PGP Tool

Lernen · 9 Min. Lesezeit

PGP für Journalisten einrichten: Ein praktischer 30-Minuten-Leitfaden

Quellen kontaktieren Journalisten über welchen Kanal auch immer sicher erscheint. PGP ist einer der wenigen, der einer Vorladung standhält. Hier ist das Mindest-Setup, das tatsächlich funktioniert.

Die E-Mail eines Reporters wird vorgeladen und der Staatsanwalt liest jede Nachricht im Klartext. Ein Reporter mit PGP erhält dieselbe Vorladung und der Staatsanwalt sieht Geheimtext, den er ohne Zwang des Reporters zur Herausgabe des Schlüssels nicht entschlüsseln kann (was ein eigener Rechtsstreit mit stärkeren Schutzmaßnahmen in den meisten Rechtssystemen ist).

PGP ist nicht das einzige Werkzeug — Signal, SecureDrop, verschlüsselte E-Mail-Anbieter haben alle ihren Platz. Aber PGP ist einzigartig dauerhaft: Es funktioniert mit jedem E-Mail-Client, hinterlässt keine Metadaten bei einem Drittanbieter und hat eine 30-jährige Erfolgsgeschichte gegenüber Regierungsangriffen. Jeder Journalist in einem Sicherheits- oder politischen Bereich sollte eines haben.

Das 30-Minuten-Setup

  1. Gehe zu /generate. Wähle ECC Curve25519 (moderner Standard). Verwende deinen echten Namen (oder ein Pseudonym, unter dem du veröffentlichst).
  2. Setze eine starke Passphrase — 5+ zufällige Wörter aus einer Wortliste, keine gängige Phrase. Schreibe sie auf Papier, nicht in einem Passwort-Manager auf demselben Gerät.
  3. Lade beide Schlüssel herunter. Die private Schlüsseldatei (.asc) kommt an einen Ort, den nur du erreichen kannst: ein Hardware-Token, ein verschlüsselter USB-Stick in einem Safe oder ein passwortgeschütztes Backup.
  4. Veröffentliche den öffentlichen Schlüssel. Füge die .asc zu deinem Bio auf der Website der Nachrichtenorganisation, deinen sozialen Profilen und einem Keyserver (keys.openpgp.org) hinzu.
  5. Drucke den Fingerabdruck auf deine Visitenkarte. Quellen, die dich persönlich treffen, können überprüfen, ob sie den richtigen Schlüssel haben.

Der tägliche Workflow

  • Eine Quelle fügt ihre Nachricht in /encrypt mit deinem öffentlichen Schlüssel ein. Sie senden den Geheimtext über einen beliebigen Kanal — sogar Twitter-DMs sind in Ordnung.
  • Du erhältst den Geheimtext, fügst ihn in /decrypt ein, gibst deine Passphrase ein und liest die Nachricht.
  • Du antwortest, indem du den öffentlichen Schlüssel der Quelle (den sie dir im Klartext gesendet haben) in /encrypt mit deiner Antwort einfügst.
  • Für Anhänge verwende /files. Für lange Dokumente /vault. Für selbstzerstörende Ankündigungen /paste mit einem Ablaufdatum.

Operative Hygiene

  • Generiere Schlüssel auf einem sauberen Gerät. Ein kompromittierter Laptop erzeugt einen kompromittierten Schlüssel.
  • Verwende den Air-Gap-Modus in dieser App für sensible Operationen.
  • Setze eine 2-Jahres-Ablaufzeit auf deinen Schlüssel. Wenn du aufhörst ihn zu verwenden, läuft er automatisch ab und Quellen verschlüsseln nicht mehr dazu.
  • Pflege ein Widerrufszertifikat — generiert durch "Schlüssel erzeugen" und separat gespeichert. Wenn dein Schlüssel kompromittiert wird, sagt das Veröffentlichen des Widerrufs der Welt, damit aufzuhören, ihm zu vertrauen.
  • Teile niemals dieselbe Passphrase zwischen PGP, deinem Laptop-Login und deinem Passwort-Manager.

Für Quellen, die das lesen

Finde einen Journalisten, der seinen PGP-Fingerabdruck veröffentlicht. Bestätige den Fingerabdruck über einen zweiten Kanal (ihre Arbeits-E-Mail, eine gedruckte Visitenkarte, ein verifiziertes soziales Profil). Verwende /encrypt mit ihrem öffentlichen Schlüssel. Sende den Geheimtext über einen beliebigen Weg, der deine Identität nicht mit ihrer verknüpft — ein öffentliches WLAN, ein Tor-Browser, eine Wegwerf-E-Mail. Der Journalist entschlüsselt auf seiner Seite. Die Kette hält.