PGP und GPG - was ist das?
Gerade Neulinge werden von den diversen Ausdrücken und Abkürzungen gerne mal verwirrt. Am wichtigsten sind wohl die immer wiederkehrenden Buchstaben PGP und GPG (oder GnuPG). Bevor wir zur Praxis übergehen also ein klein wenig (!) Theorie:
Pretty Good Privacy (PGP) ist ein von Phil Zimmermann entwickeltes Programm zur Verschlüsselung von Daten. Es benutzt das sog. Public Key-Verfahren, d.h. es gibt ein eindeutig zugeordnetes Schlüsselpaar: Einen öffentlichen, mit dem jeder die Daten für den Empfänger verschlüsseln kann, und einen geheimen privaten Schlüssel, den nur der Empfänger besitzt und der durch ein Kennwort geschützt ist. Nachrichten an einen Empfänger werden mit seinem öffentlichen Schlüssel kodiert und können dann nur durch den privaten Schlüssel des Empfängers geöffnet werden. Diese Verfahren werden auch asymmetrische Verfahren genannt, da Sender und Empfänger zwei unterschiedliche Schlüssel verwenden.
Phil Zimmermann schrieb die erste Version 1991. Sein Ziel war es, dass alle Bürger und insbesondere Bürgerbewegungen auch vor dem Zugriff durch Geheimdienste sicher verschlüsselte Nachrichten austauschen können (starke Verschlüsselung).
PGP durfte in seinen Anfangsjahren nicht lizenzfrei aus den USA exportiert werden, da es, ähnlich wie Waffen, unter das US-Exportgesetz fiel. Danach unterlagen Kryptosysteme mit Schlüsseln von mehr als 40 Bit Länge für die symmetrische Verschlüsselung besonderen Exportbestimmungen. Die ersten PGP-Versionen verwendeten den IDEA mit 128 Bit Schlüssellänge. Ende der 90er Jahre liberalisierten die USA diese Gesetze.
Um die Exportbeschränkung zu umgehen, wurde der vollständige Quellcode 1995 in dem Buch "PGP Source Code and Internals" von Phil Zimmermann veröffentlicht. Als Buch konnte die Software legal aus den USA exportiert werden. Es wurde von über 60 Freiwilligen per Hand eingescannt. Aus dem gescannten Programmcode wurde dann eine international verfügbare Version von PGP (PGPi) kompiliert.
Die Firma PGP Corporation stellte bis Version 8 mit PGP Freeware ein eigenständiges Produkt für nicht-kommerzielle Nutzer bereit. Seit Version 9 gibt es stattdessen nur noch die Testversion von PGP Desktop Professional 9. Für 30 Tage kann sie uneingeschränkt genutzt werden. Nach Ablauf der Frist werden Funktionsumfang und Nutzungsrechte auf einen Umfang reduziert, der etwa dem ehemaligen PGP Freeware entspricht. Ver- und Entschlüsselung von E-Mails ist auch nach Ablauf der Testphase möglich, aber nur für nicht-kommerzielle Zwecke zulässig.
Aufgrund der Tatsache, dass der Quelltext von PGP zeitweilig nicht offengelegt wurde und Features implementiert wurden, welche die automatische Verschlüsselung an einen weiteren Empfänger ermöglichten, wurde bis 1998 der OpenPGP-Standard entwickelt. Das unter der GNU-GPL stehende Programm GnuPG war ursprünglich die erste Implementation von OpenPGP und wurde als freie Alternative zu PGP entwickelt.
GnuPG hat sich zum Ziel gesetzt, einer möglichst großen Benutzergruppe die Verwendung von kryptographischen Methoden zur vertraulichen Übermittlung von elektronischen Daten zu ermöglichen.
Die Entwicklung von GnuPG wurde vom Bundesministerium für Wirtschaft und Arbeit (BMWA) und Bundesministerium des Innern (BMI) im Rahmen der Aktion "Sicherheit im Internet" unterstützt (siehe GNU Privacy Projekt), um eine frei verfügbare Verschlüsselungssoftware für jedermann zur Verfügung zu stellen. Inzwischen wurde die Unterstützung eingestellt.
Da der Quellcode jedermann offen steht, hat GnuPG gegenüber dem nicht vollständig offenen PGP deutliche Vorteile, z. B. kann (mit dem nötigen Wissen und entsprechendem Zeitaufwand) überprüft werden, dass man durch GnuPG selbst nicht ausspioniert wird.
[Quelle: WikiPedia und WikiPedia]
Das Hauptaugenmerk auf diesen Seiten lege ich auf GnuPG. Zwar mag PGP stellenweise einfacher zu bedienen sein, andererseits scheint mit GnuPG sowohl allgemein sicherer als auch zukunftsorientierter.