OpenPGP

OpenPGP ist ein offener Standard in der elektronischen Kryptographie, der technisch auf der Software Pretty Good Privacy (PGP) basiert. Angewendet wird er häufig bei der Verschlüsselung und der elektronischen Signatur von E-Mails. Das Verfahren sorgt für Sicherheit und Zuverlässigkeit beim E-Mail-Versand und erreicht eine hohe Geschwindigkeit.

Mittels OpenPGP können Nachrichten zwischen zwei Parteien versendet werden, ohne dass der Inhalt bei der Übertragung ausgelesen werden kann. Weiterhin kann der Sender mit einer digitalen Signatur dem Empfänger seine Authentizität beweisen.

Die Funktionsweise

OpenPGP kombiniert zwei kryptographische Verfahren, die symmetrische und die asymmetrische Verschlüsselung. Das symmetrische Verfahren erfordert einen einzigen Schlüssel, der zur Verschlüsselung und zur Entschlüsselung der Nachricht verwendet wird. Der Vorteil dieses Verfahrens ist seine Schnelligkeit. Es besitzt einen großen Nachteil: Der Schlüssel muss zwischen Sender und Empfänger übertragen werden und kann dabei von Dritten ausgelesen werden.

Das asymmetrische Verfahren nutzt zwei Schlüssel, die als Schlüsselpaar gemeinsam generiert werden: den öffentlichen Schlüssel („public key“) und den privaten Schlüssel („private key“). Die Nachricht kann nur mit dem jeweils anderen Schlüssel des gleichen Schlüsselpaares entschlüsselt werden, niemals aber mit dem gleichen Schlüssel. Daher kann einer von beiden, der „public key“, gefahrlos an die andere Partei übermittelt werden, während der „private key“ geheim bleibt.

Das asymmetrische Verfahren ist bei längeren Nachrichten oder Dateien sehr rechenaufwändig und damit langsam. Bei OpenPGP wird die Nachricht daher mit dem schnellen symmetrischen Verfahren verschlüsselt und entschlüsselt. Um den gemeinsam von Sender und Empfänger genutzten Schlüssel sicher zu übermitteln, wird das asymmetrische Verfahren genutzt.

Anwendungen von OpenPGP

Die wichtigste Anwendung des Standards ist das Verschlüsseln von E-Mails. Dank seines ausgeklügelten Verfahrens kann man damit auch längere Nachrichten schnell und ohne Abstriche bei der Sicherheit verschlüsselt übertragen. Von einigen E-Mail-Clients wird der Standard direkt unterstützt; bei anderen ist dafür ein Add-On erforderlich.

Ein Beispiel:

Ein Sender übermittelt eine vertrauliche E-Mail an einen Empfänger. Der Sender fragt zunächst den „public key“ des Empfängers ab. Mit diesem verschlüsselt er einen weiteren Schlüssel, den Sitzungsschlüssel. Er übermittelt diesen an den Empfänger, der ihn mit seinem „private key“ entschlüsselt. Der Sitzungsschlüssel wird nun vom Sender genutzt, um die E-Mail zu verschlüsseln; der Empfänger kann diese mit dem gleichen Schlüssel entschlüsseln.

Eine weitere Anwendung ist die elektronische Signatur. Diese Technik verhindert, dass eine Nachricht auf dem Übertragungsweg manipuliert wird. Hier verschlüsselt der Absender eine Prüfsumme (Hash-Wert), die aus der Nachricht gebildet wird, mit seinem „private key“ und übermittelt seinen „public key“ an den Empfänger. Dieser kann damit die Authentizität der Nachricht und des Absenders prüfen, da der „public key“ nur im Zusammenspiel mit dem „private key“ des Senders funktioniert.

Weiterhin wird das Verfahren bei einigen Betriebssystemen genutzt, um die Authentizität von Softwarepaketen in Paketverwaltungs-Programmen zu prüfen. So kann die Einschleusung von Malware verhindert werden.