OpenPGP

OpenPGP ist ein standardisiertes Datenformat für verschlüsselte und digital signierte Daten. Auch wird das Format von Zertifikaten festgelegt, die landläufig auch als „Schlüssel“ bezeichnet werden.

Es basiert auf dem Format, das von PGP 5 eingeführt wurde, und ist im RFC 4880[1] standardisiert. Mit dem RFC 5581[2] wurde Camellia (ein weiterer symmetrischer Chiffrieralgorithmus) hinzugefügt. Das RFC 6637[3] ergänzte OpenPGP um Elliptic Curve Cryptography. Diese Erweiterungen sind aber ausdrücklich als „optional“ spezifiziert. Eine OpenPGP-konforme Anwendung ist also nicht gezwungen, diese beiden Erweiterungen zu implementieren.

Allgemeines

OpenPGP ist ein Binärformat. Eine OpenPGP-Nachricht besteht aus einem oder mehreren Datensätzen (englisch records), die aber aus historischen Gründen in der Originaldokumentation als packets, zu deutsch „Pakete“ bezeichnet werden.

Das PGP-Datenformat ist im Laufe der Zeit beständig erweitert worden und existiert in verschiedenen abwärtskompatiblen Versionen. Im Wesentlichen wird zwischen einem „alten“ Format (verwendet von PGP bis Version 2.6) und einem „neuen“ Format (ab PGP Version 3) unterschieden. Neuere PGP-Versionen können aber Nachrichten im alten Format lesen und – sofern der Inhalt auch im alten Format ausgedrückt werden kann – optional auch Nachrichten im alten Format erzeugen.

Jedes Paket beginnt mit einem packet tag genannten Byte, das den Typ und die Länge des nachfolgenden Pakets festlegt. Folgende Pakettypen sind bisher spezifiziert:

OpenPGP-Pakettypen nach RFC 4880[1]
NummerTypBemerkungen
0ReserviertEin Paket mit diesem Typ ist nicht erlaubt.
1Public-Key Encrypted Session Key PacketEnthält den (mit dem Public Key des Empfängers verschlüsselten) Session Key genannten Schlüssel, mit dem die eigentlichen Nutzdaten (in Paket-Typ 9) verschlüsselt werden.
2Signature Packet
3Symmetric-Key Encrypted Session Key PacketEnthält den (mit einem symmetrischen Kryptoalgorithmus verschlüsselten) Schlüssel, mit dem die eigentlichen Nutzdaten (in Paket-Typ 9) verschlüsselt werden.
4One-Pass Signature Packet
5Secret-Key PacketEnthält einen privaten Schlüssel
6Public-Key PacketEnthält einen öffentlichen Schlüssel
7Secret-Subkey Packet
8Compressed Data PacketEnthält Daten, die mit zlib (RFC 1950[4]), Deflate (RFC 1951[5]) oder Bzip2 komprimiert sind.
9Symmetrically Encrypted Data PacketCFB-verschlüsselte Daten
10Marker Packet
11Literal Data PacketEnthält unverschlüsselte Binär- oder Textdaten und einen Dateinamen, unter dem die Daten abgespeichert werden können.
12Trust Packet
13User ID PacketEnthält üblicherweise Namen und E-Mail-Adresse eines Schlüsselinhabers.
14Public-Subkey Packet
17User Attribute PacketEnthält weitere Metadaten zum Schlüsselinhaber, z. B. ein JPEG-Bild. Weitere Metadatentypen sind bisher nicht spezifiziert worden.
18Sym. Encrypted and Integrity Protected Data PacketKann statt Pakettyp 9 verwendet werden, um verschlüsselte Daten mit einem Schutz vor versehentlicher oder absichtlicher Veränderung zu erzeugen. Dieser Schutz (modification detection code, MDC genannt) ist kryptographisch schwächer als eine digitale Signatur oder ein MAC, aber einfacher zu erzeugen und besser als gar kein Schutz.
19Modification Detection Code PacketEnthält die SHA1-Prüfsumme des mit Pakettyp 18 verschlüsselten Datenstroms.
60 bis 63Private or Experimental Values

Da im „alten“ OpenPGP-Format nur 4 Bit zur Kodierung des Pakettyps zur Verfügung stehen, kann es nur die Pakettypen bis 15 beinhalten. Im „neuen“ Format stehen 6 Bit zur Kodierung des Pakettyps zur Verfügung, was zur Kodierung der möglichen Werte 0 bis 63 ausreicht.

Einige Pakettypen enthalten ihrerseits wiederum eine Versionskennung, wobei die Art und Anzahl der Dateninhalte i. d. R. mit steigender Versionsnummer zunehmen.

Verschlüsselung

Die Nutzdaten werden stets mit einem symmetrischen Verschlüsselungsalgorithmus und einem zufälligen „Session Key“ verschlüsselt und in einem Paket vom Typ 9 abgelegt. Dieser „Session Key“ wird nun wiederum asymmetrisch (Paket Typ 1) oder symmetrisch (Paket Typ 3) verschlüsselt und den verschlüsselten Nutzdaten vorangestellt. Damit zählt OpenPGP zu den hybriden Verfahren.

Paket Typ 1: „Public-Key Encrypted Session Key“

Eine verschlüsselte OpenPGP-Nachricht kann kein, ein oder mehrere Pakete vom Typ 1 enthalten. Üblicherweise wird für jeden Empfänger einer OpenPGP-Nachricht je ein Paket vom Typ 1 erzeugt.

Ein Typ-1-Paket enthält folgende Daten:

  • Eine Versionskennung, derzeit ist nur Version 3 definiert
  • Eine 8 Byte lange Key-ID des Schlüssels, so dass ein Empfänger einfacher das für ihn bestimmte Paket finden kann. Es ist aber auch möglich, eine Null-ID anzugeben, so dass der Empfänger alle verfügbaren privaten Schlüssel durchprobieren muss.
  • 1 Byte, das den verwendeten Public-Key-Algorithmus codiert (siehe Tabelle)
  • Den verschlüsselten Session-Key

Folgende Public-Key-Algorithmen sind möglich:

Public-Key-Algorithmen
IDAlgorithmusBemerkungen
1RSAzum Verschlüsseln und Signieren
2RSAnur zum Verschlüsseln
3RSAnur zum Signieren
16Elgamalnur zum Verschlüsseln
17DSAnur zum Signieren
18ECDHdefiniert in RFC 6637[3]
19ECDSAdefiniert in RFC 6637[3]
20reserviert
21reserviert für Diffie-Hellmannach ANSI X9.42, wie für IETF-S/MIME definiert
100 … 110reserviert für private / experimentelle Algorithmen

Für ECC-Schlüssel existieren verschiedene elliptische Kurven. Diese werden anhand ihrer OID identifiziert, so dass das Hinzufügen neuer Kurven keine Änderung am OpenPGP-Standard erfordert.

ECC-Kurven für OpenPGP
NameBitlängeOIDBemerkungen
NIST curve P-2562561.2.840.10045.3.1.7definiert in RFC 6637[3]
NIST curve P-3843841.3.132.0.34
NIST curve P-5215211.3.132.0.35
Ed255192551.3.6.1.4.1.11591.15.1seit GnuPG 2.1.0, noch kein RFC
Brainpool P256r12561.3.36.3.3.2.8.1.1.7
Brainpool P384r13841.3.36.3.3.2.8.1.1.11
Brainpool 512r15121.3.36.3.3.2.8.1.1.13
secp256k12561.3.132.0.10seit GnuPG 2.1.0[6]

Paket Typ 3: „Symmetric-Key Encrypted Session Key“

Eine verschlüsselte OpenPGP-Nachricht kann kein, ein oder mehrere Pakete vom Typ 3 enthalten. Diese werden genutzt, um den Session Key nicht mit dem Public Key des Empfängers zu verschlüsseln, sondern mit einem symmetrischen Key, der aus einer Passphrase erzeugt wird. Pro Passphrase wird dabei je ein Paket vom Typ 3 erzeugt.

Ein Typ-3-Paket enthält folgende Daten:

  • Eine Versionskennung. Derzeit ist nur Version 4 definiert.
  • Ein Byte, das den symmetrischen Chiffrier-Algorithmus codiert
  • Eine Kennung variabler Länge, die angibt, wie der Schlüssel aus der Passphrase abgeleitet wird („string-to-key specifier“)
  • gegebenenfalls der mit dem o. g. Verfahren verschlüsselte Session-Key
Symmetrische Chiffrier-Algorithmen
IDAlgorithmusSchlüssellängeBemerkungen
0unverschlüsseltfür Paket Typ 3 nicht erlaubt
1IDEA128 Biteinziger Algorithmus in PGP 2.6
2TripleDES (DES-EDE)168 Bitmuss laut RFC implementiert werden
3CAST5128 BitDefault-Algorithmus in GnuPG 2.0
4Blowfish128 Bit16 Runden
5 … 6reserviert
7AES128 BitDefault-Algorithmus seit GnuPG 2.1
8192 Bit
9256 Bit
10Twofish256 Bit
11Camellia128 Bitdefiniert seit RFC 5581[2]
12192 Bit
13256 Bit
100 … 110reserviert für private / experimentelle Algorithmen

Alle Algorithmen außer TripleDES sind allerdings optional, eine standardkonforme Implementierung muss nur TripleDES beherrschen. RFC 4880[1] empfiehlt, dass jede Implementierung CAST5 und AES-128 beherrscht.

Anwendungen

Zwei der Hauptanwendungen sind die Signierung und die Verschlüsselung von E-Mails. Dafür müssen OpenPGP-Nachrichten geeignet kodiert werden, da eine E-Mail nach RFC 5322[7] nur aus druckbaren Zeichen aus dem ASCII-Zeichensatz und einigen wenigen Steuerzeichen bestehen darf.

Hierfür gibt es im Wesentlichen zwei Formate:

  • das ältere PGP/INLINE als Kompatibilitätsformat
    • Auch nutzbar (wenn auch nicht unproblematisch) mit Mailprogrammen, die OpenPGP nicht kennen (auch Webmail). Die E-Mail wird dabei von ihrer Struktur her als gewöhnliche Textmail erzeugt (Content-Type: text/plain), die verschlüsselten Text als Radix-64-kodierten Text enthält (Base64 plus Prüfsumme; ursprüngliches Textformat von PGP); signierter Text wird als Klartextsignatur eingefügt (Einleitungszeile, normaler Text, Signaturdaten als Radix-64). Dies ermöglicht nur das Signieren und Verschlüsseln einfachen Mailtextes (Mailbody).
    • Für HTML-Mails gibt es keine entsprechende Möglichkeit.
    • Dateianhänge können aber vorab verschlüsselt und/oder signiert werden (das übernehmen die Mailprogramme; im Fall von Webmail muss man das ohne entsprechendes Browser-Addon selber machen). Allerdings garantieren die Signaturen dann nicht die Integrität der Mail insgesamt. Signierte Teile können unbemerkt entfernt werden, in anderem Zusammenhang signierte Daten können hinzugefügt werden (was nur auffiele, wenn man sich die Mühe machte, die Zeitstempel der einzelnen Signaturen zu vergleichen).
    • Einer der Nachteile von PGP/Inline ist, dass Mailprogramme, die OpenPGP nicht verstehen, die Signatur im Text anzeigen, was viele Empfänger verwirrt.
  • PGP/MIME als saubere technische Lösung (MIME-Erweiterung nach RFC 3156[8])
    • Dieses Verfahren deckt auch Dateianhänge und HTML-Mails ab. Für den Mailbody und alle Anhänge kann jeweils einzeln festgelegt werden, ob sie verschlüsselt und/oder signiert werden sollen; es wird technisch nur eine Signierung und/oder Verschlüsselung vorgenommen (bei PGP/Inline für den Textteil und jeden Dateianhang gesondert).
    • Auch dieses Verfahren schützt aber nur den Inhalt der Mail, nicht ihre Kopfdaten (vor allem Absender, Empfänger, Betreff, Datum).
    • Der Nachteil von PGP/MIME ist, dass Mailprogramme (oder Webmail-Implementierungen), die nicht einmal den grundlegenden Standard von 1995 (RFC 1847[9]) unterstützen, der das grundsätzliche E-Mail-Format für verschlüsselte oder signierte Inhalte festlegt, im Zweifelsfall eine leere Mail mit Dateianhängen anzeigen, was noch irritierender und noch weniger benutzerfreundlich ist als eine Radix-64-Signatur im Text.

Manche Mailprogramme bieten die Möglichkeit, für die Adressbucheinträge festzulegen, in welchem Format OpenPGP-Nachrichten an die jeweilige Adresse geschickt werden sollen. Auf diese Weise kann man die Nachteile beider Verfahren minimieren.

OpenPGP und S/MIME (welches X.509-Zertifikate verwendet) sind die beiden wichtigsten Standards für E-Mail-Verschlüsselung. Eine weitere Hauptverwendung von OpenPGP ist die Absicherung der Softwareverteilung (Paketverwaltung) von z. B. Linux durch digitale Signaturen.

Geschichte

Entstanden ist OpenPGP im Jahr 1998 als Reaktion auf diverse Entwicklungen:

  • Die in PGP verwendeten Algorithmen (IDEA und RSA) waren patentiert und konnten nicht beliebig verwendet werden. Insbesondere gab es in den USA Gesetze, die den Export von starker Verschlüsselung (ab 40 Bit) verboten.
  • Das Programm PGP wurde kommerziell durch die Firma PGP Inc. vertrieben, und es gab unbelegte Gerüchte, dass eine Hintertür in das Programm eingebaut sei, da es über eine sogenannte ADK-Funktion (Additional Decryption Key) verfügte.
  • Ende 1997 wurde PGP Inc. von Network Associates Inc. (NAI) bzw. McAfee übernommen, die zeitweilig den PGP-Quelltext verschlossen hielten, ADK-Funktionen einbauten und Mitglied der Key Recovery Alliance waren.

Das OpenPGP-Format wird mittlerweile von vielen Produkten implementiert. Prominente Vertreter sind das kommerzielle PGP und das freie Open-Source-Programm GnuPG (unter der GNU-GPL stehend).

Das ebenfalls weit verbreitete S/MIME-Format verwendet dagegen X.509-Zertifikate und ist deshalb grundsätzlich nicht kompatibel zu OpenPGP, auch wenn es auf unterster Ebene dieselben kryptografischen Verfahren verwendet. Es existieren Programme, welche OpenPGP-Schlüssel im RSA-Format in X.509-Schlüssel umwandeln können (und umgekehrt: pem2openpgp aus dem monkeysphere-Paket); diese Konvertierung betrifft aber nur das rohe Schlüsselmaterial, die Zertifizierungen durch Dritte gehen verloren. Auch eine Verwendung derselben Schlüssel für SSH ist (etwa mittels GnuPG) möglich.

Kryptographische Verfahren

Verschlüsselung

OpenPGP benutzt eine hybride Verschlüsselung, die die Vorteile asymmetrischer Kryptosysteme (sichere Schlüsselübertragung) mit denen symmetrischer Kryptosysteme (hohe Geschwindigkeit) kombiniert.

Statt wie bei einem symmetrischen System nur einen Schlüssel sowohl für Ver- als auch Entschlüsselung zu verwenden, besteht bei einem asymmetrischen System ein Schlüsselpaar aus zwei zusammengehörigen Schlüsseln, einem öffentlichen und einem geheimen. Daten, die mit dem öffentlichen Schlüssel verschlüsselt wurden, können nur mit dem geheimen Schlüssel wieder entschlüsselt werden; es ist nicht möglich, die Verschlüsselung mit dem öffentlichen Schlüssel aufzuheben. Mit dem asymmetrischen Verfahren wird ein symmetrischer Sitzungsschlüssel verschlüsselt, mit dem wiederum die eigentlichen Daten verschlüsselt werden.

Die symmetrische Verschlüsselung erfolgt stets mit einem modifizierten CFB-Modus. Dabei besteht der eigentliche Initialisierungsvektor nur aus Nullbytes, dafür werden dem Klartext 10 (bei Blockchiffren mit 64 Bit Blockgröße) bzw. 18 (bei 128 Bit Blockgröße) Bytes vorangestellt. Diese bestehen aus einem Block Zufallsdaten und der Wiederholung der ersten beiden Zufallsbytes. Durch diese Redundanz kann beim Entschlüsseln (mit einer Fehlerwahrscheinlichkeit von 1:65536 = 0,0015 %) erkannt werden, ob mit dem richtigen Schlüssel entschlüsselt wurde.

Signatur

Neben der Verschlüsselung unterstützt OpenPGP auch digitale Signaturen, mit denen Empfänger die Integrität von Nachrichten feststellen können. Dazu wird vom Absender eine Prüfsumme (auch Hash-Wert genannt) der Daten gebildet, aus der dann mit dem privaten Schlüssel die Signatur gebildet wird (die signierten Daten bleiben unangetastet). Der Empfänger kann die Signatur mit dem öffentlichen Schlüssel des Absenders prüfen.

Algorithmen

OpenPGP ist gegenwärtig in RFC 4880[1] standardisiert, dem Nachfolger von RFC 2440.[10] RFC 4880 legt fest, dass eine Implementierung das Elgamal-Verschlüsselungsverfahren, DSA, Triple DES und SHA-1 unterstützen muss. Weiterhin wird dort empfohlen, dass Implementierungen die in PKCS #1 v1.5 beschriebenen, auf dem RSA-Kryptosystem basierenden, Verschlüsselungs- und Signaturverfahren, sowie AES-128, CAST-128 und IDEA unterstützen. Darüber hinaus gibt es eine Vielzahl weiterer Verfahren, die mit OpenPGP verwendet werden dürfen. Der Standard wurde 2009 durch RFC 5581[2] um Camellia erweitert. 2012 fügte RFC 6637[3] Unterstützung von Elliptic Curve Cryptography (ECDSA, ECDH) hinzu.

Schlüsselbeglaubigung

Öffentliche Schlüssel können von anderen Schlüsselinhabern signiert („zertifiziert“) werden. Der Signierende/Zertifizierer belegt damit, dass er sowohl den Schlüssel (also den Fingerprint) als auch die im Schlüssel enthaltene User-ID überprüft hat (wofür es jedoch keine festen Regeln gibt). Hat ein öffentlicher Schlüssel mehrere User-IDs, dann müssen diese einzeln zertifiziert werden. Im Gegensatz zu S/MIME basiert diese Signierung jedoch nicht auf einem hierarchischen System, bei der nur eine übergeordnete Stelle Schlüssel untergeordneter Stellen signieren darf, sondern aus einem Netz des Vertrauens (Web of Trust), in dem jeder Teilnehmer die Schlüssel anderer signieren kann. Die mit der Signatur (implizit) gemachte Aussage über die Echtheit des Schlüssels und der jeweiligen Identität (Name, E-Mail, Kommentar) ermöglicht es Dritten, die Authentizität des Zertifikats einzuschätzen. Vertraut zum Beispiel B den Zertifizierungen von A (entweder vollständig oder teilweise), könnte B auch dem öffentlichen Schlüssel des ihm unbekannten Teilnehmers C vertrauen, wenn dieser Schlüssel durch A zertifiziert wurde. Die Zertifizierung bezieht sich nur auf die Echtheit des Schlüssels; ob A auch den Zertifizierungen von C vertraut, ist aus der Signatur von A nicht ersichtlich und für die Zertifizierung von C durch A unerheblich. Die Gültigkeit von Zertifikaten ist eine öffentliche Information, das Vertrauen der Nutzer in andere ist eine private Information. Schlüsselgültigkeit und Zertifizierungsvertrauen können dabei miteinander verwechselt werden.[11]

Eine weitere, einfachere Methode, die Echtheit eines Schlüssels zu prüfen, ist der Vergleich des Fingerabdrucks. Dabei handelt es sich um eine Prüfsumme der Schlüsseldaten (öffentlicher Hauptschlüssel plus dessen Generierungs-Zeitstempel) in hexadezimaler Form (zum Beispiel „72F0 5CA5 0D2B BA4D 8F86 E14C 38AA E0EB“), die sich leicht im direkten Gespräch, per Telefon oder per Brief vergleichen lässt.

Der öffentliche Schlüssel kann auch mit Hilfe der eID-Funktion des Personalausweises von der Firma Governikus im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik (BSI) beglaubigt werden.[12]

Wird der öffentliche OpenPGP-Schlüssel auf einen Schlüsselserver wie keys.openpgp.org oder keys.mailvelope.com hochgeladen, wird die mit dem Schlüssel verbundene E-Mail-Adresse per Bestätigungslink verifiziert.[13][14]

Aufbau der Zertifikate

OpenPGP-Zertifikate (der aktuellen Version 4) bestehen aus einer Reihe von Komponenten. Ihre Daten werden nicht in ihrer Gesamtheit zertifiziert, sondern in einzelnen Komponenten, teils vom Schlüsselbesitzer und von Dritten, teils nur vom Schlüsselbesitzer. Damit geht einher, dass sich ein Zertifikat im Lauf der Zeit ändern kann. Komponenten können hinzugefügt, geändert und gelöscht werden. Die wichtigsten Komponenten eines OpenPGP-Zertifikats sind:

  1. genau ein öffentlicher Hauptschlüssel (auf den sich der Fingerabdruck bezieht, der den Schlüssel insgesamt identifiziert), mit Erzeugungs- und ggf. auch Ablaufdatum
  2. eine oder mehrere User-IDs (Text zur Beschreibung des Benutzers, typischerweise im Format Vorname Nachname (Kommentar) <E-Mail-Adresse>, ggf. mit Ablaufdatum)
  3. eventuell vorhandene Unterschlüssel (ggf. mit Ablaufdatum)
  4. eventuell Zusatzinformationen zur Verwendung des Schlüssels (Präferenz von Hash- und Verschlüsselungsalgorithmen, bevorzugter Keyserver, URL einer Schlüsselrichtlinie)
  5. Signaturen des Schlüsselbesitzers oder von Dritten, die die Echtheit der genannten Komponenten bestätigen oder ihre Gültigkeit widerrufen; Signaturen haben ein Erzeugungs- und eventuell ein Ablaufdatum

Dritte signieren nur die Kombination aus Hauptschlüssel und einer User-ID; es muss daher jede User-ID einzeln signiert werden. Ob er alle User-IDs signiert, steht einem Dritten frei. Der Schlüsselbesitzer signiert alles. Unsignierte Komponenten sind wertlos und werden ignoriert. Dadurch kann der Besitzer eigenmächtig seine Präferenzen, Zusatzinformationen und Gültigkeitsdauern ändern. Er kann Unterschlüssel und User-IDs hinzufügen und widerrufen. Unterschlüssel werden von OpenPGP-Software automatisch akzeptiert (wenn sie eine Eigenzertifizierung haben), User-IDs dagegen nicht. Wenn man seinen Schlüssel von Dritten zertifizieren lässt und anschließend eine E-Mail-Adresse hinzufügt (die nicht von Dritten zertifiziert wird), dann erhalten die Verwender des Zertifikats eine Warnung, wenn sie für die hinzugefügte E-Mail-Adresse verschlüsseln wollen. Die Anzeige der wichtigsten Elemente in GnuPG (--list-sigs):

pub    1024D/0x12345678 2005-09-05
       D44C 6A5B 71B0 427C CED3 025C BD7D 6D27 1234 5678

uid    Vorname Nachname <vorname.nachname@example.org>
sig    0x12345678      Vorname Nachname <vorname.nachname@example.org>
sig    0x87654321      Zertifizierer <zertifizierer@example.org>

uid    Vorname Nachname (Geschäftsführer der Beispiel GmbH) <vorname.nachname@example.net>
sig    0x12345678      Vorname Nachname <vorname.nachname@example.org>
sig    0x87654321      Zertifizierer <zertifizierer@example.org>

sub    2048R/0x51B279FA 2010-03-04 [verfällt: 2013-03-03]
sig    0x12345678      Vorname Nachname <vorname.nachname@example.org>

Zu sehen ist, dass nur ein Hauptschlüssel (pub) vorhanden ist, dass es sich dabei um einen 1024 Bit langen DSA-Schlüssel handelt und wann dieser Hauptschlüssel erzeugt wurde. Darunter steht sein Fingerabdruck. Die ID, mit der Schlüssel zumeist bezeichnet werden, ist der letzte Teil des Fingerabdrucks. Dann sind zwei User-IDs (uid) zu sehen, die beide einen Namen und eine E-Mail-Adresse beinhalten und beide sowohl von dem zugehörigen Schlüssel selber als auch von einem anderen Schlüssel signiert wurden. Nur eine der User-IDs enthält einen Kommentar, in diesem Fall eine berufliche Position. Auf diese Weise kann ein organisatorisch entsprechend qualifizierter Schlüssel eines Unternehmens (etwa der des Geschäftsführers) die Position von Mitarbeitern des Unternehmens gegenüber Dritten, die dem ersten Schlüssel vertrauen, beglaubigen. Außerdem ist zu sehen, dass Unterschlüssel (sub) nur von ihrem Hauptschlüssel signiert werden, nicht aber von Dritten.

Die einzelnen Komponenten des Zertifikats werden anders als bei X.509 ohne Kryptografie zusammengefügt. Die kryptografische Sicherung befindet sich nur jeweils innerhalb der Komponente. Man kann deshalb unbemerkt Teile eines Zertifikats löschen. Das heißt, dass der Nutzer im Allgemeinen nicht sicher sein kann, dass ein Zertifikat, das er sich (wie üblich) aus einer unsicheren Quelle beschafft hat, vollständig ist. Um diese Sicherheit zu bieten, kann man ein Zertifikat in eine Datei exportieren und diese dann signieren.

Qualifizierte Signaturen nach dem Signaturgesetz

Das deutsche Signaturgesetz (SigG) unterscheidet elektronische Signaturen, fortgeschrittene elektronische Signaturen und qualifizierte elektronische Signaturen. Letztere sind der eigentliche Inhalt des Gesetzes, die ersten beiden Gruppen dienen nur der Abgrenzung. Das SigG stellt sowohl technische als auch organisatorische Anforderungen an die Anerkennung qualifizierter Signaturen. Derzeit (2012) bieten die Zertifizierungsdiensteanbieter keine qualifizierten Zertifikate auf Basis von OpenPGP an, es ist also nicht möglich, mit OpenPGP qualifizierte Signaturen zu erzeugen. Das hat auch technische Gründe. Zum derzeitigen Konzept von OpenPGP gehört,

  1. dass nur der Hauptschlüssel (zusammen mit einer User-ID) zertifiziert wird, nicht aber die Unterschlüssel
  2. dass man mit einem Hauptschlüssel neue Unterschlüssel erzeugen kann.

Das Signaturgesetz verlangt, dass die privaten Schlüssel qualifizierter Zertifikate in Hardware gespeichert werden, aus der sie nicht ausgelesen werden können. Das sind typischerweise Smartcards. Da die aktuelle Version von OpenPGP die Signaturen von Unterschlüsseln genauso behandelt wie die von Hauptschlüsseln, eignen sich normale OpenPGP-Schlüssel prinzipiell nicht für qualifizierte Signaturen. Aber selbst wenn man einen atypischen, dieser Forderung entsprechenden OpenPGP-Schlüssel erzeugte, müsste die für seine Erzeugung und Speicherung verwendete Hard- und Software durch eine vom BSI anerkannte Stelle daraufhin überprüft werden, ob sie den Sicherheitsanforderungen des Gesetzes genügt. Die Kosten einer solchen Prüfung sind ein weiterer Hinderungsgrund für die Verfügbarkeit von OpenPGP für qualifizierte Signaturen.

Das deutsche Signaturgesetz wurde am 29. Juli 2017 vom Vertrauensdienstegesetz abgelöst.

Kritik

OpenPGP steht seit einiger Zeit in der Kritik, insbesondere aufgrund der aus Sicht der modernen Kryptographie unzureichenden Sicherheit.[15]

  • PGP-Schlüssel sind aufgrund diverser Zusatzinformationen sehr lang, was einen direkten Abgleich durch Menschen unmöglich macht.[16]
  • PGP unterstützt keine Forward Secrecy. Im Voraus gespeicherte verschlüsselte Daten können bei Diebstahl der Schlüssel somit nachträglich entschlüsselt werden.
  • Während optionale Erweiterungen für moderne, sichere Algorithmen existieren, werden diese von vielen Implementierungen nicht standardmäßig verwendet und müssen aufgrund der Optionalität nicht beim Kommunikationspartner vorhanden sein.[16] Der kleinste gemeinsame Nenner sind also unsichere Verfahren.
  • OpenPGP kann für eine Vielzahl an Anwendungsfällen verwendet werden, wurde aber separat von all diesen Anwendungen entwickelt. Ein modernes Verfahren, wie beispielsweise das Signal-Protokoll, integriert die Verschlüsselung in die Anwendung selbst (hier Instant Messaging).[15]
  • Schwere Bedienbarkeit und Benutzerunfreundlichkeit, insbesondere für Laien.[17] Beispielsweise können versehentlich unverschlüsselte E-Mails gesendet werden, oder empfangene Mails mit fehlerhafter Signatur oder Authentifizierung werden von manchen Programmen nicht als solche ausgewiesen. Auch das „Key-Signing-Party“-Prinzip wurde als unpraktisch kritisiert.

Die weit verbreitete OpenPGP-Implementierung GnuPG wies und weist diverse Probleme und Sicherheitslücken auf[18] (siehe auch den Abschnitt Kritik auf dem Artikel zu GnuPG). Da diese Implementierung der De-Facto-Standard ist, sind die meisten Benutzer von OpenPGP von allen Fehlern der GNU-Implementierung betroffen.

Auch im Protokoll selbst existieren Sicherheitslücken, die nicht einfach durch ein Softwareupdate behoben werden können. Die Authentifizierung des Klartexts, die MDC, hat selbst nach dem aktualisierten Verfahren nur etwa 16 bit Sicherheit[19], was einen Brute-Force-Angriff realistisch macht. Die EFAIL-Sicherheitslücke, veröffentlicht 2018, erlaubt es, Daten in mit OpenPGP verschlüsselte E-Mails einzuschleusen und somit Zugriff auf den Klartext zu erhalten.[20]

Normen und Standards

OpenPGP ist als Request for Comments (RFC) standardisiert und wird fortwährend weiterentwickelt. Der im Juli 2024 veröffentlichte RFC 9580[21] ersetzt die älteren RFC 4880,[1] 5581[2] und 6637[3].

  • RFC1991 – PGP Message Exchange Formats. 1996 (veraltet, englisch).
  • RFC2240 – OpenPGP Message Format. 1998 (veraltet, englisch).
  • RFC4880 – OpenPGP Message Format. 2007 (englisch).
    • RFC5581 – The Camellia Cipher in OpenPGP. 2009 (optionale Ergänzung, englisch).
    • RFC6637 – Elliptic Curve Cryptography (ECC) in OpenPGP. 2012 (optionale Ergänzung, englisch).
  • P. Wouters, Ed., D. Huigens, J. Winter, Y. Niibe: RFC9580 – OpenPGP. Juli 2024 (löst RFC 4880, 5581, 6637 ab, englisch).

Zusätzlich gibt es einen RFC, der sich speziell um PGP/MIME beschäftigt:

  • RFC3156 – MIME Security with OpenPGP. 2001 (englisch).

Einzelnachweise

  1. a b c d e RFC4880 – OpenPGP Message Format. 2007 (englisch).
  2. a b c d RFC5581 – The Camellia Cipher in OpenPGP. 2009 (englisch).
  3. a b c d e f RFC6637 – Elliptic Curve Cryptography (ECC) in OpenPGP. 2012 (englisch).
  4. RFC1950 – ZLIB Compressed Data Format Specification version 3.3. Mai 1996 (englisch).
  5. RFC1951 – DEFLATE Compressed Data Format Specification version 1.3. Mai 1996 (englisch).
  6. lists.gnupg.org
  7. RFC5322 – Internet Message Format. Oktober 2008 (englisch).
  8. RFC3156 – MIME Security with OpenPGP. 2001 (englisch).
  9. RFC1847 – Security Multiparts for MIME: Multipart/Signed and Multipart/Encrypted. Oktober 1995 (englisch).
  10. RFC2440 – OpenPGP Message Format. November 1998 (englisch).
  11. Gültigkeit vs. Vertrauen. openpgp-schulungen.de
  12. OpenPGP-Schlüssel beglaubigen. pgp.governikus.de
  13. Funktionsweise. keys.openpgp.org
  14. OpenPGP key upload. keys.mailvelope.com
  15. a b The PGP Problem. In: latacora.com. 16. Juli 2019, abgerufen am 17. September 2024 (englisch).
  16. a b What’s the matter with PGP? In: A Few Thoughts on Cryptographic Engineering. 13. August 2014, abgerufen am 17. September 2024 (englisch).
  17. GPG And Me. Abgerufen am 17. September 2024 (englisch).
  18. Gnupg : Security vulnerabilities, CVEs. Abgerufen am 17. September 2024 (englisch).
  19. RE: [Cfrg] OpenPGP security analysis. Abgerufen am 17. September 2024.
  20. EFAIL. Abgerufen am 17. September 2024.
  21. Paul Wouters, Daniel Huigens, Justus Winter, Niibe Yutaka: RFC9580 – OpenPGP. Juli 2024 (englisch).

Auf dieser Seite verwendete Medien

Neutral.svg
Icono de mantenimiento