Ich habe noch keinen vollständigen Leitfaden zur verschlüsselten Kommunikation via PGP gesehen. Dabei ist es wirklich einfach. Was ist PGP? PGP ist eine Software, die unter Nutzung verschiedener Algorithmen und Maßnahmen verschlüsselten Nachrichtenaustausch erlaubt. Innerhalb der Szene ist es eines der sichersten Wege zur Kommunikation, insb. aufgrund der Signatur von Nachrichten. Wie funktioniert PGP? Bei der Kommunikation mit PGP sind vier Schlüssel von Relevanz: euer eigener Public und Private Key sowie der Public und Private Key des anderen Users. Jeder User, der PGP verwendet, hat sein eigenes Schlüsselpaar. Um jemandem eine verschlüsselte Nachricht zu senden, verwendet man dessen Public Key, und die Nachricht kann dann nur mit dessen Private Key entschlüsselt werden. Selbiges für euch: Andere verwenden euren Public Key, um eine bestimmte Nachricht zu verschlüsseln, die nur Ihr dann mit eurem private Key dechiffrieren könnt. Unter absolut keinen Umständen den Private Key an jemanden weitergeben, es existiert kein einziges Szenario, wo das notwendig ist. Den Public Key könnt Ihr überall öffentlich machen. Dies ist eine generelle Erklärung für asymmetrische Verschlüsselungen wie RSA. Bei Kleopatra werdet Ihr nur mit Public Keys anderer User arbeiten. Beispiel Alice und Bob möchten per PN verschlüsselt kommunizieren. Beide tauschen per PN Ihren Public Key aus. Alice -> verschlüsselt eine Nachricht mit Bobs Public Key Bob -> entschlüsselt die Nachricht mit seinem Private Key Bob -> verschlüsselt eine Nachricht mit Alices Public Key Alice -> entschlüsselt die Nachricht mit ihrem Private Key Vorgehensweise Der Einfachheit halber wird hier ein einziges Tool vorgestellt. Gpg4win / Kleopatra könnt Ihr euch auf gpg4win.de runterladen. Spoiler: Vorgehensweise um ein PGP-Schlüsselpaar zu erzeugen Startet Kleopatra und klickt auf "New Key Pair": Wählt einen Namen oder Mail-Adresse. Als Key Material wählt Ihr Cv25519. Sollte euer Key erfolgreich erstellt sein, öffnet sich das folgende Fenster: Damit Ihr den Key eines anderen User bekommt, muss dieser ihn erst mal exportieren. Geht dazu in den Tab "Certificates", wählt euren Key, mit Rechtsklick > Export wird die Datei gespeichert. Um den Key eines anderen User einzufügen, geht auf "File > Import" und wählt dessen .asc - Datei aus. Alternativ kann man die Datei mittels Textdokument öffnen und so den Public Key an andere User übermitteln. Falls Kleopatra die Datei lesen konnte, öffnet sich dieses Fenster: Wenn Ihr den Key vom User persönlich bekommen habt, wählt euren persönlichen Key aus und klickt auf Certify. Um eine Nachricht per PGP zu verschlüsseln, geht in den Tab "Notepad" und schreibt eure Nachricht rein: Bevor Ihr die Nachricht verschlüsselt, geht zu "Recipients" und lasst die Nachricht mit eurem Key signieren. Dann weiss der User, dass die Nachricht garantiert von euch stammt. Anderenfalls entfernt das Häkchen. Wenn Ihr später die Nachricht noch selber entschlüsseln können wollt, setzt euren Key in "Encrypt for me". Anderenfalls entfernt das Häkchen. Der Empfänger wird, wenn er euren Key ebenfalls importiert hat, sehen, dass Ihr sowohl die Nachricht signiert habt, als auch als Empfänger eingetragen seid (damit Ihr die Nachricht selbst entschlüsseln könnt). Tragt unter "Encrypt for others" jeden User ein, der die Nachricht entschlüsseln können soll. Man kann auch ein Passwort setzen für jede Nachricht, die Option dazu ist unten zu sehen. Wenn Ihr bei "Recipients" alles korrekt eingetragen habt, könnt Ihr auf "Sign / Encrypt Notepad" klicken. Wenn die Nachricht verschlüsselt wurde, bekommt Ihr so einen Text. Diesen müsst Ihr nur noch an den entsprechenden User übermitteln. Die Nachricht entschlüsselt Ihr mit "Decrypt / Verify Notepad". Wenn der User die Nachricht entschlüsselt hat, bekommt er das: Durch dieselbe Vorgehensweise lassen sich Dateien ver- und entschlüsseln. Dazu in der linken oberen Ecke auf "Sign/Encrypt" oder "Decrypt/Verify" klicken. Cv25519 oder RSA-4096 nehmen sich in den meisten Fällen nicht viel, RSA-4096 hat mehr Bits und wird dadurch erst etwas später durch Quantencomputer geknackt. Dafür basiert es auf einer Vertrauensbasis, was es bei Cv25519 durch dessen ECC-Algorithmus nicht gibt. So oder so werden diese asymmetrischen Verschlüsselungsmethoden (Cv25519 / RSA-4096) nicht vor 2035 gebrochen. Alternativ kann man symmetrische Verschlüsselungsalgorithmen wie AES-256 verwenden, dann hat man nur einen einzigen Key, den ausschließlich Sender und Empfänger kennen dürfen, dafür ist es quantenresistent. Damit im schlimmsten Fall nicht alle früheren Nachrichten durch eine dritte Person entschlüsselt werden können, sollte man den Key regelmäßig wechseln. Für wirklich sensible Informationen kann man zusätzlich noch eine Privnote (z. B. bin.veracry.pt ) einbauen. Bei extremster Paranoia sendet man es dann zusätzlich noch über Jabber mit OTR. Für RL-Bezug würde ich immer mehrere Sicherheitsvorkehrungen treffen. Nachtrag: Mittlerweile tendiere ich in Bezug auf Sicherheit eher zu RSA-4096. Je nach Lage kann man immer noch auf Cv25519 zurückgreifen. Ich habe es im Post nicht erwähnt, aber logischerweise sollten Private Keys nicht auf Server gehalten werden, sondern immer in der VM. Alternativ auf einem separaten Server dechiffrieren. Linux-User können GnuPG via Bash installieren und nutzen. Kleopatra GUI steht ebenfalls zur Verfügung.