PGP / OpenPGP Pretty Good Privacy — Public-Key-Kryptografie für Menschen
Die Kryptografie, die einem Fremden auf der anderen Seite des Planeten erlaubt zu verifizieren, dass ein Dokument wirklich unseres ist.
Ein Public-Key-Kryptografie-Schema zum Signieren und Verschlüsseln von Dateien, Nachrichten und Software-Releases, ursprünglich geschrieben von Phil Zimmermann im Jahr 1991. Standardisiert als OpenPGP (RFC 4880, aktualisiert durch RFC 9580 im Jahr 2024). Die Referenz-Free-Software-Implementierung ist GnuPG (gpg). Verwendet, um die Integrität von Software-Releases zu verifizieren, E-Mails zu signieren, Dateien at-rest zu verschlüsseln und Identität über einen Out-of-Band-Kanal zu authentifizieren.
PGP ist wie wir unsere eigenen Aussagen verifizierbar machen.
TLS beweist, dass Sie mit einem Server sprechen, der von der Domain auf dem Zertifikat kontrolliert wird; es beweist nicht, dass NordBastion als Organisation etwas Spezifisches gesagt hat. Für Aussagen, die unfälschbar sein müssen — der Warrant Canary, die Transparenzberichte, Release-Artefakte, signierte Advisories — reicht TLS nicht aus. PGP ist die fehlende Schicht.
Unsere Public-Keys sind auf /pgp/ mit Fingerprints aufgelistet. Der Warrant Canary wird jede Periode PGP-signiert; der Transparenzbericht trägt eine detached signature; Release-Archive werden mit .asc-Dateien ausgeliefert. Jeder mit einer Kopie unseres Public-Keys kann `gpg --verify` ausführen und kryptografische Sicherheit haben, dass das Dokument, das er hält, vom Halter des passenden Private-Keys produziert wurde und seitdem nicht verändert worden ist.
Die Kehrseite: PGP funktioniert nur, wenn Sie den Fingerprint des Keys gegen eine unabhängige Quelle prüfen. Die /pgp/-Seite listet den Fingerprint, unser Tor-Mirror listet ihn, unsere Keybase-/Social-Profile listen ihn; Sie sollten mindestens zwei vergleichen, bevor Sie einem frisch importierten Key vertrauen. Das ist der unbequeme Teil des Protokolls und auch der Teil, der die Eigenschaft gibt, die der Rest des Systems eigentlich will.
Die Seiten, die sich auf diesen Begriff stützen.
Die Fragen, die Leute wirklich stellen.
Was macht PGP eigentlich?
Zwei verwandte Dinge. Erstens signiert es Dateien und Nachrichten digital, sodass jeder mit Ihrem Public-Key verifizieren kann, dass ein Dokument wirklich von Ihnen kam und nicht manipuliert wurde — darauf verlassen sich der Warrant Canary, der Transparenzbericht und die Release-Archive. Zweitens verschlüsselt es Dateien und Nachrichten für einen spezifischen Empfänger, sodass nur der Halter des passenden Private-Keys sie entschlüsseln kann.
Was ist der Unterschied zwischen PGP und OpenPGP?
PGP war das ursprüngliche Programm, geschrieben von Phil Zimmermann im Jahr 1991, später kommerzialisiert. OpenPGP ist der offene Standard, abgeleitet vom Dateiformat und Protokoll von PGP, erstmals spezifiziert in RFC 2440 (1998) und derzeit definiert durch RFC 9580 (2024). Wenn Leute heute „PGP" sagen, meinen sie fast immer eine OpenPGP-Implementierung — üblicherweise GnuPG (gpg), die Free-Software-Referenz.
Wie unterscheidet sich PGP von TLS?
TLS authentifiziert einen Server während einer Live-Verbindung und verschlüsselt die Leitung zwischen zwei Endpunkten — es ist Link-Layer-Privatsphäre, die verschwindet, sobald die Verbindung schließt. PGP authentifiziert den Menschen oder die Organisation hinter einem Datenstück und verschlüsselt diese Daten, sodass sie auf der Disk, in der E-Mail, auf einem Backup-Band für immer verschlüsselt bleiben. TLS schützt die Konversation; PGP schützt das Dokument.
Wie verifiziere ich eine NordBastion-PGP-Signatur?
Importieren Sie den Signaturschlüssel von /pgp/ in Ihren lokalen GnuPG-Keyring (`gpg --import nordbastion.asc`), prüfen Sie den Fingerprint gegen den auf der Seite veröffentlichten und idealerweise gegen eine Out-of-Band-Kopie (Tor-Mirror, Social-Media-Post), führen Sie dann `gpg --verify