privacy

Was ist Pretty Good Privacy – PGP?


Pretty Good Privacy (PGP) ist ein von Phil Zimmermann entwickeltes Programm zur Verschlüsselung und zum Unterschreiben von Daten, in der Regel E-Mails. Dies geschieht mithilfe asymmetrischer Verschlüsselungsverfahren .

Heute ist Pretty Good Privacy (PGP) eine E-Mail-Sicherheitslösung, die sich für Privatpersonen sowie kleine und mittlere Unternehmen (KMU) für die IT-Sicherheit von E-Mails etabliert hat.

Die E-Mails werden in der Regel zwischen zwei Personen verschlüsselt und/oder signiert übertragen und sind dadurch während der Übertragung (falls verschlüsselt) im Internet sowie auf den E-Mail-Gateways der E-Mail-Dienste vor Einsicht Dritter geschützt.

PGP und die alternative S/MIME sind E-Mail-Sicherheitslösungen, die zueinander nicht kompatibel sind, obwohl beide Verfahren nach einem ähnlichen Prinzip arbeiten und sogar dieselben kryptografischen Algorithmen verwenden. Das heißt, Nutzer können keine verschlüsselten oder signierten E-Mails untereinander austauschen, wenn nicht dasselbe Verfahren genutzt wird.
Für den prinzipiellen Ablauf der Sicherheitsfunktionen siehe auch: E-Mail Sicherheit

Generelle Cyber-Sicherheitsherausforderungen des E-Mail-Dienstes, die bei der Nutzung grundsätzlich betrachtet werden müssen: E-Mail-Sicherheitsherausforderungen

Im Folgenden wird das verwendete Nachrichtenformat, Vertrauensmodell, Schlüsselformat und der Schlüsselverwaltung von PGP beschrieben.

Nachrichtenformat: Pretty Good Privacy (PGP)

PGP benötigt in der Regel zusätzliche Erweiterungen und Software, um seine kryptografischen Funktionen erfüllen zu können. Die Gründe dafür sind historisch bedingt, da PGP aus einem privaten Projekt entstand. Es gibt verschiedene, teilweise inkompatible Versionen von PGP. Darunter ist OpenPGP (welches auf PGP 5.x aufbaut) heute internationaler Internet-Standard. Als Nachrichtenformat für signierte oder verschlüsselte E-Mails sollte das PGP/MIME-Format nach RFC 3156 verwendet werden.

Vertrauensmodelle der E-Mail-Sicherheitslösungen PGP

Bei jedem Public Key-Verfahren stellt das Cyber-Sicherheitsbedürfnis „Gewährleistung der Authentizität“ für den öffentlichen Schlüssel eine besondere Aufgabe dar. Die Vertrauensstruktur ist bei beiden E-Mail-Sicherheitslösungen PGP und S/MIME sehr unterschiedlich. Um die Authentizität eines öffentlichen Schlüssels der Nutzer zu gewährleisten, gibt es verschiedene Vertrauensmodelle für unterschiedliche Public Key-Lösungen.

PGP setzt auf eine dezentrale Vertrauensstruktur, das sogenannte „Web of Trust “, ein Netzwerk des Vertrauens, das die Zugehörigkeit eines öffentlichen Schlüssels zu einem Nutzer bestätigen soll. Es gibt keine zentrale administrative Instanz, die einem öffentlichen Schlüssel der Nutzer das Vertrauen ausspricht. Jeder Nutzer kann einen öffentlichen Schlüssel, einschließlich seiner eigenen Schlüssel, signieren und somit zur Vertrauenswürdigkeit der Authentizität der öffentlichen Schlüssel beitragen. Je mehr Schlüsselinhaber die Authentizität eines öffentlichen Schlüssels eines anderen Nutzers bestätigen, desto mehr Vertrauen wird gegenüber diesem öffentlichen Schlüssel im Web of Trust generiert.

PGP - Vertrauensmodell
Abbildung: Vertrauensmodell PGP © Copyright-Vermerk


Eine Veranstaltung, auf der sich Nutzer von PGP treffen, um ihre öffentlichen Schlüssel gegenseitig digital zu unterschreiben, wird Keysigning-Party genannt.

Jeder Nutzer kann seinen öffentlichen Schlüssel auf einem Schlüsselserver hinterlegen, der den öffentlichen Schlüssel auf andere verbundene Schlüsselserver synchronisiert. So kann ein Nutzer an vertrauenswürdige öffentliche Schlüssel von anderen Nutzern gelangen.

Schlüsselerstellung und Schlüsselformat

Bei PGP kann jeder ein gültiges Schlüsselpaar eines asymmetrischen Verfahrens wie dem RSA-Verfahren erstellen und auch für Verschlüsselung und Signierung von E-Mails nutzen. Das Schlüsselformat erlaubt es für den Schlüsselinhaber, einen primären öffentlichen Schlüssel und mehrere sekundäre öffentliche Schlüssel auf derselben digitalen Identität zu verwalten, ähnlich wie bei einem Schlüsselbund. Der primäre öffentliche Schlüssel kann mehr als eine Nutzer-ID mit jeweils mehreren digitalen Signaturen beinhalten. Jeder einzelne dieser öffentlichen Schlüssel kann auch bei Bedarf widerrufen werden.

Widerrufen eines Schlüssels

Bei PGP wird der widerrufene Schlüssel ebenfalls auf den Schlüsselservern, auf dem auch die aktiven Schlüssel liegen, gespeichert. Bei einem Widerruf wird der Schlüssel um eine spezielle Signatur erweitert, an der der Widerruf des Schlüssels erkannt werden kann. Wird ein Schlüssel auf Gültigkeit überprüft, kann festgestellt werden, ob dieser widerrufen wurde oder noch gültig ist. Für eine Überprüfung wird eine Internet-Verbindung benötigt. Bei PGP kann nur der Schlüsselinhaber einen Widerruf für einen seiner öffentlichen Schlüssel durchführen.

Zusammenfassung PGP

PGP nutzt das „Web of Trust“ als dezentrales Vertrauensmodell. Jeder Schlüsselinhaber kann Schlüssel signieren und so dazu beitragen, die Authentizität eines Schlüssels zu gewährleisten. Das Vertrauensmodell kommt auch bei der Schlüsselerstellung und -verwaltung ohne die Abhängigkeit gegenüber einer zentralen Verwaltungsinstanz aus.

In der Praxis nutzen Privatpersonen und KMU mehr PGP und große Unternehmen mehr S/MIME.

PGP - Pretty Good Privacy
Abbildung: PGP © Copyright-Vermerk



Weitere Informationen zum Begriff “PGP”:


Artikel


Die virtuelle Poststelle

Ein Quantum Bit. Quantencomputer und ihre Auswirkungen auf die Sicherheit von morgen

Selbstverteidigung – Verschlüsselung als Mittel gegen die Überwachung

Wiederaufbau – Verschlüsselung als Mittel gegen die Überwachung

Sichere und qualitativ hochwertige Voice over IP Anwendung

Strafverfolgung darf die IT-Sicherheit im Internet nicht schwächen


Bücher


Lehrbuch Cyber-Sicherheit

Übungsaufgaben und Ergebnisse zum Lehrbuch Cyber-Sicherheit

Bücher im Bereich Cyber-Sicherheit und IT-Sicherheit zum kostenlosen Download


Vorlesungen


Vorlesungen zum Lehrbuch Cyber-Sicherheit


Vorträge


Cybersecurity – Sicherheit im digitalen Krankenhaus

Sicherheit mit digitaler Selbstbestimmung – Self-Sovereign Identity (SSI)

Security: Kann es Sicherheit im Netz geben?

Blockchain-Technologie als Tool für Industrial Security


Webseiten


Forschungsinstitut für Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)

Master-Studiengang Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)

Marktplatz IT-Sicherheit

Marktplatz IT-Sicherheit: IT-Notfall

Marktplatz IT-Sicherheit: IT-Sicherheitstools

Marktplatz IT-Sicherheit: Selbstlernangebot

Vertrauenswürdigkeits-Plattform


Zurück zur Übersicht




Summary
PGP
Article Name
PGP
Description
Pretty Good Privacy (PGP) ist eine E-Mail-Sicherheitslösung, die sich für Privatpersonen und KMU für die IT-Sicherheit von E-Mails etabliert hat. PGP setzt auf dem Vertrauensmodell „Web of Trust“, das die Zugehörigkeit des öffentlichen Schlüssels und Nutzer bestätigt.
Author
Publisher Name
Institut für Internet-Sicherheit – if(is)
Publisher Logo
PGP - Pretty Good Privacy
PGP Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten