PGP "Pretty Good Privacy"
PGP ist ein Programm, mit dem man alle Dateiarten verschlüsseln kann.
Es wird vor allem zur Verschlüsselung von E-Mails und anderer Daten, die über Netzwerke versendet werden, benutzt.
Darüber hinaus kann man mit PGP Texte mit einer digitalen Signatur versehen, um auch im elektronischen Bereich eine Überprüfung der Authentizität zu ermöglichen. Sowohl zur Verschlüsselung als auch zur Signierung setzt PGP dabei mathematische Verschlüsselungsmethoden, sogenannte kryptografische Algorithmen, ein. Diese sind in der Kryptografie als sicher anerkannt, vor Entschlüsselung der originalen Daten durch nicht authorisierte dritte Parteien.

Zur Verschlüsselung und Signierung bedient sich PGP des asymmetrischen Verschlüsselungsverfahrens und der Idee des "Web of Trust".

Das bedeutet jeder PGP-Benutzer hat zwei zusammengehörende Schlüssel.
Mit dem Private Key werden verschlüsselte Nachrichten entschlüsselt (nur die an Sie adressierten) und Ihre digitalen Signaturen erzeugt. Dieser Schlüssel darf also nicht veröffentlicht werden, sondern muß gut aufbewahrt sein.
Mit dem Public Key werden die Nachricht verschlüsselt oder die Signatur eines Absenders überprüft. Man braucht für jedem Empfänger der eine Verschlüsselte Datei/ Text bekommen soll dessen Public Key (da man mit dem Schlüssel von Person X auch nur Dateien für die Person X verschlüsseln kann). Es ist also wichtig seinen Public Key an die Kommunikationspartner zu verteilen zum Beispiel auf der Website (man kann aus dem Public Key den Private Key nicht berechnen!).
TOP

Ihr Schlüsselbund besteht aus dem "secring.skr" (für den privaten Schlüssel) und dem "pubring.pkr" (für die gesammelten öffentlichen Schlüsseln der Kommunikationspartner). Das Programm PGP vereinfacht hier die Übersicht. Wenn man mit dem Public Key entschlüsseln oder signieren will, muss man vorher sein gewählte Passphrase (Passwort) eingeben. Dieses sollte min. 8 Zeichen lang sein und darf natürlich nicht verloren gehen.

Nun kann man bei Erhalt eines Public Key von einem Kommunikationspartner nicht unterscheiden ob dieser nicht doch von einer dritten Person stamm, der Sie dann anschließend wertvolle und vertauenswürdige Daten verschlüsselt übermitteln. Dafür ist es sinnvoll seine PGP Schlüssel von seriösen Zertifizierungsstellen ("Certification Authorities") zertifizieren zu lassen. Diese bestätigen dann entsprechend ob die Signatur oder der Public Key vertrauenswürdig sind.

Die Zertifizierungsserver der internationalen Domain pgp.net können im PGP-Client eingetragen werden, um die Authentifizierungsabfragen zu automatisieren. Dafür tragen Sie bitte unter Edit -> Preferences -> Server folgende Werte ein: Server Name: blackhole.pca.dfn.de Port: 11371 Protocol: HTTP Dies bietet auch den großen Vorteil zertifizierte Signaturen von bisher unbekannten Personen zu vertrauen. Seriöse Zertifizierungsstellen (CA's) müssen dem Signaturgesetz und der Signaturverordnung entsprechen, d. h. auf gesetzlich vorgeschriebenem Wege arbeiten. Bei den CA's ist es oft notwendig, persönlich mit dem Personalausweis oder gar einer notariellen Bestätigung zu erscheinen, damit diese den eigenen Public Key zertifizieren.
Privat geht dies über den Heise Verlag recht einfach.
TOP

Zertifizierungsstellen Certification Authorities:
die PGP-CA der Zeitschrift c't
die PGP 2.6.3in-CA des Individual Networks
die DFN-CA des Deutschen Forschungsnetzes
die Firma TC TrustCenter for Security
die CA des GeFoekoM e.V. / AK Datenschutz

Links:
hier eine sehr gute deutsche Anleitung zu PGP
und hier noch ein weiterer Link zu PGP
The International PGP Home Page (download)
TOP

Viel Spaß im "Web of Trust"