Sie suchen eine einfach zu bedienende, verständliche und sichere Verschlüsselung, auch für Nicht-Kryptologen? Herzlich Willkommen bei PGP!
Was ist PGP?
PGP gehört zu den Verschlüsselungsprogrammen, die zur Verschlüsselung ein hybrides Verschlüsselungssystem verwenden. Dies bedeutet, dass sowohl symmetrische, als auch asymmetrische Verschlüsselungssysteme gemeinsam verwendet werden (siehe hierzu auch: Verschlüsselungsverfahren).
Der große Vorteil von PGP ist der ganzheitliche Ansatz: PGP verfügt zum einen über gute und zuverlässige Verschlüsselungsmechanismen und über eine integrierte Schlüsselverwaltung, die die Erzeugung und Verwaltung von kryptografischen Schlüsseln ermöglicht. Dabei ist das System jedoch trotzdem so flexibel, dass beispielsweise die sensiblen Schlüsseldateien auf externe Datenträger gelegt werden können und neben E-Mails auch sehr einfach andere Texte und sogar Dateien verschlüsselt werden können (beispielsweise Texte, die in der Zwischenablage liegen oder in Formularfeldern liegen). Da in der hybriden Verschlüsselung asymmetrische Verschlüsselungsverfahren integriert sind, ist neben der Verschlüsselung umgekehrt auch die Digitale Signatur möglich (siehe hierzu den obigen Link).
Die dritte starke Säule ist die Möglichkeit zur einfachen Bildung eines so genannten Web of Trust, einem Vertrauensnetzwerk. Die Idee, die dahinter steht, ist folgende: Ein Benutzer A kann das Vertrauen zu einem Benutzer B dadurch bezeugen, in dem er den Schlüssel des Benutzer B digital signiert und auf diese Weise eine Vertrauensstellung erzeugt. Auf diese Weise kann ein Vertrauensnetzwerk gebildet werden. (Zu Thema "Web of Trust" wird es in nächster Zeit ein eigenes Dokument in netplanet geben.)
Die Beginne von PGP
PGP
ist eine Erfindung des US-Amerikaners Phil Zimmermann, der
mit seiner Software die Verschlüsselung von elektronischer
Information für jedermann ermöglichen wollte. Er schrieb
hierzu seine Software als Hobbyprojekt und veröffentlichte
die erste Version 1.0 im Jahre 1991 im Internet. Diese erste
Version war zwar eine kommandozeilenorientierte Software, bot
jedoch schon zu diesem Zeitpunkt eine einfach zu nutzende
Verschlüsselung unter dem Betriebssystem Windows, die auf
dokumentierte Verschlüsselungsverfahren basierte
Bereits zwei Jahre später bekam Zimmermann im Jahre 1993 die ersten Schwierigkeiten mit dem US-Regierung, die mit der Veröffentlichung von PGP im Internet einen Verstoß gegen die US-Exportregelungen sah, die den Status von Verschlüsselungssoftware auf gleiche Stufe wie Waffenmunition stellte und die deshalb nur mit einer ausdrücklichen Lizenz in elektronischer Form exportiert werden durfte. Das Strafverfahren gegen Phil Zimmermann wurde zwar 1996 wieder eingestellt, dennoch waren damit die rechtlichen Schwierigkeiten für PGP nicht vorüber, da PGP nun ausdrücklich nicht exportiert werden durfte.
PGP für gewerbliche Kunden
Im Jahre 1994 vergab Zimmermann die Lizenz zum Vertrieb von kommerziellen PGP-Lizenzen an das Unternehmen Viacrypt, das im gleichen Jahr eine neue Version von PGP herausgab. Mit diesem Schritt wollte Zimmermann den Wünschen von gewerblichen Interessenten entgegenkommen, die PGP gewerblich einsetzen wollten. Dennoch war PGP für private Nutzer auch weiterhin kostenlos (eine Produktpolitik, die für PGP übrigens auch in den aktuellen Versionen noch gilt).
Wiederum zwei Jahre später gliederte Viacrypt die kommerzielle PGP-Sparte aus und brachte diese in die neu gegründete PGP Incorporation ein. In dieser Zeit entstand die erste öffentliche PGP-Version mit einer grafischen Benutzeroberfläche und dem ersten Plug-In für ein Mail-Programm, das damals sehr beliebte Eudora.
Im Jahre 1997 wurde die PGP Incorporation schließlich von US-amerikanischen Software-Hersteller Network Associates aufgekauft, unter dessen Führung PGP zu einem umfangreichen Sicherheitspaket mit Laufwerksverschlüsselung, Plug-Ins für viele Mail- und sogar Chat-Programme, einer kleinen Firewall aufgebaut wurde; nicht unter wenigem Protest vieler puristischer PGP-Nutzer, die immer mehr die Ideale von PGP wegschwimmen sahen.
Ein US-amerikanischer (Alp)Traum
Der Umstand, dass Software mit starker Verschlüsselung in den USA mit Waffenmunition gleichgesetzt wurde und dementsprechend strenge Exportrichtlinien galten, machte es für PGP fast unmöglich, außerhalb der USA legal genutzt werden zu dürfen, da PGP in den USA entwickelt wurde.
Allerdings
nur "fast", denn ein Export auf gedruckte Weise war nicht
lizenzpflichtig. Diese Hintertür in den
US-Exportbestimmungen nutzten einige Aktivisten aus und
veröffentlichten 1997 in den USA den Quellcode von PGP 5.0
in gedruckter Form als zwölfbändiges Werk, das legal und
problemlos aus den USA exportiert werden konnte. Ein Team
von über 70 Personen in ganz Europa übernahm dann die
Aufgabe, die rund 6.000 einzelnen Seiten dieser Bände
einzuscannen und den Quellcode wieder in elektronischer Form
verfügbar zu machen. Aus diesem Quellcode wurde dann eine
absolut identische Version von der US-Version von PGP 5.0
produziert, der jedoch zur Kennzeichnung für die
internationale Version der Buchstabe "i" hinzugefügt wurde.
So gab es fortan zwei PGP-Versionen: 5.0 und 5.0i.
Auf dieselbe Art und Weise ging man auch bei den nächsten beiden PGP-Versionen 5.5 und 6.5.1 vor, bis die Vereinigten Staaten im Jahre 1999 die Exportregelungen änderten und seitdem Kryptografiesoftware auch in elektronischer Version uneingeschränkt exportiert werden kann.
Die kalkulierte Hintertürfunktion: ADK
Mit der Version 5.5 wurde ein zusätzliches Feature in PGP eingebaut: Der Additional Decryption Key (ADK), übersetzt: Zusätzlicher Schlüssel für Entschlüsselung. Mit dieser Funktion lässt sich ein PGP-Client so präparieren, dass dieser bei der Neuerstellung eines PGP-Schlüssels automatisch einen bereits bestehenden Schlüssel integriert, so dass jemand, der diesen neuen Schlüssel zur Verschlüsselung einer Information diese Nachricht auch automatisch mit dem Zweitschlüssel verschlüsselt. Die Idee, die damit verfolgt wurde, ist die, dass auf diese Weise in einem Unternehmen jeder Mitarbeiter mit einem eigenen PGP- Schlüssel versorgt werden konnte, die Nachrichten, die mit diesem Schlüssel verschlüsselt werden, jedoch auch mit dem Unternehmensschlüssel geöffnet werden konnten. So konnte sichergestellt werden, dass Nachrichten für das Unternehmen geöffnet werden konnten, ohne dass der Mitarbeiter dies selbst machen musste.
Diese Funktion war von Anfang an nicht unumstritten: Viele PGP-Nutzer waren mit dem Einbau dieser "kalkulierten" Hintertüre nicht einverstanden und es gab teilweise sehr emotional geführte Diskussionen in einschlägigen Foren. Das schlechte "Karma" von ADK wurde auch noch dadurch untermalen, dass es von offizieller Stelle nur sehr
Neues Kapitel: PGP Corporation
Dennoch gab es für PGP immer noch kein ruhiges Fahrwasser, da ab 2001 das PGP-Mutterhaus Network Associates in ernsthafte Zahlungsschwierigkeiten kam, die dazu führten, dass der Support für PGP vorübergehend eingestellt wurde.
Im Jahre 2002 starteten deshalb eine Gruppe von Investoren einen neuen Anlauf um PGP und begründeten mit einem Team von Beratern (darunter auch Phil Zimmermann) ein neues Unternehmen, die PGP Corporation. Dieses neue Unternehmen kaufte die gesamten Rechte für PGP von Network Associates auf und begann sogleich mit der Weiterentwicklung der bis dato erschienenen Version 7.1.1 und stellte Ende 2002 die Version 8.0 vor. Man beschränkte sich bei der Weiterentwicklung wieder auf die Kernkompetenzen und beschränkte sich auf die Verschlüsselungsfunktionen von PGP, die sich nun in verschiedenen Produkten für bestimmte Nutzungsbereiche widerspiegeln, unter anderem auch für unternehmensweite Verschlüsselungslösungen.
Man bemühte sich auch, verloren gegangenen Boden wieder gutzumachen, in dem der Quellcode der aktuellen Version wieder zur allgemeinen Einsicht auf der PGP-Homepage zum Download bereitgestellt wird und die Desktop-Version für private Zwecke weiterhin als Freeware genutzt werden kann.
OpenPGP und GnuPG
Im November 1998 erschien im RFC 2440 eine Beschreibung für OpenPGP, einem Rahmenwerk für PGP-Implementation, die keine Rechte Dritter verletzen würde. Gemeint war hier vor allem die Nutzung des symmetrischen Verschlüsselungsverfahren IDEA, das bei einer gewerblichen Nutzung beim schweizerischen Telekommunikationskonzern und IDEA-Lizenzgeber Ascom lizenziert werden muss.
Dieses OpenPGP-Rahmenwerk wurde als Basis für ein zu PGP kompatibles Verschlüsselungsprogramm namens GnuPG ("GNU Privacy Guard") verwendet, das im September 1999 als Version 1.0 im Internet veröffentlicht wurde und kostenlos für jedermann nutzbar ist, auch für gewerbliche Zwecke. Der Quellcode liegt als Open Source vor, ist also ebenfalls von jedermann einsehbar und kann auch für eigene Weiterentwicklungen genutzt werden, sofern diese Weiterentwicklungen später ebenfalls als freie Software veröffentlicht wird. GnuPG ist darüber hinaus für viele Betriebssystemplattformen angepasst worden und kann, wie es beispielsweise in der Unix-Welt üblich ist, selbst aus dem Quellcode kompiliert werden.
Technisch gesehen arbeitet GnuPG auf der Kommandozeile, besitzt also selbst keine grafische Benutzeroberfläche. Im Gegensatz zu PGP sind jedoch zusätzliche Verschlüsselungsverfahren integriert und auch eine Schnittstelle vorhanden, die die Integration weiterer Verschlüsselungsverfahren ermöglicht. Des Weiteren gibt es eine Vielzahl weitergehender Projekte, die sich mit der Entwicklung von grafischen Benutzeroberflächen und Plug-Ins für gängige Mail-Programme befassen, die jedoch teilweise in einem frühen Stadium sind oder nicht mehr weitergepflegt werden.
Welches "PGP" nun das bessere ist, kann so eindeutig nicht beantwortet werden. Sicher ist, dass PGP und GnuPG untereinander kompatible Kryptogramme, also verschlüsselte Nachrichten, erzeugen können. Dies ist grundsätzlich der wichtigste Punkt. PGP besitzt eine deutlich stärkere Ausrichtung in Bereichen, wo eine zentrale Administration von kryptografischen Schlüsseln notwendig ist, beispielsweise in Unternehmen, in denen es in der Schlüsselinfrastruktur einen zentralen Firmenschlüssel geben muss, der quasi als "Zentralschlüssel" fungiert und im Zweifelsfalle alle Nachrichten öffnen kann, die an einen Mitarbeiter gerichtet und mit seinem Firmenschlüssel verschlüsselt sind.
Beachtenswertes
Generell ist zu beachten, dass für eine PGP- bzw. GnuPG-Kommunikation beide Partner PGP oder GnuPG verwenden müssen, dies allein schränkt die Nutzung leider bereits sehr ein. Obwohl beide Programme in deutscher Sprache existieren und PGP zudem eine recht einfach zu bedienende grafische Oberfläche besitzt, ist dennoch ein nicht zu unterschätzender Lernaufwand notwendig, um wirklich eine sichere Kommunikation betreiben zu können. Hier seien die deutschsprachigen Anleitungen empfohlen, die ich weiter unten in den weiterführenden Links angegeben habe.
Sie wollen ausprobieren?
Sehr gut, denn nur Praxis ist das wahre. :-)
Wenn Sie bereits PGP oder GnuPG installiert haben, generieren Sie zunächst einen eigenen Schlüssel. Hierzu haben beide Programme entsprechende Schlüsselgenerierungsassistenten, die Ihnen bei der Erzeugung eines eigenen Schlüssels assistieren. Vergessen Sie bitte keinesfalls, Ihren so generierten Schlüssel auf eine Diskette oder ein anderes Medium zu sichern, da bei einem Verlust Sie die Nachrichten nicht mehr öffnen können werden, die mit dem Public Key Ihres Schlüssels verschlüsselt wurden.
Wenn Sie nun einen eigenen Schlüssel haben, benötigen Sie zum Verschlüsseln von Nachrichten den Public Key des entsprechenden Benutzers, dem Sie eine Nachricht senden möchten. Sie können beispielsweise mir eine Nachricht schreiben und sich dazu meinen Public Key herunterladen (auf der entsprechenden Seite ganz unten im grünen Kasten), diesen in Ihren Schlüsselring aufnehmen und damit Ihre Nachricht verschlüsseln, bevor sie diese in das Feedback-Formular übertragen und absenden.
Weiterführende Links
http://www.foebud.org/pgp/html/index.html
PGP - deutschsprachige Anleitung
http://www.helmbold.de/pgp/
PGP-Anwendertipps - Anleitung von Christian Helmbold
http://www.pgp.com/
Homepage der PGP Corporation
http://www.pgpi.org/
The PGPi Project
http://www.gnupg.org/de/
Der GNU Privacy Guard
http://www.philzimmermann.com/
Homepage von Phil Zimmermann
