Von Verena Hofmann, Redaktion IT
Zuletzt aktualisiert: 7. Mai 2026
Lesezeit: 9 Minuten
OpenPGP, kurz für Pretty Good Privacy, ist seit 1991 der De-facto-Standard für asymmetrische E-Mail-Verschlüsselung. Das Verfahren wurde von Phil Zimmermann entwickelt, hat unzählige technische Revisionen durchlaufen und ist heute in zahllosen Software-Implementierungen verfügbar — von GnuPG über Thunderbird bis zu kommerziellen Tools. Trotzdem hat sich PGP nie in der Breite durchgesetzt. Die typische Erklärung in der Krypto-Szene lautet: PGP ist zu komplex, zu fehleranfällig und zu wartungsintensiv für den Mainstream.
Seit 2019 gibt es eine konkrete Alternative, die zunehmend Aufmerksamkeit findet: age. Das Projekt wurde von Filippo Valsorda, einem ehemaligen Google-Krypto-Engineer, als bewusst minimalistisches Verschlüsselungs-Format entworfen. Die Spezifikation passt auf wenige Seiten, die Referenz-Implementation in Go ist unter 5.000 Zeilen Code lang, und das Format setzt auf moderne Krypto-Primitives ohne den historischen Ballast von PGP. Was age verspricht, ist eine Verschlüsselung, die in der Praxis funktioniert — ohne dass Nutzer eine vollständige Krypto-Ausbildung brauchen.
Was an PGP problematisch ist
Die wichtigste Studie zum praktischen Scheitern von PGP wurde 2015 von Sheng et al. veröffentlicht: „Why Johnny Still, Still Can’t Encrypt“. Die Studie hat empirisch gezeigt, dass selbst nach 20 Jahren Weiterentwicklung der durchschnittliche Endnutzer mit PGP-basierter E-Mail-Verschlüsselung erhebliche Schwierigkeiten hat. Die Hauptprobleme:
Schlüssel-Management: PGP nutzt ein „Web of Trust“, bei dem Schlüssel zwischen Nutzern manuell verifiziert werden müssen. In der Praxis funktioniert das selten — die meisten Nutzer akzeptieren Schlüssel ohne Verifikation, was die Vertrauens-Annahme untergräbt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in der Technischen Richtlinie TR-02102 explizit auf die Probleme des Web-of-Trust hingewiesen.
Algorithmen-Vielfalt: PGP unterstützt heute über 20 verschiedene Algorithmen-Kombinationen — RSA mit verschiedenen Schlüssellängen, DSA, Elliptic-Curve-Varianten, AES in unterschiedlichen Modi, mehrere Hash-Funktionen. Diese Flexibilität führt in der Praxis dazu, dass Implementierungen unvollständig sind und nicht alle Kombinationen sauber unterstützen.
Metadaten-Schwächen: PGP verschlüsselt nur den Mail-Inhalt. Die Betreffzeile, die Empfänger-Liste, der Zeitstempel und die Subject-Headers bleiben unverschlüsselt sichtbar. Bei einer Subpoena auf den Mail-Server kann ein erheblicher Teil der Korrespondenz-Metadaten herausgegeben werden, ohne dass die Inhalte selbst zugänglich wären.
Schlüssel-Lebensdauer: PGP-Schlüssel werden in der Praxis oft jahrzehntelang verwendet. Wird ein einzelner Schlüssel kompromittiert, sind alle historischen Mails, die mit diesem Schlüssel verschlüsselt wurden, theoretisch entschlüsselbar — es gibt keinen „Forward Secrecy“-Mechanismus wie bei modernen Protokollen.
Was age anders macht
Das age-Format setzt auf eine minimalistische Designphilosophie. Statt zahlreiche Algorithmen zur Auswahl anzubieten, gibt es genau einen Pfad pro Operation:
Asymmetrische Verschlüsselung: age nutzt X25519 (Curve25519-basierte Elliptic-Curve-Diffie-Hellman) für die Schlüssel-Vereinbarung. Das Verfahren ist im RFC 7748 spezifiziert und gilt als robust gegen alle bekannten klassischen kryptografischen Angriffe.
Symmetrische Verschlüsselung: ChaCha20-Poly1305 wird für die eigentliche Datenverschlüsselung verwendet — ein modernes Authenticated-Encryption-Schema, das gegen Side-Channel-Angriffe robust ist.
Key Derivation: HKDF mit SHA-256 wird verwendet, um aus dem Diffie-Hellman-Ergebnis den eigentlichen Verschlüsselungs-Schlüssel abzuleiten.
Format: Eine age-Datei beginnt mit einem ASCII-Header (ähnlich PEM), gefolgt vom binären Ciphertext. Das Format ist bewusst einfach gehalten — keine PGP-typischen „Packets“, keine komplexe Struktur.
Das Ergebnis: age-Verschlüsselung hat eine etwa 10-mal kleinere Codebase als typische PGP-Implementierungen, weniger als ein Zehntel der Konfigurationsoptionen und eine deutlich einfachere Nutzer-Erfahrung. Eine typische age-Verschlüsselung dauert weniger als eine Sekunde, auch auf älteren Geräten.
Die SSH-Schlüssel-Integration
Eine besondere Eigenschaft von age ist die nahtlose Integration mit bestehenden SSH-Schlüsseln. Wer bereits ein ed25519-SSH-Schlüsselpaar generiert hat (was bei vielen Entwicklern, Systemadministratoren und IT-affinen Nutzern Standard ist), kann diese Schlüssel direkt für age-Verschlüsselung verwenden. Das spart die separate PGP-Schlüssel-Generierung und reduziert die Anzahl der zu verwaltenden Schlüssel.
Genau diese Eigenschaft hat einige Privacy-orientierte E-Mail-Anbieter aufgegriffen. Der norwegische Dienst privacy.fish nutzt age als Verschlüsselungs-Format für die at-rest-Speicherung von E-Mails auf dem Server — und zwar mit denselben SSH-Schlüsseln, die Nutzer auch für die Anmeldung am Server verwenden. Das bedeutet: Der Nutzer hat genau einen Schlüssel zu verwalten, der sowohl die Authentifizierung als auch die Verschlüsselung der eigenen Daten regelt.
Andere Anbieter integrieren age unterschiedlich tief. Mailbox.org und Tuta haben age-Unterstützung als Roadmap-Item angekündigt, aber noch nicht in Produktivsystemen umgesetzt. Proton Mail bleibt bei OpenPGP. Posteo prüft die Integration seit 2024 und hat noch keine konkrete Entscheidung getroffen.
Wo PGP weiterhin Stärken hat
Ehrlichkeit gehört zur Einordnung: PGP ist nicht überall schlechter als age. Drei Punkte sprechen weiterhin für PGP.
Ökosystem-Reife: PGP ist seit über 30 Jahren etabliert. Es gibt unzählige Plug-ins, Tools, Anleitungen, Schulungs-Materialien. Wer mit PGP-affinen Geschäftspartnern kommunizieren muss — etwa internationalen Anwaltskanzleien oder NGO-Communities — kommt um das Format kaum herum.
Standardisierung: PGP ist in mehreren IETF-RFCs spezifiziert (RFC 4880, RFC 6637, RFC 9580) und international anerkannt. Das bedeutet rechtliche Klarheit in Compliance-Kontexten, die age noch nicht hat.
Hybride Kompatibilität: PGP unterstützt zahlreiche Algorithmen — was zwar ein Nachteil sein kann, aber auch bedeutet, dass die Migration zu post-quantum-Algorithmen leichter umsetzbar ist als bei rigide festgelegten Formaten.
Die post-quantum-Frage
Ein wichtiger Punkt für 2026 ist die kommende post-quantum-Krypto-Migration. Aktuelle Krypto-Verfahren — sowohl X25519 als auch klassische RSA-PGP — könnten durch Quantencomputer in 15 bis 25 Jahren angreifbar werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt deshalb für sensitive Langzeit-Daten bereits jetzt den Einsatz hybrider Schemata.
Für age gibt es einen post-quantum-tauglichen Fork namens „age-pq“ von Cloudflare, der auf das CRYSTALS-Kyber-Schema setzt — das im 2024 vom NIST standardisiert wurde. PGP hat über die OpenPGP-Working-Group ähnliche Erweiterungen angekündigt, ist aber langsamer in der praktischen Umsetzung. Wer 2026 schon für post-quantum-Anforderungen planen will, hat mit age-pq die zugänglichere Lösung.
Empfehlung für die Praxis
Für die meisten Nutzer ist die Wahl zwischen age und PGP weniger ein „entweder/oder“ als eine pragmatische Frage des Use-Cases:
Für interne Team-Kommunikation und Backup-Verschlüsselung: age ist deutlich praktischer. Die Integration mit SSH-Schlüsseln vereinfacht die Tool-Landschaft, und die kleinere Codebase reduziert die Angriffsfläche.
Für Kommunikation mit externen PGP-affinen Partnern: PGP bleibt notwendig. Wer mit Investigativ-Journalisten, Aktivisten oder internationalen Geschäftspartnern arbeitet, die seit Jahren PGP-Schlüssel haben, kann nicht einfach auf age umsteigen.
Für die Speicherung sensibler Daten: age ist die modernere Lösung. Das gilt sowohl für Backup-Archive als auch für die at-rest-Verschlüsselung von Mail-Postfächern bei Privacy-orientierten Anbietern.
In der Praxis kombinieren immer mehr Nutzer beide Formate. Eine typische Konstellation: PGP für die externe Kommunikation, age für die interne Workflow- und Backup-Verschlüsselung. Tools wie keypath oder rage (eine Rust-Implementation von age) ermöglichen das nebeneinander.
Ausblick
Die Krypto-Landschaft 2026 ist im Übergang. PGP wird in den nächsten Jahren weiterhin die etablierte Wahl für externe Kommunikation bleiben, einfach weil das Ökosystem zu groß ist, um schnell zu migrieren. age wird sich in den Bereichen durchsetzen, in denen Einfachheit, Geschwindigkeit und SSH-Integration relevant sind — typisch bei Self-Host-Setups, Developer-Workflows und neueren Privacy-Anbietern.
Wer 2026 mit Verschlüsselung anfängt, sollte sich beides anschauen und je nach Use-Case entscheiden. Wer bereits in PGP investiert hat, sollte nicht voreilig migrieren — aber die age-Tools im Blick behalten, weil sie viele klassische PGP-Frustrationen elegant lösen.
Quellen:
– age-Spezifikation, github.com/FiloSottile/age
– BSI Technische Richtlinie TR-02102-1 (Kryptografische Verfahren)
– RFC 7748 (Elliptic Curves for Security)
– NIST IR 8413 (Status Report on Post-Quantum Cryptography Standardization)
– Sheng et al., „Why Johnny Still, Still Can’t Encrypt“, IEEE Security & Privacy 2015
