Die sichere Übermittlung vertraulicher Informationen per E-Mail (und auch über andere Online-Medien) kann sich oft wie eine geheime Mission anfühlen – ähnlich wie die Arbeit für die CIA. Was ist, wenn eine böswillige Person meine E-Mail abfängt und sie für unlautere Zwecke missbraucht? Bankdaten, Firmenunterlagen oder sogar das streng gehütete Rezept für Omas berühmtes Weihnachtsgebäck, an dem sich Generationen seit Jahrzehnten erfreuen. All dies könnte in falsche Hände geraten. Doch was wäre, wenn es eine Software gäbe, um dieses Problem zu entschärfen? Die Antwort auf diese Frage lautet Pretty Good Privacy. Das 1991 von Phil Zimmermann entwickelte und 1997 als offener Standard unter dem Namen OpenPGP veröffentlichte Verschlüsselungsprogramm eignet sich für die Verschlüsselung von Texten, Dateien, E-Mails oder ganzen Datenträgern.
Betrachten Sie es als Ihren digitalen Bodyguard.
Was genau ist PGP? Gehen wir auf Tuchfühlung.
Pretty Good Privacy (PGP), das wohl am weitesten verbreitete Softwarepaket für E-Mail- und Dateischutz, ist ein kryptografisches Verfahren zum Schutz privater E-Mails vor Hackern und anderen Anwendern – nur der beabsichtigte Empfänger kann den Inhalt öffnen und/oder anzeigen.
Seine Ziele erreicht PGP durch die Verwendung von zwei Schlüsseln oder kryptografischen mathematischen Standardformeln. Der erste Schlüssel, der sogenannte „öffentliche Schlüssel“, wandelt die Nachricht oder Rohdatei in einen unverständlichen Code um, den nicht einmal ein Silicon-Valley-Computerfreak entschlüsseln kann. Der Empfänger, der den zweiten Schlüssel benutzt, kann dann einen Entschlüsselungscode eingeben, um die Nachricht in lesbaren Text umzuwandeln. Dieser zweite Schlüssel ist der sogenannte „private Schlüssel“.
Wie funktioniert Pretty Good Privacy?
Nachdem Sie nun einen ersten Eindruck von PGP bekommen haben, sehen wir uns das einmal genauer an. PGP nutzt ein Schlüsselsystem, bei dem jeder Anwender einen privaten Schlüssel besitzt, der nur ihm selbst bekannt ist. Es verwendet eine Kombination aus symmetrischer und asymmetrischer Schlüsseltechnologie, Private-Key- und Public-Key-Kryptografie, um Daten bei der Übertragung über Netzwerke zu verschlüsseln. Dies mag ziemlich kompliziert erscheinen – verzweifeln Sie daher nicht, wenn Ihnen der Kopf schwirrt. Sehen wir uns am folgenden Beispiel einmal an, wie sich dies in der Realität abspielen könnte:
Nehmen wir an, Sie arbeiten für eine führende Nichtregierungsorganisation im Gesundheitsbereich und haben gerade einen Betrugsfall aufgedeckt, bei dem es um Millionen von Euro geht. Zu Ihrem Entsetzen erfahren Sie, dass die Unternehmensleitung diesen Plan mit Unterstützung einer Wirtschaftsprüfungsgesellschaft ausgeheckt und diese Machenschaften fast 10 Jahre lang geheim gehalten hat. Dies droht nicht nur den Namen der Organisation in Verruf zu bringen, sondern könnte auch die Gesundheitsversorgung der Zielgruppe in einer verarmten Gemeinde einschränken.
Ihr moralischer Kompass lässt Sie einfach nicht über diese große Ungerechtigkeit hinwegsehen. Sie möchten Katherine X, eine renommierte (und fiktive) Enthüllungsjournalistin in Ihrem Land, darauf aufmerksam machen, aber auch Ihre eigene Identität schützen und sicherstellen, dass diese Informationen die vorgesehene Empfängerin – und nur diese – erreichen.
Nachdem Sie von einem etwas paranoiden Freund von Pretty Good Privacy gehört haben, nutzen Sie Ihre bevorzugte Suchmaschine, um das Programm zu kaufen. Anschließend stellen Sie alle Ihre Erkenntnisse zusammen und wenden sich an Katherine, indem Sie ihr eine verschlüsselte E-Mail schicken – alles dank der Magie und Sicherheit von Pretty Good Privacy: „Hallo Katherine, ich habe gerade ein mögliches Betrugsdelikt im Zusammenhang mit XYZ aufgedeckt und möchte Sie darauf aufmerksam machen. Bitte lassen Sie mich wissen, ob Sie bereit wären, sich mit mir demnächst zu treffen, um diese Angelegenheit zu besprechen.“
Pretty Good Privacy erzeugt einen eindeutigen Sitzungsschlüssel, nachdem die Datei komprimiert wurde. Mithilfe der symmetrischen Kryptografie verschlüsselt dieser Schlüssel den Klartext und wandelt ihn in einen Chiffretext um. Sie können sich (ein wenig) entspannen, denn Ihre Kommunikation mit der Enthüllungsjournalistin ist jetzt sicherer und die Wahrscheinlichkeit, dass sie von den falschen Personen gelesen wird, ist sehr gering. Katherine X (die bei der Aufdeckung dieses Betrugs nichts unversucht lassen wird) erhält dann den Chiffretext, den verschlüsselten Sitzungsschlüssel und die digitale Signatur. Der Text, den die Journalistin erhält, könnte so aussehen:
y/masPq7TSrGUAeTY7Kcbjt5jKR/k37yVca0ZgRVn3ADSV0x3lznpJKx5siH91Hh3z2OrQObmp2Nco2U0+58
DPX2Seic5o+YaW+J8fsjNInEsqcncbbJ54OWb6wIGUf/PPXHdgH/Haisfv6vxt0gL1gDlt0X5aBftQLz6SgTaTe9
phV9M72hStbFCrMiXry8/EOwiuTuUpYrI6B1Cz1u0vWWZXsCYi2K+kasSusr+2Uj61NC9qjDHMblxCG+RsXC
Wie wird Katherine Ihre Nachricht lesen? Sie verwendet dafür ihren privaten Schlüssel. Dadurch wird der Code in sein ursprüngliches Format, d. h. in normalen Text, zurückversetzt. Und das Beste daran? Es ist unwahrscheinlich, dass jemand erfährt, dass Sie gerade zum Whistleblower geworden sind (natürlich außer Ihnen und Katherine X und der Katze, die auf Ihrem Schoß saß, als Sie die Nachricht am Computer geschrieben haben).
Wie installiere ich Pretty Good Privacy?
Sie haben also beschlossen, Nachrichten verschlüsselt zu versenden? So funktioniert es:
1) Wählen Sie Ihren PGP-Anbieter. Je nach Betriebssystem stehen mehrere zur Auswahl. Zu den beliebten Marken gehören:
- GPG4Win (Windows)
- GPGTools (macOS)
- Enigmail (Linux Ubuntu)
- OpenKeychain (Android)
- iPGMail (iOS-Mobilgeräte)
Suchen Sie einfach nach der aktuellen Version, laden Sie sie herunter (achten Sie hierbei darauf, dass sie direkt vom Hersteller oder einer sehr seriösen Alternative stammt!) und folgen Sie den Installationsanweisungen. Soweit also wie bei jedem anderen Programm, doch die Verwendung von PGP ist dann etwas aufwendiger.
2) Erstellen Sie einen PGP-Schlüssel – und lassen Sie sich nicht von der langen Liste von Anweisungen abschrecken. Es ist machbar, auch für Anfänger. Hier ein Beispiel für GPGTools für Mac:
- Wenn Sie die Software starten, erscheint das Pop-up-Fenster „Neues Schlüsselpaar erstellen“.
- Geben Sie Ihren Namen, Ihre E-Mail-Adresse und Ihr Passwort ein und klicken Sie auf „Schlüssel erstellen“. Wenn Sie ein Passwort erstellen, sollten Sie einen Passwort-Manager wie Avira Password Manager verwenden, mit dem Sie Passwörter sicherer erstellen, speichern und verwalten können.
- Es erscheint eine kurze Nachricht, dass Ihr Schlüssel erstellt wird. In einem zweiten Popup-Fenster wird bestätigt, dass der Vorgang erfolgreich war. (Sie können nun Ihren öffentlichen Schlüssel hochladen, indem Sie auf „Öffentlichen Schlüssel hochladen“ klicken, oder dies überspringen, indem Sie „Nein danke!“ wählen.) Ihr Schlüssel und sein Fingerabdruck werden jetzt angezeigt, wenn Sie die GPG-Keychain-App starten.
3) Erstellen Sie ein PGP Revocation Certificate (Sperrzertifikat), denn was passiert, wenn Sie Ihren privaten Schlüssel verlieren oder vergessen, oder er in unbefugte Hände gerät? Mit dem Revocation Certificate können Sie den Schlüssel widerrufen. Wählen Sie dazu einfach den PGP-Schlüssel aus, klicken Sie mit der rechten Maustaste darauf und wählen Sie im Menü „Create Revocation Certificate“ („Sperrzertifikat erstellen“).
Wie sicher ist Pretty Good Privacy und ist es das wert?
Sofern von Einzelpersonen und Mitarbeitern von Organisationen korrekt verwendet, gilt PGP als äußerst sicher, sodass der Name „Pretty Awesome Security“ („Wirklich fantastische Sicherheit“) passender wäre. Die Verschlüsselungsmethode verwendet Algorithmen, die im Allgemeinen als unknackbar gelten, sodass der Schutz mit PGP es Hackern nahezu unmöglich macht, Ihre Daten abzufangen.
Alles in allem kann die Verschlüsselung mit PGP ein leistungsfähiges Tool zum Schutz Ihrer Daten und Ihrer Online-Privatsphäre sein – und sogar zum Schutz Ihrer eigenen Sicherheit, wenn die von Ihnen weitergegebenen Daten in die falschen Hände geraten und Sie in Schwierigkeiten bringen. Doch in einem Zeitalter, in dem vieles mit einer einzigen Wischbewegung auf dem Mobiltelefon erledigt wird – von der Verabredung bis zum Kauf eines Kühlschranks –, kann sich die Nutzung von PGP als kompliziert und umständlich erweisen. Es hängt alles davon ab, wie viel Privatsphäre Sie wirklich brauchen, und wie viel Zeit Sie sich dafür nehmen. Für die meisten von uns gibt es andere, benutzerfreundlichere, kostengünstigere und sogar kostenlose Lösungen, die Ihnen helfen, Ihr digitales Leben zu schützen. Avira bietet eine Vielzahl von Produkten und Services rund um die Themen Sicherheit, Online-Datenschutz und Geräteleistung. Entdecken Sie zum Beispiel die Funktionen und Vorteile von Avira Free Security.
Dieser Artikel ist auch verfügbar in: EnglischFranzösischItalienisch
