Was ist OpenPGP?

OpenPGP ist eines der Standardprotokolle für die Verschlüsselung und Signierung von Daten. Als solches ist es nicht nur der am weitesten verbreitete E-Mail-Verschlüsselungsstandard, sondern auch eines der Verfahren, mit denen Mailfence seinen Nutzer*innen auf der ganzen Welt Sicherheit und Privatsphäre beschert.

OpenPGP und Bedenken zum Datenschutz

Fragt man die Menschen heute, ob sie sich wegen der Verwendung ihrer Daten durch die Regierung oder Unternehmen Gedanken machen, würden die meisten dies bejahen. Laut einer Studie der Agentur der Europäischen Union für Grundrechte aus dem Jahr 2020 befürchtet mehr als die Hälfte der Internet-Nutzer*innen, dass Kriminelle die Informationen, die sie online teilen, nutzen könnten.

Auch die Amerikaner auf der anderen Seite des großen Ozeans sind besorgt und halten es laut einer Studie von Pew Research (2019) dennoch für unmöglich, durch das Leben zu gehen, ohne dass ihre Daten von Unternehmen (62 %) oder der Regierung (63 %) gesammelt werden.

Die Sache ist die: Es ist richtig, dass Sie sich an der Sammlung Ihrer Daten stören. Sie haben die Kontrolle über Ihre Privatsphäre, und eine Sache, die Ihnen dabei helfen kann, ist OpenPGP.

Was ist OpenPGP und wie funktioniert es?

Verschlüsselung, Kryptografie, digitale Signaturen, private und öffentliche Schlüssel … Das alles sind Konzepte und Werkzeuge, von denen ein durchschnittlicher Mensch wahrscheinlich schon einmal gehört hat, die er aber nicht wirklich versteht. Und was Menschen nicht verstehen, macht ihnen normalerweise Angst.

Deshalb glauben wir, dass es unglaublich nützlich wäre, über eines dieser Werkzeuge zu informieren, nämlich OpenPGP – wie es funktioniert und wie es Ihnen beim Schutz Ihrer E-Mail-Privatsphäre helfen kann.

Okay, was ist OpenPGP?

PGP steht für Pretty Good Privacy und ist ein Verschlüsselungssystem für den Versand verschlüsselter E-Mails und Dateien. Es wurde 1991 entwickelt und veröffentlicht, um Dateien auf Bulletin-Board-Systemen (das waren Schwarzes-Brett-Systeme und Server, mit denen Benutzer vor dem Internet in Kontakt kommen konnten) zu schützen.

Ursprünglich war PGP für jedermann frei und kostenlos zugänglich, aber nachdem Symantec es aufgekauft hatte, wurde es zu einer proprietären Lösung.

Deshalb hat Phil Zimmerman, der ursprüngliche Entwickler des PGP-Standards, 1997 einen Open-Source-Vorschlag bei der Internet Engineering Task Force (IETF) eingereicht, und so wurde OpenPGP geboren.

OpenPGP ist ein Verschlüsselungsstandard, der sowohl symmetrische als auch asymmetrische kryptographische Algorithmen verwendet. Damit nutzt OpenPGP das Beste von beidem – die Effizienz der symmetrischen Verschlüsselung und die Sicherheit der asymmetrischen.

Wie funktioniert es?

Pretty Good Privacy ist im Grunde genommen gar nicht so kompliziert. Sehen wir uns ein Beispiel an:

1. Person A (Absender*in) möchte seinem*seiner Freund*in, Person B (Empfänger*in), eine E-Mail senden, möchte sie aber vertraulich halten.
2. Person B (Empfänger*in) muss jetzt einen öffentlichen und einen privaten Schlüssel erstellen. Sehen Sie, wie Sie mit Mailfence Ihren persönlichen Schlüssel erstellen. Sehen Sie sich unser Video an und erfahren Sie, wie Sie Ihre Schlüssel zu Ihrem Konto hinzufügen.
3. Als Nächstes sendet Person B ihren öffentlichen Schlüssel an Person A.
4. Mithilfe des öffentlichen Schlüssels, den sie gerade erhalten hat, kann Person A ihre E-Mail verschlüsseln.
5. Jetzt kann sie die verschlüsselte E-Mail an Person B senden.
6. Um die E-Mail zu lesen, muss Person B diese jetzt nur noch mit ihrem privaten Schlüssel entschlüsseln. Niemand, der die E-Mail abfangen würde, wäre in der Lage, sie zu lesen, da sie für ihn unverständlich wäre.

Was ist der Unterschied zwischen PGP, OpenPGP und GnuPG?

Wir haben bereits erwähnt, dass OpenPGP 1997 vom PGP-Erfinder Phil Zimmerman als Vorschlag bei der IETF eingereicht wurde, um Patentprobleme zu vermeiden.

Es gibt noch einen dritten Akteur in dieser Geschichte, und zwar GnuPG oder Gnu Privacy Guard (GPG).

Gnu Privacy Guard wurde zwei Jahre nach OpenPGP im Jahr 1999 entwickelt und basiert auf dem OpenPGP-Standard, den Zimmerman bei der IETF eingereicht hatte. Es ist eine kostenlose Alternative zu PGP, die Nutzer*innen herunterladen, verändern, weitergeben und zur Ver- und Entschlüsselung von PGP- und OpenPGP-Dateien verwenden können.

Zusammenfassung: Das ursprüngliche PGP wurde 1991 entwickelt und später von Symantec aufgekauft. OpenPGP wurde 1997 als kostenlose Alternative bei der IETF eingereicht und genehmigt, und 1999 wurde GPG veröffentlicht, das auf dem OpenPGP-Standard basiert.

Wofür wird PGP/OpenPGP eingesetzt?

Was können Sie nun also wirklich mit PGP oder OpenPGP tun?

1. E-Mails (oder Dateien) verschlüsseln und entschlüsseln
2. E-Mails (oder Dateien) signieren und verifizieren
3. Aktionen signieren und verifizieren

Das obige Beispiel (siehe “Wie funktioniert es?”) erklärt bereits, wie OpenPGP verwendet wird, um eine E-Mail zwischen zwei Parteien zu verschlüsseln, die ihre Korrespondenz vertraulich halten wollen.

OpenPGP kann auch eingesetzt werden, um die Identität des*der Absender*in einer E-Mail zu überprüfen. Oder, kurz gesagt, zum Überprüfen der E-Mail-Signatur.

Dazu wird die digitale OpenPGP-Signatur verwendet, die im Wesentlichen ein Hash der E-Mail ist, der mit dem privaten OpenPGP-Schlüssel des*der Absender*in verschlüsselt wurde. Diese digitale E-Mail-Signatur wird dann mit der eigentlichen E-Mail mitgesendet.

Sobald der*die Empfänger*in die E-Mail erhält, kann er*sie die digitale Signatur mit dem öffentlichen Schlüssel des*der Absender*in entschlüsseln. Auf diese Weise kann er*sie feststellen, ob auch nur ein einziges Zeichen verändert wurde, was darauf hindeutet, dass entweder die Nachricht während der Übertragung manipuliert wurde oder die digitale Signatur gefälscht ist und der*die Absender*in nicht der*die ist, für den er*sie sich ausgibt.

Schließlich kann OpenPGP nicht nur zum Verschlüsseln und Signieren von E-Mails oder Dateien verwendet werden, sondern auch zum Signieren von Aktionen, zum Beispiel um das Vertrauen in eine Identität herzustellen, eine Revision in einem Github/Gitlab-Repository vorzunehmen oder ein Debian-Upstream-Paket zu veröffentlichen.

Vor- und Nachteile

OpenPGP hat definitiv seine Vorteile, ist aber nicht perfekt. Im Folgenden werfen wir einen Blick auf die Vor- und Nachteile der OpenPGP-Verschlüsselung:

Vorteile

• Sie können es kostenlos nutzen, herunterladen und anpassen

Im Gegensatz zu PGP, das inzwischen im Besitz von Symantec ist, kann OpenPGP von jedermann völlig frei verwendet werden.

• Es ist praktisch nicht zu knacken und hochsicher

OpenPGP-Schlüssel sind in der Regel bis zu 4096 Bit (asymmetrischer Codierschlüssel) und 256 Bit (symmetrischer Codierschlüssel) lang. Dies wird derzeit von verschiedenen Standardisierungsgremien wie NIST als sicher angesehen.

• Es verbessert die Cloud–Sicherheit

OpenPGP kann sehr nützlich sein, um Dateien im Ruhezustand (auf Servern) zu verschlüsseln und im Falle des Missbrauchs von Benutzernamen und Passwörtern die Sicherheit in der Cloud zu erhöhen.

Nachteile

• Es ist nicht anonym

OpenPGP ist ein Werkzeug für Datenschutz und Sicherheit, nicht für Anonymität. Denken Sie daran, dass Privatsphäre bedeutet, dass Ihre Handlungen für andere unbekannt bleiben, während Anonymität mit sich bringt, dass Ihre Identität unbekannt bleibt. Das bedeutet, dass sowohl die Identität des*der Absender*in als auch die des*der Empfänger*in zurückverfolgt werden kann. Es sei denn, er*sie verwendet einen E-Mail-Alias, ein VPN oder einen Proxyserver.

• Es kann einschüchternd sein

Obwohl Sie sich nach einiger Zeit sicher daran gewöhnt haben, kann die Einrichtung und Verwendung von PGP für Erst-Anwender*innen ziemlich kompliziert sein. Dies gilt insbesondere für die Erzeugung und Verwaltung von Schlüsselpaaren. Aus diesem Grund meiden viele Menschen PGP und hoffen einfach auf das Beste.

Mailfence hat es geschafft, die Nutzung für alle viel einfacher zu gestalten:

• Erstellen oder importieren Sie einen privaten und einen öffentlichen Schlüssel
• Teilen Sie Ihren öffentlichen Schlüssel per E-Mail, oder lesen Sie diesen Blogartikel (englischsprachig), um Ihren öffentlichen Schlüssel in drei einfachen Schritten zu teilen
• Entdecken und importieren Sie den öffentlichen Schlüssel des*der Empfänger*in mithilfe der neuesten Standards
• Senden Sie signierte und/oder verschlüsselte E-Mails

• Sowohl der*die Absender*in als auch der*die Empfänger*in müssen es haben

OpenPGP funktioniert nicht, wenn nur eine Seite es installiert hat. Sowohl der*die Absender*in als auch der*die Empfänger*in müssen ein OpenPGP-kompatibles Programm haben, um es erfolgreich nutzen zu können. Auch für diesen Fall hat Mailfence eine Lösung gefunden: wenn eine Seite OpenPGP nicht unterstützt, wird nur die symmetrische Verschlüsselung verwendet.

Benötige ich OpenPGP?

Die Antwort auf diese Frage sollte sich nicht danach richten, wie kompliziert die Nutzung ist oder wie viel es kostet.

Vielmehr sollte sie von der Notwendigkeit abhängen, Ihre sensiblen Daten über E-Mail oder Ihre Dateien zu schützen. Auch wenn in einigen Medien behauptet wird, OpenPGP sei tot, so ist dies keineswegs die Wahrheit. Immer mehr Menschen erkennen, dass das Internet nicht sicher ist, und dass sie ihre Daten schützen müssen.

Mailfence nutzt die OpenPGP-Verschlüsselung, um Ihre E-Mails ohne großen Aufwand für Sie zu schützen. Jedes Konto verfügt über einen integrierten OpenPGP-Keystore, damit Sie die volle Kontrolle über Ihre Schlüssel haben!

Darüber hinaus bietet Mailfence eine private und sichere E-Mail-Suite, die einen Kalender mit Umfragen und Gruppen-Management, einen Chat-Service und ein Tool zur Speicherung und Verwaltung von Dokumenten umfasst, die alle durch Ende-zu-Ende-Verschlüsselung, digitale Signaturen und 2FA gesichert sind.

Ihr sicheres E-Mail-Konto – jetzt

Diesen Artikel teilen