Pretty Good Privacy – wirklich so gut und einfach?

Pretty Good Privacy (PGP; engl. „ziemlich gute Privatsphäre“) ist ein von Phil Zimmermann entwickeltes Verfahren, das zur Verschlüsselung von Daten genutzt werden kann.

Das PGP-Verfahren kann von jedermann verwendet werden, um Nachrichten zu verschlüsseln und/oder zu signieren. Inzwischen wird es sogar von Bundesämtern empfohlen bzw. selbst verwendet. Wie das PGP-Verfahren genutzt werden kann, erfahren Sie in diesem Beitrag.

Prinzip des Publik-Key-Verfahrens

PGP benutzt ein sogenanntes „Public-Key-Verfahren“. Bei diesem Verfahren gibt es ein eindeutig zugeordnetes Schlüsselpaar:
1. Einer dieser Schlüssel ist der sog. „öffentliche Schlüssel“. Mit diesem öffentlichen Schlüssel kann jede Person Daten für den Empfänger verschlüsseln.
2. Der zweite Schlüssel ist der sog. „privater geheimer Schlüssel“. Diesen geheimen und in der Regel durch ein Passwort geschützten Schlüssel besitzt lediglich der Empfänger.

Nachrichten an einen Empfänger werden also mit einem öffentlichen Schlüssel verschlüsselt und können dann ausschließlich mittels des privaten Schlüssels des Empfängers entschlüsselt werden. Dieses Verfahren wird auch als asymmetrische Verschlüsselung bezeichnet, da Sender und Empfänger zwei unterschiedliche Schlüssel verwenden.

Verwendung

Der Versender einer Nachricht erzeugt in einem ersten Schritt einen zufälligen Schlüssel den, sog. „Session Key” und verschlüsselt mit diesem Schlüssel seine Daten. Damit diese Daten entschlüsselt werden können, muss der Session Key, bei dem es sich um einen Einmal-Schlüssel handelt, dem Empfänger mitgeteilt werden. Aus diesem Grund wird im zweiten Schritt der Session Key dann mit dem durch den Empfänger zur Verfügung gestellten öffentlichen Schlüssel verschlüsselt und der Nachricht vorangestellt.

Wenn Sie z.B. mit dem Bundesamt für Verfassungsschutz (BfV) per E-Mail in Kontakt treten möchten, können Sie dies unter der Verwendung des öffentlichen Schlüssels machen, den das BfV auf seiner Webseite zur Verfügung stellt. Das BfV wird Ihre Nachricht dann mit Ihrem Session Key entschlüsseln, um Ihr Anliegen in Erfahrung zu bringen.

Relevanz

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) verkündete am 7. Mai, dass OpenPGP nun in Behörden dafür verwendet werden darf, Informationen der niedrigsten Geheimhaltungsstufe zu verschlüsseln und auszutauschen. Damit sind Informationen gemeint, die als Verschlusssache gelten und nur für den Dienstgebrauch gedacht sind. Interessant könnte dies zukünftig für Unternehmen sein, die mit Behörden beruflich zu tun haben und solche Daten zur Verarbeitung erhalten.

Einsatz von PGP im Unternehmen

Das BSI hat zudem die Nutzung von GnuPG zugelassen, als entsprechendes Tool empfiehlt das Bundesamt die Verwendung von Ggp4win.