OpenPGP ist ein standardisiertes Verfahren zum Verschlüsseln und Signieren von Daten. Grundsätzlich können mit OpenPGP eine Vielzahl von Daten verschlüsselt und signiert werden – auch über Kommunikation und E-Mail hinaus. Ein primäres Einsatzgebiet von OpenPGP ist das Signieren und Verschlüsseln von E-Mails.

Am einfachsten lässt sich OpenPGP nutzen, wenn man E-Mails mit einem speziellen E-Mail-Programm abruft. Nicht alle E-Mail-Programme unterstützen OpenPGP, bei vielen lässt es sich aber nachrüsten. Die vorherrschende OpenPGP-Implementierung ist GnuPG (GPG), es gibt aber auch andere Implementierungen.

In Konkurrenz zu OpenPGP steht das Verschlüsselungsverfahren S/MIME, das ebenfalls das Signieren und Verschlüsseln von E-Mails ermöglicht.

OpenPGP basiert auf einem Zwei-Schlüssel-Verfahren. Mit einem öffentlichen Schlüssel werden die Nachrichten verschlüsselt, zum Entschlüsseln wird ein zweiter (geheimer) privater Schlüssel benötigt. Darüber hinaus ist auch eine einfache Signatur von E-Mails möglich.

Ursprünglich basierte die Schlüsselauthentifizierung auf einem Verfahren namens „Web of Trust“ (Netz des Vertrauens). Bei diesem Verfahren können Dritte den öffentlichen Schlüssel authentifizieren (d.h. bescheinigen, dass Schlüssel und Person zusammengehören). Eine Umstellung der Schlüsselserver-Infrastruktur vor einigen Jahren hat indirekt zur Abschaffung des „Web of Trust“ geführt. In älteren Anleitungen für PGP kann dieser Begriff jedoch noch vorkommen.

Der OpenPGP-Standard ist plattformunabhängig und für viele Betriebssysteme in unterschiedlichen Implementierungen verfügbar. Wichtig sind das seit 2010 zu Symantec gehörende kommerzielle PGP sowie die dominierende freie Implementierung GnuPG. Letztere wurde 2014 einer breiteren Öffentlichkeit bekannt, als der Hauptentwickler in einem dramatischen Appell auf die katastrophale Finanzierungssituation des Projekts hinwies. Im Zusammenhang mit der Heartbleed-Lücke in OpenSSL, die im Frühjahr 2014 für Aufsehen sorgte, führte dies zu einer kritischen Diskussion über das Missverhältnis zwischen den enormen Gewinnen großer IT-Unternehmen durch Open Source und dem mangelnden Engagement in der Entwicklung. Die Situation hat sich seither nicht grundlegend verbessert. Ein genereller Wechsel des Linux-Ökosystems zu einer anderen freien Implementierung wird immer wieder diskutiert.

Seit einigen Jahren ist es üblich, E-Mails nur noch im Webclient zu lesen und zu schreiben. Ein separates E-Mail-Programm gehört daher nicht mehr zwangsläufig zum Standardumfang eines Betriebssystems. Das Addon Mailvelope ermöglicht dennoch die Nutzung der PGP-Verschlüsselung. Mailvelope ist als Add-on für Mozilla Firefox und Google Chrome bzw. Chromium erhältlich.

Die Schlüsselverwaltung erfolgt im Mailvelope-Add-on, das nach der Installation die Internetseiten der Mailanbieter um Ver- und Entschlüsselungsbuttons erweitert. Die Nachricht wird in einem separaten Mailvelope-Fenster verfasst und anschließend automatisch verschlüsselt in den Texteditor des Mailclients übertragen. Zwar besteht bei einigen Diensteanbietern die Möglichkeit, direkt im Texteditor des Anbieters zu schreiben, dies kann jedoch die Sicherheit des Verfahrens gefährden, weshalb davon abgeraten wird.

Grundsätzlich erfolgt die Schlüsselverwaltung sowie die Ver- und Entschlüsselung lokal im Browser und nicht beim E-Mail-Anbieter, auch wenn diese Trennung durch eine geschickte Verzahnung nicht ganz so deutlich ist wie bei E-Mail-Programmen.