Häufig gestellte Fragen über PGPi

Die folgende Liste enthält häufig gestellte Fargen über PGPi. Anmerkungen können an stale@hypnotech.com geschickt werden.


Inhalt

  1. Vergleich internationale und US Version
    1.1. Was ist PGPi?
    1.2. Warum gibt es eine internationale PGP Version?
    1.3. Welche Version von PGPi ist die Neueste?
    1.4. Wie unterscheidet sich PGPi von PGP?
    1.5. Wie kompatibel ist PGP 6i mit anderen PGP Versionen?
    1.6. Wird es ein PGP 6 für Unix geben?
    1.7. Kurz und gut,welche Version sollte ich verwenden?

  2. Rechtliche Belange
    2.1. Was bedeutet “international”? Wer darf es verwenden?
    2.2. Darf ich PGPi für kommerzielle Zwecke nutzen?
    2.3. Darf ich PGP Code in meinen eigenen Programmen verwenden?
    2.4. Darf ich PGPi weiter verteilen?

  3. Wie man’s bekommt
    3.1. Wo erhalte ich PGPi?
    3.2. Welche E-mail Plugins gibt es für PGP 6.x?
    3.3. Warum gibt es kein Plugin für Netscape Messenger 4.x?
    3.4. Gibt es eine PGP DLL?
    3.5. Wo kann ich aktuelle Sprachmodule für PGPi bekommen?

  4. Installation
    4.1. Wie kann ich die Integrität von PGPi überprüfen?
    4.2. Ich habe Probleme bei der Installation von PGPi. Was mache ich da?
    4.3. Ich bekomme PGP 6.0.2i mit Outlook Express (Internet Explorer) 5.0 nicht zum Laufen. Was ist falsch?

  5. Sicherheitsbelange
    5.1. Kann PGP geknackt werden?
    5.2. Ist PGPi nicht die Version, die zu Exportzwecken von der NSA abgeschwächt wurde?
    5.3. Enthält PGP eine Hintertür?
    5.4. Ich habe gehört, daß PGP 5 und später Funktionen zur Wiederherstellung von Nachrichten hat. Stimmt das?
    5.5. Enthält PGP Funktionen zur Schlüsselwiederherstellung?

  6. Verschiedenes
    6.1. Wieso wurde PGP 5.5 und später so schnell gescannt?
    6.2. Gibt es Bugs in PGPi?
    6.3. Ist PGP Jahr 2000 kompatibel?
    6.4. Wer ist verantwortlich für PGPi?
    6.5. Wo erhalte ich Unterstützung für PGPi?
    6.6. Wo erfahre ich mehr über PGP?

Falls Sie eine allgemeine Frage zu PGP haben, lesen Sie die comp.security.pgp FAQ.


1.1. Was ist PGPi?

PGPi ist die internationale Variante von PGP (ziemlich gute Privatsphäre), ein ursprünglich von Phil Zimmermann 1991 geschriebenes öffentliches Verschlüsselungsprogramm. Spätere PGP Versionen sind von MIT, ViaCrypt, PGP Inc. und jetzt Network Associated Inc. (NAI) entwickelt und verteilt worden. PGP ist heute der De-Facto Standard für Emailverschlüsselung, mit Millionen von Benutzern weltweit.

Die internationalen PGP Versionen sind für Benutzer außerhalb der USA bestimmt, weil sie einige in den US Versionen vorzufindende Beschränkungen entfernen. Sie sind auch völlig legal irgendwo in der Welt nutzbar, im Gegensatz zu den US Versionen, die illegal aus den USA exportiert wurden.


1.2. Warum gibt es eine internationale PGP Version?

Die PGP Versionen von MIT, ViaCrypt, PGP Inc. und Network Associates Inc. wurden alle in den USA programmiert, aber schließlich im Rest der Welt verbreitet, trotz der US Exportbestimmungen, die den Export starker Kryptographie kontrollieren. PGP 5,0 i war die erste PGP Version, die legal außerhalb der USA/Kanada verfügbar war, weil das Programm als Buch gedruckt und dann gescannt wurde, um den Code in elektronischer Form verfügbar zu machen.

Die Gründe für das Scannen der Quelle und das Herausgeben einer speziellen Version, PGPi genannt, waren vielfältig:

  1. Um den Code einer allgemeinen Öffentlichkeit zugänglich zu machen. Auf diese Art kann jeder den Code lesen und auf Fehler und versteckte Hintertüren kontrollieren.
  2. Um Übergänge zu anderen Betriebsystemen möglich zu machen: Unix, MS-DOS, OS/2, Amiga, Atari, VMS, usw.
  3. Um jeden Zweifel über die Rechtmäßigkeit von PGP außerhalb USA/Kanada zu beseitigen. Obwohl die meisten Leute glauben, daß man PGP nach dem Export legal verwenden darf, fühlen sich manche nicht wohl bei dem Gedanken, Software zu verwenden, die einst illegal exportiert wurde. Jetzt, da es PGPi gibt, sollte auch der letzte Hauch eines Zweifels vertrieben sein.
  4. Um zu zeigen, wie dumm die US Exportbestimmungen sind, und daß sie nicht auf dem aktuellen Stand der wirklichen Welt sind.
Sie können hier mehr über das PGPi Projekt lesen.


1.3. Welche Version von PGPi ist die Neueste?

Die neueste internationale Version von PGP für Windows 95/98/NT und MacOS ist PGP 6.0.2 i. Die neueste Version für MS DOS, OS/2, Amiga, Atari und UNIX ist PGP 5.0 i. Andere Plattformen werden von der älteren Version 2.6.3 i unterstützt. Jedoch versteht diese Version die in PGP 5 und später eingeführten neuen Verschlüsselungsalgorithmen nicht.

Die neueste verfügbare PGP Version von Network Associates in den USA ist Version 6.5.1. Wenn der Quellcode für diese Version erst einmal gedruckt ist, beginnen wir, ihn zu scannen und eine spezielle internationale Version zu produzieren, wie wir es mit früheren Versionen getan haben.

Siehe auch: Neueste PGP Versionen.


1.4. Wie unterscheidet sich PGPi von PGP?

PGPi ist grundsätzlich dieselbe Version wie PGP, aber es gibt einige wichtige Unterschiede:

  1. Verwendung von RSA Schlüsseln werden unterstützt (um Rückwärtskompatibilität mit PGP 2, x sicherzustellen), aber nicht die Erstellung.
  2. Der Standard Keyserver ist in Europa, nicht in den USA.
  3. PGPi wurden legal aus den USA exportiert, während jegliche Kopien von PGP, die außerhalb der USA/Kanada existieren könnten, zu irgendeinem Zeitpunkt illegal exportiert wurden.
  4. Der Quellcode für PGPi ist zum Download verfügbar, so daß man den Code auf Fehler, Hintertüren usw. überprüfen kann.
  5. PGPi ist auf mehrere neue Plattformen übertragen worden, einschließlich MS-DOS, OS/2, Amiga, Atari und verschiedene UNIX Varianten.


1.5. Wie kompatibel ist PGP 6i mit anderen PGP Versionen?

PGP 6 i kann Nachrichten, Schlüssel und Unterschriften lesen und verstehen, die mit PGP 2.0 und später erstellt wurden. (Beachten Sie aber, daß die Schlüssel nicht größer als 4096 Bits sein dürfen. Keine offizielle PGP Version verwendet jedoch größere Schlüssel.)

PGP 6 i kann Nachrichten, Schlüssel und Unterschriften generieren, die von PGP 2.6.x und später gelesen und verstanden werden können, solange Sie nur RSA Schlüssel verwenden. PGP 6 i unterstützt auch DSS/Diffie-Hellman Schlüssel, aber mit Hilfe dieser neuen Schlüsselart verschlüsselte Nachrichten können nicht von Versionen vor 5.0 gelesen werden.

Beachten Sie jedoch, daß PGP 6 i Nachrichten nicht von PGP 2.3a oder früheren Versionen verstanden werden können, egal, welche Schlüsselart Sie verwenden.


1.6. Wird es ein PGP 6 für Unix geben?

Ja. PGP 6.5.1 (US Version) ist als ein Befehlszeilenprogramm für Linux und Solaris verfügbar. Sobald der Quellcode für PGP 6.5.1 veröffentlicht ist, beginnen wir, ihn zu scannen und eine internationale Version zu produzieren, die auf allen UNIX Plattformen läuft. Wir beginnen dann auch, an Übergängen zu MS-DOS, OS/2 und Amiga zu arbeiten.

Wenn Sie bis dahin auf einer UNIX Plattform arbeiten, müssen Sie noch bei PGP 5.0 bleiben. Sie können PhotoIDs und die anderen neuen Funktionen nicht bei PGP 6 verwenden, aber abgesehen davon ist PGP 5 mit PGP 6 recht kompatibel.


1.7. Kurz und gut, welche Version sollte ich verwenden?

Im allgemeinen sollten Sie PGP verwenden, wenn Sie in den USA leben und PGPi, wenn Sie nicht in den USA leben. PGPi darf legal in fast allen Ländern der Welt verwendet werden (außer in den USA wegen Patenteinschränkungen), und Sie haben keine Kompatibilitätsprobleme mit anderen PGP Versionen.


2.1. Was bedeutet “international”? Wer darf es verwenden?

Das ‘i’ in der Versionsnummer steht für ‘international.’ Im Allgemeinen bedeutet es ‘Nicht-USA’. PGP 5 i und spätere Versionen wurde legal aus den US exportiert und können außerhalb der USA in jedem Land verwendet werden, wo Verschlüsselung legal ist. Wenn Sie nicht sicher sind, ob Verschlüsselung in Ihrem Land legal ist, schauen Sie bei Crypto Law Survey nach.


2.2. Darf ich PGPi für kommerzielle Zwecke nutzen?

Ja, Sie dürfen, aber Sie müssen eine kommerzielle Userlizenz von Network Associates Inc. oder seinen bevollmächtigten Vertretern erwerben.

Wenn Sie in den USA oder Kanada leben, gehen Sie zu http://www.nai.com/.

Wenn Sie woanders leben, gehen Sie zu http://www.pgpinternational.com/.

Wenn Sie ein PGP kompatibles Produkt verwenden wollen, (d.h. ein Verschlüsselungsprodukt, das interoperable mit PGP ist oder auf einem offenen PGP-Standard basiert, aber keine Software enthält, die PGP tatsächlich gehört, um die Kryptographiefunktionen durchzuführen) können Sie zusätzliche Lizenzen von Drittanbietern erwerben, wie Ascom Systec AG in der Schweiz, wenn der IDEA Algorithmus bei einem solchem Produkt verwendet wird, oder von RSA Data Security Inc., wenn der RSA Algorithmus bei solchem Produkt verwendet wird und das Produkt soll in den USA vertrieben werden soll.


2.3. Darf ich PGP Code in meinen eigenen Programmen verwenden?

Der Quellcode für PGP 2.3 und früher wird unter GPL – der Allgemeinen Öffentlichen Lizenz – vertrieben, so daß er frei in Ihren eigenen Programmen verwendet werden kann.

Die Quellcodes für PGP 2.6 und später können als Ganzes in unveränderter Form unter den Bedingungen der PGP Lizenz für Nicht-kommerzielle Quellcodes für PGP 5.0 i in Ihren Produkten zum eigenen Nicht-kommerziellen Gebrauch verwendet werden. Wenn der IDEA Algorithmus eingeschlossen wird, kann jede Änderung des Codes wegen Lizenzbeschränkungen eine weitere Lizenz von Ascom Systec AG erfordern (Siehe Frage 2.2).

Siehe auch: PGP Entwickler Seite.


2.4. Darf ich PGPi weiter verteilen?

Ja. Alle PGPi Freeware Versionen können verteilt werden, solange alle Dateien im Archiv enthalten sind, und sie auf keine Weise modifiziert wurden. Ausdrücklich können Sie:

* Es auf einer Website oder auf einem FTP Server zum Downloaden verfügbar machen
* Es auf einer CD-ROM, die frei oder für einen bescheidenen Preis, um die Medien und Lieferungskosten zu decken, verteilt wird, beifügen
* Es auf einer CD-ROM, die mit einem Buch oder einer Zeitschrift im Bundle verkauft wird, beifügen
Es sollte auch deutlich zu sehen sein, daß dies eine Freeware Version ist, mit Hinweisen darauf, wo man die neueste Version und die kommerzielle Version (z.B. pgpi.didisoft.com) finden kann.

Das Einzige, das Sie nicht mit der Software tun können, ist:

  1. Geld dafür nehmen
  2. Sie modifizieren
  3. Den Eindruck zu vermitteln, daß sie nirgendwo anders als Freeware erhältlich ist


3.1. Wo erhalte ich PGPi?

PGPi ist sowohl als Quellcode als auch als vorkompilierte Binaries verfügbar für viele verschiedene Plattformen. Sie können PGP von einer der folgenden Quellen bekommen:

WWW:

http://pgpi.didisoft.com/download/

FTP:

ftp://pgpi.didisoft.com/pub/pgp/


3.2. Welche E-mail Plugins gibt es für PGP 6.x?

PlattformProgrammPGP 6.0.2iPGP 6.5.1Bemerkung
WindowsEudora 3.x und 4.xJaJaEnthalten in PGP 6.0.2i und später
Outlook 97 & 98JaJaEnthalten in PGP 6.0.2i und später
Outlook 2000NeinJaEnthalten in PGP 6.5.1
Outlook Express 4JaJaEnthalten in PGP 6.0.2i und später
Outlook Express 5NeinJaEnthalten in PGP 6.5.1
Netscape Communicator 3.x und 4.xNeinNeinDas wird wahrscheinlich nie passieren – Sie müssen statt dessen über die Zwischenablage ver-/entschlüsseln. Hier steht, weshalb.
Mozilla (Netscape 5.x)NeinNeinNoch nicht – arbeitet schon jemand dran?
Lotus NotesJaJaEnthalten in PGP 6.5.1, 6.0.2i Plugin verfügbar hier.
Pegasus Mail 3.0JaJaSie erhalten es hier.
MacintoshEudoraJaJaEnthalten in PGP 6.0.2i und später
Claris EmailerJaJaEnthalten in PGP 6.0.2i und später


3.3. Warum gibt es kein Plugin für Netscape Messenger 4.x?

Netscape hat nach einem anderen Verschlüsselungsstandard standardisiert, bekannt als S/MIME, das nicht mit PGP kompatibel ist. Leider hat Netscape kein offenes API für Entwickler geliefert, die Unterstützung für andere Verschlüsselungsschemata hinzufügen möchten. Deshalb gibt es kein Email – Plugin für Netscape Messenger. Wenn Sie PGP mit Netscape verwenden möchten, müssen Sie in der Zwischenablage verschlüsseln und entschlüsseln.


3.4. Gibt es eine PGP DLL?

Ja . PGP 6.0 i schließt ein DLL ein, die Sie aus Ihren eigenen Programmen anrufen können. Die DLL ist nicht dokumentiert, aber wenn Sie den PGP 6.0i Quellcode downloaden, sollten Sie in der Lage sein, zu begreifen, wie es funktioniert. Beachten Sie jedoch, daß sich das API von PGP 5.x in 6.x geändert hat, also sollten Sie nicht die DLL verwenden, die mit PGP 5.0 i kommt.

Es gibt auch andere DLLs, SDKs und Bibliotheken, die Sie für Ihre eigene Programmentwicklung verwenden können – siehe bei Ressourcen für PGP Entwickler.


3.5. Wo kann ich aktuelle Sprachmodule für PGPi bekommen?

Sprachmodule für die Befehlszeilen-Versionen von PGP können Sie hier finden.


4.1. Wie kann ich die Integrität von PGPi überprüfen?

Alle PGPi Archive enthalten eine oder mehrere Unterschriftsdateien, mit denen Sie überprüfen können, daß die Dateien nicht verändert wurden. Die Unterschriftsdateien haben die Dateierweiterung “.asc” oder “.sig”, und sind entweder im Archiv (, damit Sie jede Datei im Archiv überprüfen können), oder in einer separaten Datei im selben Verzeichnis wie das Archiv (damit Sie das ganze Archiv auf einmal überprüfen können).

Um die Signaturen überprüfen zu können, benötigen Sie den Public Key des Unterzeichners:

* Ståle Schumacher Ytteborg (0xCCEF447D / 0x0A791610): Quellcode, Unix und Windows Versionen
* Michael Westlund (0x7C20A990): Macintosh Version
* Stefan Zakarias (0xCA214F18): Amiga Version


4.2. Ich habe Probleme bei der Installation von PGPi. Was mache ich da?

Lesen Sie zuerst die Dokumentation sorgfältig lesen.

Wenn Sie immer noch Probleme haben, schauen Sie auf die Supportseite.


4.3. Ich bekomme PGP 6.0.2i mit Outlook Express (Internet Explorer) 5.0 nicht zum Laufen. Was ist falsch?

Das Outlook Express Plugin, das mit PGP 6.0.2i geliefert wird, arbeitet nur mit der OE Version 4. Sie müssen stattdessen auf PGP 6.5.1 updaten.


5.1. Kann PGP geknackt werden?

Ja. Jede Version von PGP kann geknackt werden, vorausgesetzt, der Angreifer hat genug Ziet und Ressourcen (= Geld) für diese Aufgabe. Für eine typische 1024-Bit PGP Nachricht würde man etwa 300.000.000.000 MIPS Jahre zum Knacken benötigen, so daß der gewöhnliche Bürger relativ sicher ist, wenigstens für die nächsten paar Jahrzehnte. Lesen Sie die PGP Angriff FAQ (http://axion.physics.ubc.ca/pgp-attack.html) für Details. Wenn jemand wirklich Ihre verschlüsselten PGP Nachrichten lesen will, würde er/sie wahrscheinlich eher eine Kopie Ihres geheimen Schlüssels stehlen, und Ihre Passphrase raten, oder Sie zwingen, Sie herauszugeben.


5.2. Ist PGPi nicht die Version, die zu Exportzwecken von der NSA abgeschwächt wurde?

Nein. PGPi ist genauso so sicher wie jede andere Version von PGP. Weder Phil Zimmermann, MIT, NSA, ich selbst oder irgend jemand anderes haben irgendeine Hintertür in PGPi plaziert, den Zufallsnummern-Generator lobotomiert, die effektive Schlüsselgröße beschränkt oder irgendetwas anderes getan, um die Sicherheit des Programms zu gefährden. Wenn Sie es nicht glauben, downloaden Sie den Quellcode und sehen Sie selbst. Der PGP Quellcode kann von jedem untersucht werden, und wurde es schon seit vielen Jahren. Noch hat niemand Hintertüren gefunden.

Wenn Sie immer noch nicht überzeugt sind, lesen Sie bitte, was Phil Zimmermann über die kryptographische Integrität von PGP schreibt.


5.3. Enthält PGP eine Hintertür?

Nein, nicht das ich wüßte. Lesen Sie Frage 5.2. Die ARR Funktion, die in Frage 5.4 erklärt wird, ist keine Hintertür; sie ist eine gut bekannte und offen diskutierte Funktion (obwohl viele Leute sie nicht mögen). Sie brauchen sie nicht zu verwenden, wenn Sie es nicht wollen.


5.4. Ich habe gehört, daß PGP 5 und später Funktionen zur Wiederherstellung von Nachrichten hat. Stimmt das?

Ja. Alle PGP Versionen 5.x und 6.x enthalten eine Funktion bekannt als ADK (Zusätzlicher Entschlüsselungsschlüssel), oder richtiger ARR (zusätzliches Empfängerersuchen). PGP Inc. führte diese Funktion in PGP auf Anforderung von Firmen ein, die in der Lage sein wollten, Nachrichten wieder herzustellen, die von ihren Angestellten geschrieben wurden (z.B. wenn die Angestellten aufhören). Jedoch machten Sie es völlig optional. Es funktioniert wie folgt:

Wenn Sie einen neuen Schlüssel mit Hilfe der PGP Business-Edition generieren, können Sie angeben, daß mit diesem Schlüssel verschlüsselte Nachrichten auch mit dem Schlüssel Ihrer Firma verschlüsselt werden sollen. Wenn andere Leute später Nachrichten mit Ihrem Schlüssel verschlüsseln, fordert PGP (jede 5.x Version), daß die Nachrichten auch mit Ihrem Firmenschlüssel verschlüsselt werden. Dies geschieht durch Hinzufügen Ihres Firmenschlüssels zur Empfängerliste. Jedoch kann der Benutzer diesen Schlüssel einfach aus der Empfängerliste entfernen, wenn er/sie es wünscht. Deshalb ist diese Funktion wirklich ein Zusätzliches Empfänger – Ersuchen; Es ist nicht Pflicht.


5.5. Enthält PGP Funktionen zur Schlüsselwiederherstellung?

Nein. PGP 5 und später beinahlten jedoch Nachrichten Wiederherstellungsfunktionen. Siehe Frage 5.4.


6.1. Wieso wurde PGP 5.5 und später so schnell gescannt?

Das Projekt zum Scannen von PGP 5.0 nahm viele Monate in Anspruch, aber Version 5.5 und später wurden in nur ein paar Wochen gescannt und Kontrollgelesen. Teun Nijssen erklärt, wie das möglich war.


6.2. Gibt es Bugs in PGPi?

Kein Programm ist 100% fehlerfrei, und dies gilt auch für PGPi. Für eine Liste der bekannten Bugs und deren Fixes, sowie um neue Bugs zu melden, lesen Sie die PGP Bugseite http://pgpi.didisoft.com/doc/bugs/.


6.3. Ist PGP Jahr 2000 kompatibel?

Ja. PGP verwendet das interne UNIX Datumsformat (eine 32-Bit Integer, die die Sekunden zählt, die seit dem 1. Januar 1970 vergangen sind), und so ist das beunruhigende Jahr nicht 2000, sondern 2038 (signed Integer) oder 2106 (unsigned Integer). Dann verwendet hoffentlich niemand mehr 32-Bit Maschinen.

Siehe auch: NAI’s Y2k Seite.


6.4. Wer ist verantwortlich für PGPi?

PGPi wurde von Ståle Schumacher Ytteborg in Norwegen herausgegeben. Diese Arbeit wäre jedoch nicht möglich gewesen ohne die Hilfe vieler Leute rund um die Welt. Weitere Informationen über das PGPi Projekt finden Sie hier.


6.5. Wo erhalte ich Unterstützung für PGPi?

Es gibt keine Unterstützung für Freeware Versionen von PGP. Wenn Sie Unterstützung brauchen, müssen Sie eine der kommerziellen Versionen kaufen. Es gibt viele Ressourcen über PGP im Internet, wo Sie Hilfe bekommen, wenn Sie Probleme haben, PGP zu installieren oder zu verwenden. Weitere Informationen finden Sie hier.

Wenn Sie eine Frage zu PGPi haben, können Sie sie mir zusenden, aber ich kann nicht garantieren, daß Sie eine Antwort bekommen. Ich bekomme einfach zu viel Email heutzutage. Bugs sollten pgp-bugs@pgpi.didisoft.com gemeldet werden. Aber lesen Sie zuerst die entsprechende FAQs, da mein Briefkasten schon mit Nachrichten über PGP überschwemmt ist.


6.6. Wo erfahre ich mehr über PGP?

Hier sind ein paar Links für den Anfang:

* PGP Dokumentation
* Andere FAQs
* PGP Newsgroups
* PGP Bücher


PGPi Home > Documentation > FAQs > PGPi FAQ > German ]