GPG / PGP

//GPG / PGP
GPG / PGP 2017-01-06T15:11:00+00:00

Informationen zu PGP / GPG und mein Public-Key

Wir regen uns über Google und Facebook als Datenkraken auf, versenden aber eMail mit persönlichen Informationen mit unverschlüsselten eMails. Das ist als würden wir all unsere Kommunikation als Postkarte verschicken.

Das muß nicht sein! Mit PGP / GPG gibt es einen Mechanismus, endlich Briefe in einem Umschlag zu versenden. Es handelt sich um ein Verschlüsselungsprogramm für private elektronische Post und Dateien. PGP steht dabei für „Pretty Good Privacy“ – also „recht gute Privatsphäre“. Unter Privatsphäre ist dabei zu verstehen, dass eine Nachricht nur ausschließlich von den gewünschten Empfängern gelesen werden kann. Dabei kann ausserdem überprüft werden, ob die Nachricht von der Person stammt die als Absender angegeben ist und die Nachricht auch nicht verändert wurde (es beinhaltet also eine elektronische Unterschrift). Bereits im Jahr 1991 schrieb Philip (Phil) Zimmermann die erste Version des Programms. Bis zur Liberalisierung der US Exportgesetze Ende der 90er Jahre durfte PGP aus den USA exportiert werden, da es, ähnlich wie Waffen, unter das US-Exportgesetz fiel.

Um dennoch eine international Verfügbare Version von PGP anbieten zu können, veröffentlichte Philip Zimmerman den vollständigen Quellcode 1995 in dem Buch „PGP Source Code and Internals“. Als Buch konnte die Software legal aus den USA exportiert werden. Es wurde ausserhalb des Landes von Freiwilligen per Hand abgetippt. und daraus eine internationale Version von PGP (PGPi) kompiliert.

Es handelt sich um ein asymmetrisches Verschlüsselungsverfahren. Es werden keine abhörsicheren Kanäle gebraucht über welche Schlüssel ausgetauscht werden, da PGP / GPG ein System mit öffentlichen Schlüsseln nutzt. Es gibt immer ein Schlüsselpaar. Nachrichten werden mit dem öffentlichen Schlüssel (Public Key) verschlüsselt und mit dem privaten Schlüssel entschlüsselt. Daher kann der öffentliche Schlüssel beliebig weitergegeben werden.

Es funktioniert also ähnlich einem Vorhängeschloss, das weitergegeben wird, von dem man aber den Schlüssel behält. Jemand kann nun mit dem Vorhängeschloss eine Truhe „verschließen“ – aber einzig der Besitzer des Schlüssels kann es wieder öffnen.

GPG (GnuPG) implementiert den OpenPGP-Standard und wurde 1997 von Werner Koch als Ersatz für PGP entwickelt. Koch ist weiterhin federführend für das Projekt, das mittlerweile Crowd-Finanziert ist.

Es existieren für verschiedenen Plattformen (Betriebssysteme / Mail-Client) Implementierungen mit ausgereiftem Userinterface. Für den Mac zum Beispiel die GPGTools, für Windows unter anderem GPG4Win. Die letzte Freeware von PGP (PGP 6.5.8) ist inzwischen über zehn Jahre alt, soll aber mit einigen Einschränkungen auch unter aktuellen Windows-Versionen lauffähig sein.

Argumente gegen die Verwendung von GPG / PGP

Ich habe mich gefragt „Warum benutzt (fast) niemand GPG / GPG?“ Einige Argumente die ich mir vorstellen kann:

  • ich bin zu faul
  • gpg/pgp kenne ich nicht
  • ich bin zu dumm
  • ich kann nicht lesen
  • ich habe nichts zu verbergen
  • Verschlüsselung ist überflüssig
  • Ich versende auch offline nur Postkarten ohne Briefumschlag

OK – zugegeben: das klingt etwas polemisch. Deshalb bin ich noch einmal in mich gegangen und habe überlegt was mich persönlich dann doch an der Nutzung stört.

Argumente gegen GPG / PGP die ich gelten lasse

  • Mein Smartphone unterstützt das nicht, ich kann verschlüsselte Mails also nur am Rechner lesen – UPDATE: Zumindest für iOS gibt es mit IPGMail hier eine Lösung

  • Meine Smartwatch unterstützt das nicht, ich kann verschlüsselte Mails also nur am Rechner lesen

Fazit

Zumindest auf Desktop-Rechnern und Notebooks läßt sich GPG / PGP komfortable nutzen und kann ohne großes technisches Verständnis leicht installiert werden. Einschränkungen gibt es für einige mobile Devices.

Es müssen aber auch nicht alle Nachrichten verschlüsselt werden. Für sehr persönliche Mails, die womöglich sogar Passwörter enthalten sollte GPG / PGP aber unbedingt genutzt werden.

Selbst wenn man Nachrichten nicht verschlüsselt, sollte man sie doch signieren. Der positive Nebeneffekt: Dem Empfänger wird dadurch mitgeteilt, dass man GPG / PGP benutzt.

Anbei befindet sich daher mein öffentlicher Schlüssel. Ich würde es begrüssen, wenn mehr Absender diese Möglichkeit nutzen und mir verschlüsselte Nachrichten senden.

Mein GPG / GPG Key

Meinen GPG Public Key herunterladen

 

Links / Bezugsquellen

  • GPG4win – wie der Name schon verrät für Windows.

  • GPGSuite für den Mac. Bei neuen MacOS Versionen kommt es meist zu Zeitverzögerungen bis die Mail-App Integration wieder Implementiert ist. Hier gibt es aber einen Workaround.

  • GnuPG für verschiedene Plattformen.