OpenPGP ist eines der Standardprotokolle für die Verschlüsselung/Signierung von Daten. Es ist der am weitesten verbreitete E-Mail-Verschlüsselungsstandard – und auch einer der Wege, über die Mailfence für seine Nutzer*innen weltweit Sicherheit und Datenschutz bietet.
Mailfence - Erhalten Sie Ihre kostenlose, sichere E-Mail.
4.1 basierend auf 177 Benutzerbewertungen
Mailfence - Erhalten Sie Ihre kostenlose, sichere E-Mail.
4.1 basierend auf 177 Benutzerbewertungen
OpenPGP und Datenschutzbedenken
Wenn Sie Menschen heute fragen, ob sie in Bezug auf die Verwendung ihrer Daten durch die Regierung oder Unternehmen besorgt sind, würden die meisten dem zustimmen. Laut einer Studie der Agentur der Europäischen Union für Grundrechte (2020) befürchtet mehr als die Hälfte der Internetnutzenden, dass Kriminelle die Informationen, die sie online teilen, verwenden könnten.
Gleichzeitig sind auf der anderen Seite des großen Teichs die Amerikaner*innen ebenfalls besorgt. Doch laut einer Studie von Pew Research (2019) glauben sie, dass es unmöglich ist, durch das Leben zu gehen, ohne dass ihre Daten von Unternehmen (62 %) oder der Regierung (63 %) gesammelt werden.
Die Sache ist die: Sie haben recht, wenn Sie sich an der Datenerfassung stören. Und Sie haben Kontrolle über Ihre Privatsphäre – und was Ihnen dabei helfen kann, ist OpenPGP.
Was ist OpenPGP und wie funktioniert es?
Verschlüsselung, Kryptografie, digitale Signaturen, private und öffentliche Schlüssel … Das alles sind Ideen und Werkzeuge, von denen der*die Durchschnittsbürger*in wahrscheinlich schon gehört hat, die er*sie aber nicht wirklich versteht. Und was Menschen nicht verstehen … macht ihnen normalerweise Angst.
Deshalb glauben wir, dass es ungemein nützlich wäre, über eines dieser Tools zu sprechen, nämlich OpenPGP – und darüber, wie es funktioniert und Ihnen helfen kann, die Privatsphäre Ihrer elektronischen Kommunikation zu wahren.
Zur Sache bitte: Was ist OpenPGP?
PGP steht für Pretty Good Privacy und ist ein Verschlüsselungssystem für den Versand verschlüsselter E-Mails und Dateien. Es wurde 1991 entwickelt und veröffentlicht, um Dateien auf Bulletin-Board-Systemen zu schützen (das waren Server, über die Nutzer*innen in Kontakt kommen und sich austauschen konnten, bevor es das Internet gab).
Ursprünglich war PGP für alle frei zugänglich, aber nachdem Symantec es gekauft hatte, wurde es zu einer proprietären Lösung.
Aus diesem Grund reichte Phil Zimmermann, der ursprüngliche Entwickler des PGP-Standards, 1997 einen Open-Source-Vorschlag bei der Internet Engineering Task Force (IETF) ein – und so wurde OpenPGP geboren.
OpenPGP ist ein Verschlüsselungsstandard, der sowohl symmetrische als auch asymmetrische kryptografische Algorithmen verwendet. Damit nutzt OpenPGP das Beste von beidem: die Effizienz der symmetrischen Verschlüsselung und die Sicherheit der asymmetrischen.
Wie funktioniert es?
Pretty Good Privacy ist in Wirklichkeit gar nicht so kompliziert. Schauen wir uns einmal ein Beispiel an:
- Tina (Absenderin) möchte ihrem Freund André (Empfänger) eine E-Mail schicken, möchte diese aber vertraulich halten.
- Nun muss André (der Empfänger) einen öffentlichen und einen privaten Schlüssel generieren.
Lesen Sie hier, wie Sie mit Mailfence Ihren persönlichen Schlüssel erstellen. - Als Nächstes sendet André seinen öffentlichen Schlüssel an Tina.
- Mit dem öffentlichen Schlüssel, den sie gerade erhalten hat, kann Tina ihre E-Mail verschlüsseln.
- Jetzt kann sie die verschlüsselte E-Mail an André senden.
- Um die Nachricht zu lesen, muss André sie schließlich mit seinem privaten Schlüssel entschlüsseln. Alle anderen, die die E-Mail möglicherweise abfangen könnten, wären nicht in der Lage, sie zu lesen, da sie für sie unverständlich wäre.
Was ist der Unterschied zwischen PGP, OpenPGP und GnuPG?
Wir haben bereits angeschnitten, dass OpenPGP 1997 vom Erfinder von PGP, Phil Zimmermann, als Vorschlag bei der IETF eingereicht wurde, um Patentprobleme zu vermeiden.
Es gibt noch einen dritten Akteur in dieser Geschichte, und zwar GnuPG oder Gnu Privacy Guard (GPG).
Gnu Privacy Guard wurde im Jahr 1999, zwei Jahre nach OpenPGP, entwickelt und basiert auf dem OpenPGP-Standard, den Zimmermann bei der IETF eingereicht hat. Es ist eine kostenlose Alternative zu PGP, die Sie herunterladen, verändern, weitergeben und zum Verschlüsseln/Entschlüsseln von PGP- und OpenPGP-Dateien verwenden können.
Kurze Zusammenfassung: Das ursprüngliche PGP wurde 1991 entwickelt und später von Symantec gekauft. 1997 wurde OpenPGP als freie Alternative eingereicht und von der IETF genehmigt, und 1999 wurde GPG, das auf dem OpenPGP-Standard basiert, veröffentlicht.
Wofür wird PGP/OpenPGP verwendet?
Was können Sie also mit PGP oder OpenPGP tatsächlich tun?
Sie können …
- E-Mails (oder Dateien) verschlüsseln und entschlüsseln
- E-Mails (oder Dateien) signieren/verifizieren
- Aktionen signieren/verifizieren
Das obige Beispiel unter „Wie funktioniert es?” erklärt bereits, wie OpenPGP verwendet wird, um eine E-Mail zwischen zwei Parteien, die ihre Korrespondenz privat halten wollen, zu verschlüsseln.
OpenPGP kann auch verwendet werden, um die Identität der Person zu überprüfen, die die E-Mail gesendet hat. Oder kurz gesagt: eine Verifizierung der E-Mail-Signatur durchführen.
Dies geschieht mithilfe der digitalen OpenPGP-Signatur. Diese ist im Wesentlichen ein Hash der mit dem privaten OpenPGP-Schlüssel des*der Absender*in verschlüsselten E-Mail. Diese digitale E-Mail-Signatur wird dann mit der eigentlichen E-Mail mitgesendet.
Sobald der*die Empfänger*in die E-Mail erhält, kann er*sie die digitale Signatur mit dem öffentlichen Schlüssel des*der Absender*in entschlüsseln. So erkennt er*sie, wenn auch nur ein einziges Zeichen verändert wurde. Das würde dann darauf hindeuten, dass entweder die Nachricht während der Übertragung manipuliert wurde oder die digitale Signatur gefälscht ist – und damit der*die Absender*in nicht die Person ist, die er*sie vorgibt zu sein.
Und schließlich kann OpenPGP nicht nur zum Verschlüsseln und Signieren von E-Mails oder anderen Dateien verwendet werden, sondern auch zum Signieren von Aktionen, zum Beispiel zum Aufbau von Vertrauen in die Identität, zur Revision eines Github/Gitlab-Repositorys oder zur Veröffentlichung eines Debian-Upstream-Pakets.
Pro & Kontra
OpenPGP hat definitiv seine Vorteile, aber es ist nicht perfekt. Werfen wir als Nächstes einen Blick auf die Vor- und Nachteile der OpenPGP-Verschlüsselung:
Vorteile
- Sie können es kostenlos verwenden, herunterladen und anpassen.
Im Gegensatz zu PGP, das inzwischen Symantec gehört, kann OpenPGP von allen völlig frei verwendet werden. - Es ist praktisch unknackbar und äußerst sicher.
Die Schlüssel für die OpenPGP-Verschlüsselung haben in der Regel eine Länge von bis zu 4.096 Bit (asymmetrische Verschlüsselung) und 256 Bit (symmetrische Verschlüsselung). Dies wird derzeit von verschiedenen Standardisierungsgremien wie NIST als sicher angesehen. - Es verbessert die Cloud-Sicherheit.
OpenPGP kann sehr nützlich sein, um Dateien im Ruhezustand (auf Servern) zu verschlüsseln und zusätzliche Sicherheit in der Cloud zu gewährleisten, falls bei einer Datenpanne Zugangsdaten bekannt werden.
Nachteile
- Es ist nicht anonym.
OpenPGP ist ein Werkzeug für Datenschutz und Sicherheit, nicht für Anonymität.
Beim Datenschutz geht es darum, dass andere nicht wissen, was Sie online tun. Das Ziel der Anonymität ist, dass Ihre Identität unbekannt bleibt. Das bedeutet, dass sowohl die Identität der sendenden Person (Absender*in) als auch der empfangenden Person (Empfänger*in) zu ihnen zurückverfolgt werden kann. Es sei denn, sie verwenden einen E-Mail-Alias, ein VPN oder einen Proxyserver. - Es kann abschreckend sein.
Auch wenn Sie sich nach einer kurzen Zeit daran gewöhnt haben, kann die Einrichtung und Verwendung von PGP für Erstanwender*innen ziemlich kompliziert sein. Dies gilt insbesondere für die Erstellung und Verwaltung von Schlüsselpaaren. Daher meiden viele Menschen PGP und hoffen einfach auf das Beste.
Mailfence hat es geschafft, die Nutzung für alle viel einfacher zu gestalten:- Generieren oder importieren Sie einen privaten und einen öffentlichen Schlüssel.
- Teilen Sie den öffentlichen Schlüssel per E-Mail oder lesen Sie diesen Artikel, um den öffentlichen Schlüssel in drei einfachen Schritten zu teilen.
- Finden und importieren Sie öffentliche Schlüssel von Empfänger*innen nach den neuesten Standards.
- Senden Sie signierte und/oder verschlüsselte E-Mails.
- Sowohl der*die Absender*in als auch der*die Empfänger*in müssen die Software haben.
OpenPGP wird nicht funktionieren, wenn nur eine Seite es installiert hat. Sowohl der*die Absender*in als auch der*die Empfänger*in müssen ein OpenPGP-kompatibles Programm haben, um es erfolgreich nutzen zu können. Auch für diesen Fall hat Mailfence eine Lösung gefunden: die reine Verwendung einer symmetrischen Verschlüsselung, wenn eine Partei OpenPGP nicht unterstützt.
Brauche ich OpenPGP?
Bei der Antwort auf diese Frage sollte nicht an erster Stelle stehen, wie kompliziert die Nutzung ist oder wie viel sie kostet. Vielmehr sollte sie von der Notwendigkeit abhängen, Ihre Dateien oder beim E-Mail-Versand Ihre sensiblen Daten zu schützen. Auch wenn einige Medien behaupten, OpenPGP sei tot, so ist dies weit von der Wahrheit entfernt. Immer mehr Menschen erkennen, dass das Internet nicht sicher ist und sie ihre Daten schützen müssen.
Mailfence nutzt die OpenPGP-Verschlüsselung, um Ihre E-Mails zu schützen – und zwar ohne großen Aufwand für Sie. Jedes Konto verfügt über einen integrierten OpenPGP Key Store, damit Sie die volle Kontrolle über Ihre Schlüssel haben!
Weiterhin bietet Mailfence eine private und sichere E-Mail-Suite, die einen Kalender mit Abstimmungstool zur Terminfindung und die Verwaltung von Gruppen, einen Chat-Service und ein Tool zur Speicherung und Verwaltung von Dokumenten umfasst, die alle durch Ende-zu-Ende-Verschlüsselung, digitale Signaturen und 2FA abgesichert sind.
