Zum Hauptinhalt springen

GPG

GPG ist ein Verschlüsselungsstandard – für digitale Signaturen, Vertraulichkeit und Integrität.

Für Technikaffine ist es ein Werkzeug.
Für Sicherheitsexpert:innen: ein bewährter Standard.
Für uns: ein selbstverständlicher Bestandteil digitaler Kommunikation.

Was bedeutet GPG?

GPG steht für GNU Privacy Guard – ein freies Kryptografie-Tool, das asymmetrische Verschlüsselung nutzt. Es ermöglicht zwei zentrale Dinge:

  • Digitale Signaturen: Nachweis, dass eine Nachricht von einer bestimmten Person stammt und nicht verändert wurde.
  • Verschlüsselung: Schutz der Inhalte vor dem Zugriff Dritter.

Technisch basiert GPG auf dem OpenPGP-Standard – dem offenen Gegenstück zu proprietären Lösungen wie S/MIME.

GPG, OpenPGP und PGP – was ist der Unterschied?

  • PGP (Pretty Good Privacy) war die erste verbreitete Software für asymmetrische E-Mail-Verschlüsselung. Sie wurde in den 1990er Jahren entwickelt – damals noch proprietär.
  • OpenPGP ist der darauf basierende offene Standard, der als RFC veröffentlicht wurde. Er beschreibt das Format und die Funktionsweise – unabhängig von der Software.
  • GPG (GNU Privacy Guard) ist eine freie, quelloffene Implementierung dieses Standards – und heute der de-facto-Standard im Open-Source-Bereich.

Wenn du also eine Datei wie /.well-known/pgp-key.txt findest, enthält sie meist einen GPG-kompatiblen OpenPGP-Schlüssel – so auch bei uns.

Kurz gesagt: Wir verwenden GPG – das spricht OpenPGP – und ist kompatibel mit PGP.

Wie funktioniert GPG?

GPG verwendet ein Schlüsselpaar:

  • Öffentlicher Schlüssel: frei teilbar, dient zur Prüfung und Verschlüsselung.
  • Privater Schlüssel: bleibt geheim, wird zur Signatur und Entschlüsselung verwendet.

Damit lässt sich z.B. eine E‑Mail signieren – Empfänger:innen können die Echtheit und Unverändertheit prüfen, ohne dir blind vertrauen zu müssen.

Die Sicherheit beruht nicht auf Geheimhaltung – sondern auf mathematisch überprüfbaren Prinzipien.

Wo kommt GPG zum Einsatz?

GPG wird oft genutzt für:

  • Signierte E‑Mails (Authentizität & Integrität)
  • Verschlüsselte Kommunikation
  • Software-Signaturen (z.B. bei Paketmanagern)
  • Verifikation von security.txt und sensiblen Dateien

Auch bei RiKuWe ist GPG fester Bestandteil sicherer Kommunikation:
Details dazu findest du auf unserer Seite Vertrauen & Sicherheit.

Was GPG nicht ist

  • Keine Ende-zu-Ende-Plattform: GPG ist ein Werkzeug, kein Chat-Dienst.
  • Keine Verschleierung: Es schützt Inhalte – aber nicht, dass kommuniziert wurde.
  • Nicht zwangsläufig einfach: Die Bedienung erfordert initiales Verständnis, bringt dafür maximale Unabhängigkeit.

GPG in der Praxis: Key erstellen & verwenden

Hier findest du eine kurze Anleitung für die Linux-Kommandozeile.

1. GPG-Schlüssel erzeugen

gpg --full-generate-key
  • Typ: 1 (RSA and RSA)
  • Schlüsselgröße: 4096
  • Ablaufdatum: z.B. 1y für 1 Jahr Gültigkeit (Einheit nicht vergessen!)
  • Name & E‑Mail: sinnvoll ausfüllen
  • Passphrase: sichere Passphrase wählen

2. Öffentlichen Schlüssel exportieren

gpg --armor --export email@adresse.tld > publickey.asc

Die Datei publickey.asc kannst du uns per E‑Mail schicken oder über ein sicheres Formular hochladen.

3. Eine verschlüsselte Datei entschlüsseln

Angenommen, du bekommst config.yaml.gpg:

gpg --decrypt config.yaml.gpg > config.yaml

Die Datei wird nur entschlüsselt, wenn du den passenden privaten Schlüssel hast.

4. Eine Datei verschlüsseln (für andere)

Wenn du jemandem eine Datei schicken willst und den öffentlichen Schlüssel (publickey.asc) hast:

  • Importieren:
gpg --import publickey.asc
  • Datei verschlüsseln:
gpg --encrypt --recipient email@adresse.tld --output geheim.txt.gpg geheim.txt

Optional: Mit --armor erhältst du eine ASCII-Datei, die leichter per E‑Mail verschickt werden kann.

Hinweis für den Unternehmenseinsatz

In sicherheitskritischen Umgebungen – z.B. mit Kundeninfrastruktur oder strengem Offboarding – empfehlen wir:

  • Verwende Haupt- und Subkeys:
    Der Hauptschlüssel dient ausschließlich zur Erstellung und Signierung von Subkeys – und wird offline aufbewahrt (z.B. auf einem Stick oder Air-Gap-System).

  • Nutze Subkeys für den Alltag:
    Der tägliche Einsatz (Signieren, Entschlüsseln etc.) erfolgt ausschließlich mit Subkeys. Diese lassen sich bei Verlust oder Ablauf einfach erneuern.

  • Unternehmens-GPG-Key als vertrauenswürdige Instanz:
    Der zentrale Unternehmensschlüssel sollte alle Mitarbeiter-Keys signieren und im Fall von Offboarding oder Schlüsselverlust eine Revocation (Widerruf) einleiten können.

  • Erstelle beim Anlegen des Schlüssels immer ein Revocation-Zertifikat

Häufige Fragen

Wofür steht GPG?

GPG bedeutet GNU Privacy Guard – ein Tool zur digitalen Signatur und Verschlüsselung. Es basiert auf dem OpenPGP-Standard.

Was bringt eine digitale Signatur?

Sie zeigt: Diese Nachricht stammt wirklich vom Absender – und ihr Inhalt wurde nicht verändert. Das ist besonders wichtig bei sensiblen Inhalten.

Wie unterscheidet sich GPG von anderen Verschlüsselungen?

Im Gegensatz zu passwortbasierten Verfahren verwendet GPG asymmetrische Kryptografie. Das erlaubt mehr Sicherheit und flexiblere Anwendung – z.B. ohne vorherigen Schlüsselaustausch.

Kann ich GPG auch als Nicht-Techniker:in nutzen?

Ja, mit Tools wie Thunderbird oder Mailvelope ist GPG auch ohne Terminal nutzbar. Es braucht etwas Einarbeitung – bietet dafür aber echte Kontrolle über deine Kommunikation.

Wie prüfe ich eine GPG-Signatur?

Mit dem öffentlichen Schlüssel der Absender:in kannst du über Mail-Programme oder Kommandozeilen-Tools prüfen, ob eine Signatur gültig ist.

Verwandte Themen

Vertrauen & Sicherheit
Security.txt

Letztes Update am von Thomas Kugi
Thomas Kugi
Thomas Kugi
Version: v1.14.11