Rechnernetze
Home Nach oben Stichworte

Entstehung von PGP

Korrigerter Auszug aus einem Seminarbeitrag von Andreas Schaefer

PGP wurde 1991 von Phil R. Zimmerman mit dem Ziel entwickelt, jedem Bürger starke Verschlüsselungstechnologie zugänglich zu machen, um die eigene Privatsphäre zu schützen, insbesondere vor staatlicher Überwachung. Obwohl er sich seit langem für Kryptographie interessiert hatte, gab eine Gesetzesinitiative des Senats (Anti-Crime Bill) den Auslöser dafür, PGP zu entwickeln und zu verbreiten. Diese Initiative sah vor, dass nur noch solche Verschlüsselung legal sein sollte, die von staatlichen Stellen entschlüsselt werden konnte. Die Initiative scheiterte jedoch am starken Protest von Bürgerrechtsbewegungen. 

In der ersten Version von PGP kamen die folgenden Verfahren zum Einsatz: 

  1. als Public-Key-Verfahren wurde RSA verwendet,
  2. als Secret-Key-Verfahren wurde Bass-O-Matic verwendet, eine Eigenentwicklung von Zimmermann, die aufgrund zahlreicher Schwachstellen in späteren Versionen durch IDEA und andere Verfahren ersetzt wurde. 

Phil R. Zimmermann

Für die ersten Versionen von PGP waren folgende Fakten rechtlich bedeutsam: 

Der RSA-Algorithmus war in den USA patentrechlich von RSA Data Security bis ins Jahr 2000 geschützt und Zimmermann besaß keine Lizenz dafür. Erst 1994 erschien das für den nichtkommerziellen Einsatz verfügbare RSAREF 2.0 Paket von RSA Data Security, das Zimmermann in PGP einbauen konnte, um so das Lizenzproblem ab Version 2.5 zu lösen. Zuvor war in Zusammenarbeit mit der Firma ViaCrypt, die eine RSA-Lizenz besaß, eine kommerzielle PGP-Version (PGP 2.4) entstanden. 

Da der Export von starker Verschlüsselungstechnik aus den USA ins Ausland (einzige Ausnahme war Kanada) nach dem Kriegswaffen-Kontroll-Gesetz verboten war, entstand das PGPi-Projekt. Im September 1999 wurden die Exportbeschränkungen durch die US-Adminstration gelockert. Seit 1997 wird PGP durch die Firma NAI vertrieben, ist aber für nicht-kommerziellen Einsatz weiterhin kostenlos verfügbar. NAI besitzt seit Dezember 1999 eine gültige Export-Lizenz für PGP. 

PGPi-Projekt

Das PGPi-Projekt ist in der Zeit gegründet worden, als PGP noch nicht legal aus den USA exportiert werden konnte. Da Export in Buchform jedoch erlaubt war, wurde ein Ausdruck des PGP-Codes ins Ausland exportiert und dort eingescannt und korrekturgelesen. Seit die Exportbeschränkung gefallen ist, will sich das Projekt auf die Portierung auf andere Betriebssystemplattformen und in andere Sprachen konzentrieren.

GnuPG

Der Gnu-Privacy-Guard (GnuPG) ist eine zu dem OpenPGP Standard kompatible Sicherheitssoftware. Sie steht unter GPL und ist teilweise kompatibel zu den neuen Versionen von PGP (ab Version 5.x). Zu den 2.x -Versionen ist sie jedoch nicht kompatibel, da GnuPG den bis 2007 patentierten IDEA-Algorithmus nicht verwenden kann. Dafür stehen u.a. folgende symmetrische Verfahren zur Verfügung
3DES
CAST5
Blowfish
Twofish
Als asymmetrische Verfahren wird ElGamal und in der neusten Version auch RSA unterstützt. Da GnuPG aber im Gegensatz zu PGP der Firma NAI eine freie Software ist, deren Quellcode öffentlich ist, ist das Produkt auch für den kommerziellen Einsatz kostenlos.