Wie sicher ist PGP?

PGP steht für Pretty Good Privacy – (übersetzt: ziemlich guter Datenschutz) eine sehr bescheidene Bezeichnung für ein Verfahren, das Mails so zuverlässig verschlüsselt, dass bis heute keine öffentlich bekannte Methode existiert, die in der Lage ist, PGP bei Verwendung geeigneter Passphrasen innerhalb einer praktikablen Zeitspanne zu entschlüsseln. Praktikabel bedeutet in diesem Zusammenhang, den Key zur Entschlüsselung wenigstens noch innerhalb des aktuellen Jahrtausends zu finden.

Security für E-Mails und Festplatten
PGP wird von vielen Anwendern hauptsächlich für den E-Mail-Verkehr verwendet, leistet beim Schutz der Daten auf Festplatten aber ebenso sichere Dienste. Wie PGP dabei genau funktioniert und was es so sicher macht, lässt sich an einem Beispiel eines einfachen E-Mail-Austauschs sehr schön erklären:

Jeder Teilnehmer besitzt ein Schlüsselpaar, seinen persönlichen private key und den zugehörigen public key. Während der private Schlüssel geheim bleibt und nur seinem Besitzer bekannt ist, wird der öffentliche Schlüssel an jede Person verteilt, mit der verschlüsselte Mails ausgetauscht werden sollen. Eine Nachricht, die mit dem öffentlichen Key verschlüsselt wurde, kann nur mit dem privaten Key entschlüsselt werden. Aus diesem Grund dienen die Keys gleichzeitig als Unterschrift und garantieren, dass beide Teilnehmer sind, wer sie zu sein vorgeben. Eine Antwort auf die E-Mail wiederum wird mit dem öffentlichen Key des Anderen verschlüsselt, so dass nur er in der Lage ist, ihren Inhalt zu entziffern.

Nicht zu viel versprochen
In Wirklichkeit ist PGP sogar noch etwas komplexer. Beim Versand einer E-Mail wird zunächst ein zufälliger Schlüssel erstellt. Dieser verschlüsselt den Inhalt der E-Mail, um anschließend mit dem öffentlichen Key des Empfängers selbst verschlüsselt zu werden. Beides kommt beim Empfänger an. Dieser verwendet seinen privaten Key, um den zufällig erzeugten Schlüssel zu entziffern und damit schließlich den Inhalt der E-Mail wieder zu entschlüsseln. Pro Mailversand kommen also drei Schlüssel zum Einsatz, um den Inhalt vor fremden Augen zu schützen.

Für mathematisch Interessierte
Wenn eine Zahlenkombination oder ein Passwort erraten wird, indem alle möglichen Kombinationen nacheinander ausprobiert werden, dann spricht man vom Brute-Force-Verfahren. Selbstverständlich können auch die PGP-Keys auf diese Weise erraten werden. Das Problem dabei, wie oben bereits angedeutet, ist die Zeit, die dafür benötigt wird. Ein Datenblatt zu PGP verrät, dass die Keys eine Länge von 128 Bit haben. Das bedeutet, es sind insgesamt 2128 (also ungefähr 340.000.000.000.000.000.000.000.000.000.000.000.000) Kombinationen möglich und nur eine davon ist die richtige.

Selbst der leistungsfähigste Computer auf der Welt bräuchte im schlimmsten Fall immer noch mehrere Milliarden Jahre, um nur einen einzigen richtigen Schlüssel zu finden. Aus diesem Grund stellt brute forcing keine Bedrohung für die Sicherheit von PGP dar.

Kommentare

Jens |

Dass die NSA oder andere Bösewichter unterwegs abgefangene eMails nicht entschlüsseln kann, ist auf Grund der verwendeten starken Verschlüsselung von PGP logisch und glaubwürdig. Allerdings befürchte ich, dass die Befugnisse und Machenschaften der NSA weit über das Vorstellbare hinaus gehen.
Wurde da nicht ein Flugzeug zur Landung gezwungen, weil man vermutete Snowden war an Board? Ich glaube es gab sogar einen Fall, wo bei Leuten in Deutschland die Polizei vor der Haustür gestanden hat, weil diese im Internet die Worte „Osama bin Laden“ verwendet haben.
Bei PGP wird der private Schlüssel auf dem privaten PC gespeichert. Wie sicher ist PGP, wenn mein Rechner beschlagnahmt wird? Bei mir daheim oder mein Laptop im Zoll.

Hajo Giegerich |

Die Frage nach dem Maß der Sicherheit ist immer gerechtfertigt und gewiss ist dieses auch endlich. Um auf die zum Schluß konkret gestellte Frage zu antworten: Der private Schlüssel ist bei Verlust so sicher wie die verwendete Passphrase stark ist. Darüber hinaus gibt es ja auch Möglichkeiten, den privaten Schlüssel z.B. in Smartcards außerhalb des Rechners zu speichern, wo er z.B. nur mit Hilfe von biometrischen Merkmalen und Passphrase verwendet werden kann. Alternativ kann und soll die Festplatte des privaten Rechners zusätzlich verschlüsselt werden – zur Erhöhung der Sicherheit gerne auch mit einem alternativen Werkzeug. Mit Gewissheit darf gesagt sein: Die Verwendung starker Verschlüsselung ist allemal sicherer als gar kein Schloß. Zuhause schließen wir ja auch ab obwohl wir wissen, dass auch diese Sicherheit gegen rohe Gewalt recht endlich erscheint.

Ihr Kommentar

* Die markierten Felder sind Pflichtfelder. Bitte ausfüllen.

Kommentar *

Bitte beachten Sie vor dem Eintragen die Datenschutzerklärung). .