Pretty Good Privacy
Pretty Good Privacy (PGP) ist ein von Phil Zimmermann entwickeltes Programm zur Verschlüsselung von Daten. Es benutzt das sog. Public Key-Verfahren, d.h. es gibt ein eindeutig zugeordnetes Schlüsselpaar: Einen öffentlichen, mit dem jeder die Daten für den Empfänger verschlüsseln kann, und einen geheimen privaten Schlüssel, den nur der Empfänger besitzt und der durch ein Kennwort geschützt ist. Nachrichten an einen Empfänger werden mit seinem öffentlichen Schlüssel kodiert und können dann nur durch den privaten Schlüssel des Empfängers geöffnet werden. Diese Verfahren werden auch asymmetrische Verfahren genannt, da Sender und Empfänger zwei unterschiedliche Schlüssel verwenden.
Die erste Version wurde 1991 geschrieben und verwendete einen RSA-Algorithmus zur Verschlüsselung der Daten. Spätere Versionen benutzten den DH/DSS-Algorithmus.
Bei PGP wird aber nicht die ganze Nachricht asymmetrisch verschlüsselt, denn dies wäre viel zu rechenintensiv. Stattdessen wird die eigentliche Nachricht symmetrisch und nur der verwendete Schlüssel asymmetrisch verschlüsselt (Hybride Verschlüsselung). Dazu wird jedes Mal ein symmetrischer Schlüssel zufällig erzeugt.
Dieser symmetrische Schlüssel wird dann per RSA- oder Elgamal-Kryptosystem mit dem öffentlichen Schlüssel des Empfängers verschlüsselt und der Nachricht hinzugefügt. Dadurch ist es möglich, eine Nachricht für mehrere Empfänger gleichzeitig zu verschlüsseln. Eine für mehrere Empfänger verschlüsselte Nachricht sieht dann folgendermaßen aus:
| asymmetrisch verschlüsselter Schlüssel der Nachricht für Empfänger 1 |
| asymmetrisch verschlüsselter Schlüssel der Nachricht für Empfänger n |
| symmetrisch verschlüsselte Nachricht |
PGP basiert dabei auf dem sogenannten Web of Trust, bei dem es keine zentrale Zertifizierungs-Instanz gibt, sondern sogenannte Ketten des Vertrauens.
Geschichte
Phil Zimmermann schrieb die erste Version 1991. Sein Ziel war es, dass alle Bürger und insbesondere Bürgerbewegungen auch vor dem Zugriff durch Geheimdienste sicher verschlüsselte Nachrichten austauschen können (starke Verschlüsselung).
PGP durfte in seinen Anfangsjahren nicht lizenzfrei aus den USA exportiert werden, da es, ähnlich wie Waffen, unter das US-Exportgesetz fiel. Danach unterlagen Kryptosysteme mit Schlüsseln von mehr als 40 Bit Länge für die symmetrische Verschlüsselung besonderen Exportbestimmungen. Die ersten PGP-Versionen verwendete den IDEA mit 128 Bit Schlüssellänge. Ende der 90er Jahre liberalisierten die USA diese Gesetze.
Um die Exportbeschränkung zu umgehen, wurde der vollständige Quellcode 1995 in dem Buch "PGP Source Code and Internals" von Phil Zimmermann veröffentlicht. Als Buch konnte die Software legal aus den USA exportiert werden. Es wurde von über 60 Freiwilligen per Hand eingescannt. Aus dem gescannten Programmcode wurde dann eine international verfügbare Version von PGP (PGPi) kompiliert.
Die Firma PGP Corporation stellte bis Version 8 mit PGP Freeware ein eigenständiges Produkt für nicht-kommerzielle Nutzer bereit. Seit Version 9 gibt es stattdessen nur noch die Testversion von PGP Desktop Professional 9. Für 30 Tage kann sie uneingeschränkt genutzt werden. Nach Ablauf der Frist werden Funktionsumfang und Nutzungsrechte auf einen Umfang reduziert, der etwa dem ehemaligen PGP Freeware entspricht. Ver- und Entschlüsselung von E-Mails ist auch nach Ablauf der Testphase möglich, aber nur für nicht-kommerzielle Zwecke zulässig.
Aufgrund der Tatsache, dass der Quelltext von PGP zeitweilig nicht offengelegt wurde und Features implementiert wurden, welche die automatische Verschlüsselung an einen weiteren Empfänger ermöglichten, wurde bis 1998 der OpenPGP-Standard entwickelt. Das unter der GNU-GPL stehende Programm GnuPG war ursprünglich die erste Implementation von OpenPGP und wurde als freie Alternative zu PGP entwickelt. Zu PGP gibt es mittlerweile viele Erweiterungen des OpenPGP-Standard, so dass der reibungslose Austausch von Daten nicht garantiert ist.
Siehe auch
Weblinks
- Phil Zimmermann erfand PGP
- PGP Corporation entwickelt aktuelle Versionen freier und kommerzieller PGP Produkte
- PGP Deutschland AG Deutsche Niederlassung der PGP Corp mit Informationen und Support in deutscher Sprache
- OpenPGP Arbeitsgruppe entwickelt OpenPGP Standards RFC 2440, RFC 3156 und Nachfolger
- GNU Privacy Guard (GPG) ist Open Source Software als Ersatz für PGP
- DFN CERT Public Key Verzeichnis zum Eintragen und Nachschlagen von PGP-Schlüsseln
- Liste öffentlicher PGP Schlüsselserver
- Linkkatalog zum Thema PGP bei curlie.org (ehemals DMOZ)