OpenPGP ist ein standardisiertes Verfahren zur Verschlüsselung und Signatur von Daten. Grundsätzlich können mit OpenPGP eine Vielzahl von Daten verschlüsselt und signiert werden – auch über Kommunikation und E-Mail hinaus. Ein primäres Einsatzgebiet von OpenPGP ist das Signieren und Verschlüsseln von E-Mails.

Der einfachste Weg, OpenPGP zu nutzen, ist das Abrufen von E-Mails mit einem speziellen E-Mail-Programm. Nicht alle E-Mail-Programme unterstützen OpenPGP, viele lassen dieses aber nachrüsten. Die vorherrschende OpenPGP-Implementierung ist GnuPG (GPG), es gibt aber auch andere Implementierungen.

In Konkurrenz zu OpenPGP steht das Verschlüsselungsverfahren S/MIME, das ebenfalls das Signieren und Verschlüsseln von E-Mails ermöglicht.

OpenPGP basiert auf einem Zwei-Schlüssel-Verfahren. Mit einem öffentlichen Schlüssel werden Nachrichten verschlüsselt, zum Entschlüsseln wird ein zweiter (geheimer) privater Schlüssel benötigt. Zusätzlich ist eine einfache Signatur von E-Mails möglich.

Ursprünglich basierte die Schlüsselauthentifizierung auf einem Verfahren namens „Web of Trust“ (Netz des Vertrauens). Bei diesem Verfahren können Dritte den öffentlichen Schlüssel authentifizieren (d.h. bestätigen, dass Schlüssel und Person zusammengehören). Eine Änderung der Schlüsselserver-Infrastruktur vor einigen Jahren hat indirekt zur Abschaffung des „Web of Trust“ geführt. In älteren PGP-Anleitungen kann dieser Begriff jedoch noch vorkommen.

Der OpenPGP-Standard ist plattformunabhängig und für viele Betriebssysteme in verschiedenen Implementierungen verfügbar. Wichtig sind das seit 2010 zu Symantec gehörende kommerzielle PGP sowie die dominierende freie Implementierung GnuPG. Letztere wurde 2014 einer breiteren Öffentlichkeit bekannt, als der Hauptentwickler in einem dramatischen Appell auf die katastrophale Finanzierungssituation des Projekts hinwies. Im Zusammenhang mit der Heartbleed-Lücke in OpenSSL, die im Frühjahr 2014 für Aufsehen sorgte, führte dies zu einer kritischen Diskussion über das Missverhältnis zwischen den enormen Gewinnen, die große IT-Unternehmen mit Open Source erzielen, und dem mangelnden Engagement für die Weiterentwicklung. Die Situation hat sich seitdem nicht grundlegend verbessert. Ein genereller Wechsel vom Linux-Ökosystem zu einer anderen freien Implementierung wird immer wieder diskutiert.

Seit einigen Jahren ist es üblich, E-Mails nur noch im Webclient zu lesen und zu schreiben. Ein separates E-Mail-Programm gehört daher nicht mehr zwangsläufig zum Standardumfang eines Betriebssystems. Das Addon Mailvelope ermöglicht dennoch die Nutzung der PGP-Verschlüsselung. Mailvelope ist als Add-on für Mozilla Firefox und Google Chrome bzw. Chromium erhältlich.

Die Schlüsselverwaltung erfolgt im Mailvelope-Add-on, das nach der Installation die Internetseiten der Mailanbieter um Ver- und Entschlüsselungsbuttons erweitert. Die Nachricht wird in einem separaten Mailvelope-Fenster verfasst und anschließend automatisch verschlüsselt in den Texteditor des Mailclients übertragen. Zwar besteht bei einigen Diensteanbietern die Möglichkeit, direkt im Texteditor des Anbieters zu schreiben, dies kann jedoch die Sicherheit des Verfahrens gefährden, weshalb davon abgeraten wird.

Grundsätzlich erfolgt die Schlüsselverwaltung sowie die Ver- und Entschlüsselung lokal im Browser und nicht beim E-Mail-Anbieter, auch wenn diese Trennung durch eine geschickte Verzahnung nicht ganz so deutlich ist wie bei E-Mail-Programmen.