"PGP" bedeutet Pretty Good Privacy und ist ein Programm zur Verschlüsselung von Daten und e-mails. Des weiteren können Dokumente mit einer elektronischen Unterschrift versehen werden. Dies gewährleistet, dass man die Nachricht wirklich von einem bestimmten Absender und nicht von dritten bekommen hat.

PGP arbeitet mit dem RSA Algorithmus und gilt als sehr sicher
(RSA steht für Rivest, Shamir und Adleman, die diesen Algorithmus zur Verschlüsselung von Daten entwickelt haben.
Bei diesem Verfahren wird der Schlüssel aus zwei großen Primzahlen errechnet. )

http://www.www-kurs.de/gloss_r.htm#RSA

Da mir die Erklärung auf http://www.www-kurs.de/pgp.htm als die am einfachsten zu verstehende scheint werde ich diese direkt übernehmen. Diese lautet wie folgt:

"Wenn Sie sich PGP besorgt und installiert haben, erzeugen Sie sich erst einmal ein Schlüsselpaar , bestehend aus dem öffentlichen Schlüssel(Public-Key) und dem privaten bzw. geheimen Schlüssel(Secret- oder Private-Key).
Der private Schlüssel wird nicht herausgegeben und muss sorgsam gehütet werden.
Jeder, der Ihnen eine mit PGP verschlüsselte Nachricht zukommen lassen will, benötigt hierfür Ihren öffentlichen Schlüssel .
Man spricht daher auch von einer Public-Key-Verschlüsselung. Die Nachricht wird vom Absender mit dem öffentlichen Schlüssel des Empfängers verschlüsselt und an ihn geschickt. Nur der Empfänger kann die für ihn bestimmte Nachricht mit seinem privaten Schlüssel entschlüsseln.
Im Gegensatz zu herkömmlicher Verschlüsselungstechnik werden keine "abhörsicheren Kanäle" gebraucht, durch die zwischen Sender und Empfänger die Schlüssel ausgetauscht werden. Außerdem muss man die öffentlichen Schlüssel nicht verstecken, was zusätzlich die Sicherheit des Verfahrens erhöht.

PGP kann über Prüfsumme der Schlüsselbits einen Fingerprint (Fingerabdruck) erzeugen. Bestätigt der Sender dem Empfänger diesen Fingerprint, so muss der Schlüssel echt sein.
Ein Fingerprint eines Schlüssels kann so aussehen: F9 E5 BA B3 36 CE CC 1E CE CC 43 12 3D 16 26 57 86 F5

Ähnlich den Nummern auf Sicherheitsschlüsseln gibt es für jeden Key eine eindeutige Key-ID, also eine Schlüsselnummer.
Es ist eine Ziffer, die mit '0x' anfängt, z.B.: 0x21F1B8E1 "



Wenn Lucy eine verschlüsselte E-Mail an Charly schicken will, benötigt sie seinen öffentlichen Schlüssel. Diesen bekommt sie entweder per E-mail von Charlie selber oder holt ihn von einem Keyserver, sofern er dort hinterlegt ist. Jeder hat an seinem "Schlüsselbund" sein eigenes Schlüsselpaar und ein oder mehrere öffentlichen Schlüssel von möglichen Adressaten.
Charlie kann an alle 3 anderen eine verschlüsselte Botschaft schicken, Woodstock nur an Snoopy.
Die öffentlichen Schlüssel werden zusammen mit der zugehörigen E-Mail-Adresse auf dem eigenen Rechner gespeichert.

Geschichte:

Geschrieben wurde PGP von Phillip Zimmermann 1991, mit dem Ziel auch privaten Personen die Möglichkeit zu geben verschlüsselte Nachrichten zu schreiben und empfangen, ohne dass Geheimdienste diese überprüfen können.

Die Firma PGP Corporation stellte einige Versionen für nicht kommerzielle Nutzung selber her, bis 1997 McAfee die PGP Corporation aufkaufte um sie in die eigene Produktpallette eingliedern zu können. da die Weiterentwicklung des Produktes nicht mit dem nötigen Engagement betrieben wurde und Quelltexte nicht immer frei zugänglich waren und Features implementiert wurden, welche die automatische Verschlüsselung an einen weiteren Empfänger ermöglichten (ADK), geriet PGP in die Kritik.

So verkaufte McAfee 2002 alle rechte an eine neue PGP Corporation bestehend aus einer Gruppe rund um Erfinder Phillip Zimmermann. Ab sofort wurden die Quelltexte wieder offengelegt und es wurde abermals erfolgreich gearbeitet und weiterentwickelt.

Nicht zuletzt wegen der intransparenten Situation in der Zeit, in der PGP im Eigentum der McAfee war, wurde bis 1998 der OpenPGP-Standard (RFC 2440) entwickelt. Das unter der GNU-GPL stehende Programm GnuPG war ursprünglich die erste Implementation von OpenPGP und wurde als freie Alternative zu PGP entwickelt. Zu PGP gibt es mittlerweile viele Erweiterungen des OpenPGP-Standards, so dass der reibungslose Austausch von Daten nicht immer garantiert ist.

http://de.wikipedia.org/wiki/Pretty_Good_Privacy

Die offizielle PGP Homepage bietet wertvolle Informationen zu den Produkte, Service und Support und vieles mehr. Ausserdem kann hier auch die neueste Version downgeloadet werden, siehe http://www.pgpi.org/ .

Sehr interessantes zum Thema Sicherheit von PGP habe ich auf der Seite http://pgp.gildemax.de/ gefunden. Hierbei wird die Frage ob PGP bzw. GnuPG unknackbar ist wie folgt beantwortet:


"Nein ! Man kann kann den Code schon knacken , nur ist der Aufwand enorm ! Im Jahre 1977 wurde ein Wettbewerb von den Entwicklern des RSA-Algorithmus veranstaltet ! Die Nachricht wurde mit einer 429 Bit Zahl verschlüsselt. Nach damaliger Technik sollte es 40 Billiarden Jahre dauern, bis jemand den Code knacken würde. Im Jahre 1994 wurde der Code in 8 Monaten Arbeit von einem weltweit kooperierenden Team geknackt, das über das Internet verbunden war und über 1600 Rechner benutzte."

Eine sehr genaue und Detailreiche Beschreibung der Funktion und Nutzung von PGP findet sich auf http://www.belwue.de/spots/spots-98/4PGP.html
Hier wird auch auf etwaige Probleme eingegangen, u.a. auch darauf dass PGP nicht kommerziell verwendet werden darf, was zu rechtlichen Problemen führen kann. Auch gibt es ( vor allem in den USA )interessante nationalstaatliche Beschränkungen.
Diese werden im Folgenden teil so erläutert:

"Noch ein paar Worte zu den rechtlichen Problemen, die ständig im Zusammenhang mit PGP auftreten: Zum einen gibt es patentrechtliche Probleme, weil das IDEA-Verfahren von der schweizerischen Firma Ascom in Solothurn patentiert ist und bei kommerzieller Verwendung von PGP lizenziert werden muß. An Universitäten und von Privatpersonen darf es allerdings frei benutzt werden.

Ein weiteres Problem sind nationalstaatliche Beschränkungen von starken Kryptographie-Verfahren. So darf Kryptographie-Software mit Schlüsseln von über 64 Bit Länge beispielsweise nicht aus den USA exportiert werden. Wer es dennoch tut, macht sich des Schmuggelns von Munition schuldig. Würde PGP in den USA auf einen ftp-Server gelegt, läge derselbe Tatbestand vor wie bei der Mitführung einer Kiste Patronen im Fluggepäck! "

http://www.belwue.de/spots/spots-98/4PGP.html





Ich selbst habe es bisher nicht als notwendig erachtet Daten auf diese Weise zu verschlüsseln, da ich Dinge von enormer Wichtigkeit nach wie vor nicht online erledigen würde, und um mich auf meine eigene Recherche zum Thema absoluter Sicherheit zu beziehen, liege ich(zumindest im Moment) nicht ganz falsch.

Des weiteren muss ich aber zugeben, dass ich mich mit diesem Thema bisher nicht auseinandergesetzt habe.
Nach Besichtigung anderer Weblogs meiner Mitstudierenden habe ich nun auch selbst versucht praktisch mit PGP zu arbeiten, und habe nun, wenn es einmal nötig sein sollte auch die Möglichkeit verschlüsselte Nachrichte zu verfassen und zu empfangen.


Links/Quellen:

http://www.www-kurs.de/pgp.htm
http://de.wikipedia.org/wiki/Pretty_Good_Privacy
http://www.pgpi.org/
http://pgp.gildemax.de/
http://www.belwue.de/spots/spots-98/4PGP.html