2.  Verschlüsselung mit OpenPGP

Um die in Wissenschaft, Technik und Geschäftswelt notwendige Vertraulichkeit und Authentizität zu gewährleisten, müssen elektronische Nachrichten verschlüsselt übermittelt werden. Mit OpenPGP steht dazu ein transparentes System zur freien Verfügung. Zu den - für den praktischen Einsatz wesentlichen - Grundlagen :

Eingesetzt wird die asymmetrische Verschlüsselung. Bei dieser werden zwei verschiedene Schlüssel, O und P eingesetzt, die folgende Eigenschaften haben :

Jeder Teilnehmer ( z.B. 1 und 2 ) erzeugt jetzt ein solches individuelles Schlüsselpaar. O veröffentlichen sie, mit Namen und Email-Adresse. P halten sie auf einem privaten Rechner "unter Verschluss".
Will jetzt 1 eine Nachricht an 2 senden, kann er unter dem Namen oder der Email-Adresse dessen öffentlichen Schlüssel 2-O finden. Mit diesem verschlüsselt er die Nachricht. Die kann nun nur mit Hilfe des privaten Schlüssels 2-P entschlüsselt werden. Und den hat eben nur der Teilnehmer 2.

Im Gegensatz zur symmetrischen Verschlüsselung muss so kein geheimer Schlüssel ausgetauscht werden. Jemand, der seinen Schlüssel O veröffentlicht hat, kann von jedem vertrauliche Nachrichten erhalten - nur unter Zuhilfenahme des entsprechenden Verschlüsselungsprogramms.

Ver- und Entschlüsselung lassen sich auf dem privaten Rechner vollständig automatisieren. Um hier einen Schutz vor unbefugtem Zugriff zu erhalten, kann das System durch die Abfrage einer Passphrase abgesichert werden.
Des weiteren ist bei Verlust des privaten Schlüssels ein extern ( z.B. auf einer Speicherkarte ) gesichertes Widerrufs-Zertifikat wichtig. Mit diesem kann man - für jeden ersichtlich - den zugehörigen öffentlichen Schlüssel inaktivieren.

Mit Passphrase und Widerrufszertifikat ist man dann auch auf Dinge wie Einbruch, Diebstahl oder Festplatten-Defekt vorbereitet.

Schließlich - um eindeutig identifiziert werden zu können, bietet sich als Kommentar zum veröffentlichten Schlüssel die Geburtsstadt an. Gegebenfalls kann auch die Angabe des Berufs oder der Funktion des Email-Zugangs ( privat, geschäftlich etc. ) sinnvoll sein.

Mit Hilfe der Verschlüsselung ist nun Vertraulichkeit gewährleistet. Nur Sender und Empfänger können vom Inhalt Kenntnis haben bzw. bekommen.

Damit noch nicht sichergestellt ist die Identität des Absenders. Dazu dient die Unterschrift oder auch Signatur. Dabei lässt sich die Gültigkeit der Unterschrift mit dem öffentlichen Schlüssel überprüfen. Und erstellt werden kann eine gültige Signatur nur mit Hilfe des entsprechenden privaten Schlüssels. Erstellung und Überprüfung läuft im übrigen ebenfalls vollautomatisch ab.

Jetzt wird zwar nicht nur der Empfänger ( Verschlüsselung ), sondern auch der Sender ( Signatur ) identifiziert - aber immer noch nur anhand des öffentlichen Schlüssels. Bleibt ein letzter Sicherheitsaspekt, die Authentizität. Soll heißen, ob diese Person auch tatsächlich diejenige ist, für die sie sich ausgibt.

Diese Fragestellung kann nicht mehr vom Verschlüsselungs-​Programm beantwortet werden - man muss selbst eine Einschätzung vornehmen. Zur Klärung bieten sich Fragen mit für Dritte nicht nachvollziehbaren Antworten an - zügig ausgetauscht über verschlüsselte und unterschriebene Nachrichten. Oder anders gesagt : einfach "aus dem Nähkästchen plaudern".
Einen verhältnissmäßig sicheren Rückschluss auf das "richtige" Schlüsselpaar erlaubt auch der Abgleich mit persönlich übergebenen Schlüsseldaten, insbesondere des Schlüssel-​Fingerabdrucks.

Beim im folgenden beschriebenen System lässt sich die individuelle Einschätzung der Authentizität in einer 5-stufigen Skala abspeichern. Sie wird durch farbliche Wiedergabe mit der Anzeige einer Nachricht unmittelbar kenntlich gemacht.