Einleitung

OpenPGP ist ein standardisiertes Verfahren zum Verschlüsseln und Signieren von Daten. Grundsätzlich können mit OpenPGP eine Vielzahl von Daten verschlüsselt und signiert werden – auch über Kommunikation und E-Mail hinaus. Ein primäres Einsatzgebiet von OpenPGP ist das Signieren und Verschlüsseln von E-Mails.

Am einfachsten lässt sich OpenPGP nutzen, wenn man E-Mails mit einem speziellen E-Mail-Programm abruft. Nicht alle E-Mail-Programme unterstützen OpenPGP, bei vielen lässt es sich aber nachrüsten. Die vorherrschende OpenPGP-Implementierung ist GnuPG (GPG), es gibt aber auch andere Implementierungen.

In Konkurrenz zu OpenPGP steht das Verschlüsselungsverfahren S/MIME, das ebenfalls das Signieren und Verschlüsseln von E-Mails ermöglicht.

Hintergrund

OpenPGP basiert auf einem Zwei-Schlüssel-Verfahren. Mit einem öffentlichen Schlüssel werden die Nachrichten verschlüsselt, zum Entschlüsseln wird ein zweiter (geheimer) privater Schlüssel benötigt. Darüber hinaus ist auch eine einfache Signatur von E-Mails möglich.

Ursprünglich basierte die Schlüsselauthentifizierung auf einem Verfahren namens „Web of Trust“ (Netz des Vertrauens). Bei diesem Verfahren können Dritte den öffentlichen Schlüssel authentifizieren (d.h. bescheinigen, dass Schlüssel und Person zusammengehören). Eine Umstellung der Schlüsselserver-Infrastruktur vor einigen Jahren hat indirekt zur Abschaffung des „Web of Trust“ geführt. In älteren Anleitungen für PGP kann dieser Begriff jedoch noch vorkommen.

Der OpenPGP-Standard ist plattformunabhängig und für viele Betriebssysteme in unterschiedlichen Implementierungen verfügbar. Wichtig sind das seit 2010 zu Symantec gehörende kommerzielle PGP sowie die dominierende freie Implementierung GnuPG. Letztere wurde 2014 einer breiteren Öffentlichkeit bekannt, als der Hauptentwickler in einem dramatischen Appell auf die katastrophale Finanzierungssituation des Projekts hinwies. Im Zusammenhang mit der Heartbleed-Lücke in OpenSSL, die im Frühjahr 2014 für Aufsehen sorgte, führte dies zu einer kritischen Diskussion über das Missverhältnis zwischen den enormen Gewinnen großer IT-Unternehmen durch Open Source und dem mangelnden Engagement in der Entwicklung. Die Situation hat sich seither nicht grundlegend verbessert. Ein genereller Wechsel des Linux-Ökosystems zu einer anderen freien Implementierung wird immer wieder diskutiert.

Betriebssysteme

Linux

Die OpenPGP-Implementierung GnuPG bei allen nennenswerten Linux-Distributionen vorinstalliert. OpenPGP dient bei vielen Distributionen auch für anderen Aufgaben, wie z.B. die Signierung und Verifizierung der integrierten Paketverwaltung. Es ist daher sehr gut unterstützt.

macOS

OpenPGP ist bei macOS keine vorinstallierte Komponente. Es lässt sich aber auf systemebene einrichten und steht dann in diversen Programmen wie Apple Mail oder Finder zur Verfügung.

Windows

OpenPGP ist bei Windows keine vorinstallierte Komponente. Das Verfahren zur Implementierung der OpenPGP-Funktionalität steht in direkter Verbindung zum gewählten E-Mail-Programm, ist aber grundsätzlich für alle gängigen Programme möglich.

Mobile Systeme

Android

Das weit verbreitete Android kann allerdings mittels einer Kombination aus FairEmail oder K9 Mail und OpenKeychain E-Mails ver- und entschlüsseln.

iOS / iPadOS

Für iOS gibt es keine App, die PGP in die Mail-App integriert. Allerdings gibt es separate PGP-Apps für diese Plattformen (z. B. iPGMail), durch die eine manuell Ent- und Verschlüsselung von Text möglich ist, der dann mit der Mail-App verschickt werden kann. Die ermöglicht zumindest eine rudimentäre Nutzung.

Browserbasierte Verschlüsselung

Seit einigen Jahren ist es üblich, E-Mails nur noch im Webclient zu lesen und zu schreiben. Ein separates E-Mail-Programm gehört daher nicht mehr zwangsläufig zum Standardumfang eines Betriebssystems. Das Addon Mailvelope ermöglicht dennoch die Nutzung der PGP-Verschlüsselung. Mailvelope ist als Add-on für Mozilla Firefox und Google Chrome bzw. Chromium erhältlich.

Die Schlüsselverwaltung erfolgt im Mailvelope-Add-on, das nach der Installation die Internetseiten der Mailanbieter um Ver- und Entschlüsselungsbuttons erweitert. Die Nachricht wird in einem separaten Mailvelope-Fenster verfasst und anschließend automatisch verschlüsselt in den Texteditor des Mailclients übertragen. Zwar besteht bei einigen Diensteanbietern die Möglichkeit, direkt im Texteditor des Anbieters zu schreiben, dies kann jedoch die Sicherheit des Verfahrens gefährden, weshalb davon abgeraten wird.

Grundsätzlich erfolgt die Schlüsselverwaltung sowie die Ver- und Entschlüsselung lokal im Browser und nicht beim E-Mail-Anbieter, auch wenn diese Trennung durch eine geschickte Verzahnung nicht ganz so deutlich ist wie bei E-Mail-Programmen.