PGP/GPG

Sicher ist "sicher" nicht zwingend notwendig. Sicher ist "sicher" auch nicht "hundertprozentig sicher". Dennoch ist "sicher" sicher sicherer als "gar nicht sicher". Was aber noch zu beweisen wäre.

Notwendigkeit

Das Internet ist ein dezentrales Netzwerk, was zwar sehr viele Sicherheitsvorteile bringt - aber auch den Nachteil beinhaltet, dass an jedem Knotenpunkt und auf jedem Leitungsstrang Daten nicht nur vom Besitzer der Leitung abgehört, abgefangen und/oder verändert werden können. Das kann gerade bei eMails mit wichtigem oder persönlichem Inhalt problematisch werden, ist aber schon bei ganz "normalen" Mailverkehr eigentlich nicht schön. Wird die zu übertragende Mail verschlüsselt und/oder signiert, sind unerlaubtes Mitlesen und/oder Manipulationen quasi ausgeschlossen. Aus diesem Grund habe ich mittlerweile zwei PGP-Schlüssel zertifizieren lassen und online gestellt. Sie sind über die PGP-Keyserver ebenso abzufragen wie über meine Seiten als Text-Datei.

Geschichte...

PGP an sich wurde von Phil Zimmermann entwickelt und implementiert. Network Associates Inc. (NAI) hat das Produkt im Laufe der Zeit inklusive Entwickler übernommen und auf kommerzieller Basis weiterentwickelt sowie verschiedene Produkte (PGPdisk, PGPnet) in die NAI-Version integriert. Einige Features (besonders wohl die ADK-Geschichte und die starke Kommerzialisierung sowie fehlende Quelltexte zur aktuellen Version) stießen auf Ablehnung, obwohl Zimmermann (zu der Zeit und bis zur Version 7.0.3 Entwickler der Produktlinie PGP bei NAI) persönlich für die Integrität der Produkte garantierte. Zwar wurde der Source-Code bis zur Version 6.5.8 freigegeben, durfte jedoch nicht verändert werden (womit die Freigabe des Quellcodes auf die Kontrolle desselben durch die Anwender sowie die Möglichkeit der eigenen Kompilierung beschränkt wurde). Das wird aber scheinbar nicht so eng gesehen, es gibt eine so genannte "CKT"-Version (Cyber Knight Templar), die eine quellcode-modifizierte Version darstellt und die Benutzung spezieller Features oder Komponenten ermöglicht.

... und Zukunft

NAI stellte die Produktlinie "PGP" ein und verkaufte sie; auf pgp.com bzw. pgpi.com gibt es die aktuelle Software der neuen Entwickler.
Im Netz wird nicht erst seit den Wirrungen um PGP auf die OpenSource-Entwicklung "GnuPG" geschaut, die nicht nur die OpenPGP-Standards implementiert sondern auch noch auf die Benutzung patentierter Algorithmen verzichtet.
Besonders in der MS-Fenster-Welt ist GnuPG in Ermangelung eines beigelegten GUIs noch nicht sehr weit verbreitet, in Zusammenhang mit dem Programm "WinPT" oder bereits für einige Programme (in erster Linie Mail- oder Newsclients) entwickelten Plugins (Mozilla Thunderbird) ist es jedoch auch unter Windows relativ einfach und unkompliziert einsetzbar und allemal einen Blick wert.
GnuPG und WinPT wurden im Rahmen eines vom BMWi geförderten Projekts (GNU Privacy Project, GnuPP) zusammengefasst und kostenlos mit einem Installer im www zum Download bereitgestellt, wobei ein Update des WinPT-Teils von der (als ich GnuPP zuletzt sah beiliegenden) Version 0.5.5 auf die jeweils aktuelle Version aufgrund von Bugfixes, weiterer Funktionalität und verbesserter Stabilität dringend anzuraten ist.
Da nicht nur die Zukunft der Anwendung "PGP" zumindest mir persönlich recht ungewiss erscheint sondern gerade die Wirrungen und Eigentümer-Wechsel einen faden Beigeschmack hervorrufen, nutze ich mittlerweile fast ausschließlich GnuPG und bin vollständig zufrieden damit - PGP und GnuPG sind weitgehend kompatibel.

© mdiedrich.de - http://mdiedrich.de/?article=8 - 14.03.2014