PGP
Was ist PGP?
PGPPretty Good Privacy – ein 1991 von Phil Zimmermann entwickeltes Verfahren für Ende-zu-Ende-Verschlüsselung und digitale Signaturen von E-Mails, Dateien und Nachrichten.
PGP (Pretty Good Privacy) bietet Vertraulichkeit, Integrität und Authentifizierung über ein Hybridverfahren: Ein Per-Message-Symmetric-Key (typisch AES) verschlüsselt die Nutzdaten, der RSA- oder ECC-Public-Key des Empfängers verschlüsselt diesen Session Key. Digitale Signaturen binden die Nachricht an den Unterzeichner. Das OpenPGP-Format ist in RFC 4880 standardisiert und mit RFC 9580 (Crypto-Refresh, 2024) modernisiert, der AEAD (OCB, GCM) und aktualisierte Algorithmen einführt. Anders als das hierarchische X.509 von S/MIME nutzt PGP ein dezentrales Web of Trust, in dem Nutzer:innen Schlüssel gegenseitig signieren. Implementiert in GnuPG, OpenPGP.js, Sequoia-PGP u. a.; verbreitet für Software-Signaturen (Linux-Releases), Journalismus und Threat-Intel-Austausch.
● Beispiele
- 01
Ein Maintainer signiert das Release-Tarball mit dem OpenPGP-Schlüssel, damit Anwender:innen den Download verifizieren können.
- 02
Ein Journalist veröffentlicht den öffentlichen PGP-Schlüssel, damit Quellen verschlüsselte Dokumente senden.
● Häufige Fragen
Was ist PGP?
Pretty Good Privacy – ein 1991 von Phil Zimmermann entwickeltes Verfahren für Ende-zu-Ende-Verschlüsselung und digitale Signaturen von E-Mails, Dateien und Nachrichten. Es gehört zur Kategorie Netzwerksicherheit der Cybersicherheit.
Was bedeutet PGP?
Pretty Good Privacy – ein 1991 von Phil Zimmermann entwickeltes Verfahren für Ende-zu-Ende-Verschlüsselung und digitale Signaturen von E-Mails, Dateien und Nachrichten.
Wie funktioniert PGP?
PGP (Pretty Good Privacy) bietet Vertraulichkeit, Integrität und Authentifizierung über ein Hybridverfahren: Ein Per-Message-Symmetric-Key (typisch AES) verschlüsselt die Nutzdaten, der RSA- oder ECC-Public-Key des Empfängers verschlüsselt diesen Session Key. Digitale Signaturen binden die Nachricht an den Unterzeichner. Das OpenPGP-Format ist in RFC 4880 standardisiert und mit RFC 9580 (Crypto-Refresh, 2024) modernisiert, der AEAD (OCB, GCM) und aktualisierte Algorithmen einführt. Anders als das hierarchische X.509 von S/MIME nutzt PGP ein dezentrales Web of Trust, in dem Nutzer:innen Schlüssel gegenseitig signieren. Implementiert in GnuPG, OpenPGP.js, Sequoia-PGP u. a.; verbreitet für Software-Signaturen (Linux-Releases), Journalismus und Threat-Intel-Austausch.
Wie schützt man sich gegen PGP?
Schutzmaßnahmen gegen PGP kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für PGP?
Übliche alternative Bezeichnungen: Pretty Good Privacy, OpenPGP.
● Verwandte Begriffe
- network-security№ 446
GnuPG (GPG)
Freie Software-Implementierung des OpenPGP-Standards (RFC 4880, RFC 9580) zum Signieren, Verschlüsseln und Entschlüsseln von Daten, einschließlich E-Mails und Software-Paketen.
- network-security№ 955
S/MIME
IETF-Standard für Ende-zu-Ende-Signatur und -Verschlüsselung von MIME-E-Mails mit X.509-Zertifikaten einer öffentlichen oder Unternehmens-CA.
- network-security№ 330
DKIM
E-Mail-Authentifizierungsstandard nach RFC 6376, mit dem die Absenderdomain ausgehende Nachrichten kryptografisch signiert, sodass Empfänger Header- und Body-Integrität prüfen können.
- network-security№ 1159
TLS (Transport Layer Security)
Das von der IETF standardisierte Kryptoprotokoll, das Vertraulichkeit, Integrität und Authentizität für den Verkehr zwischen zwei Netzwerkanwendungen liefert.
- network-security№ 984
Secure Email Gateway
Perimeter- oder Cloud-Dienst, der eingehende und ausgehende E-Mails auf Spam, Phishing, Malware, Datenabfluss und Policy-Verstöße prüft, bevor sie das Postfach erreichen.
- network-security№ 878
Public-Key-Infrastruktur (PKI)
Gesamtsystem aus Richtlinien, Software, Hardware und vertrauenswürdigen Instanzen, das digitale Zertifikate ausstellt, verteilt, prüft und widerruft, die Identitäten mit öffentlichen Schlüsseln verknüpfen.