PGP Signatur

Etwas Hintergrundwissen

Über eine PGP (pretty good privacy) Signatur lassen sich Daten einer Person auf ihre Echtheit hin überprüfen.

Bei Dateien, die heruntergeladen werden können, kann man somit überprüfen, ob der Download vollständig korrekt ist, ähnlich wie bei einer Prüfsumme (z.B. SHA-1 oder MD5). Ebenso kann man hierbei auch überprüfen, ob die Datei auch wirklich von der Person stammt, oder ob noch jemand anderes nachträglich seine Finger im Spiel hatte.

Wie bei Dateien, lässt sich damit auch der Inhalt einer E-Mail wahlweise mit oder ohne Anhänge signieren oder verschlüsseln. Leider ist trotz der langen Zeit, die es PGP nun schon gibt, die Unterstützung recht spärlich. Meist gelingt dies nur mittels Plugins, die teilweise nicht (mehr) vollständig funktionieren oder sogar abstürzen. Einzig unter Mac OS X gefällt mir die Implementierung für Apple Mail gut.

Um eine Signatur zu prüfen, braucht man ein GPG Plugin oder GnuPG Programm. Für GnuPG ist unter Windows eine GUI (Grafische Oberfläche) verfügbar (z.B. GPGShell). Die Installation der Programme ist recht einfach. Mit GPGShell genügt das Öffnen der Signaturdatei per Doppelklick, um die Signatur zur gleichnamigen Datei zu verifizieren. Es kann sein, dass dazu mein öffentlicher Schlüssel notwendig ist, der (lokal gespeichert) ebenfalls durch Öffnen der Schlüsseldatei geladen werden kann.

Mein PGP Schlüssel

Ich benutze den folgenden Schlüssel (0x24790D44) für die Signierung bzw. Verschlüsselung meiner E-Mails.
Der Schlüssel ist auch auf einem Keyserver zu finden; der Fingerabdruck lautet 171B A471 338C E081 56C4 DCE9 C4C6 0FA9 2479 0D44.

pub   4096R/24790D44 2015-05-03
uid                  Andreas Mueller <(mail)>
uid                  Andreas Mueller <(mail)>
uid                  Andreas Mueller <(mail)>
uid                  Andreas Mueller <(mail)>
uid                  Andreas Mueller <(mail)>
sub   4096R/24790D44 2015-05-03