DE
       
 
0
unofficial world wide web avantgarde
Hilfe > Sicherheit >> Mail-Sicherheit: PGP  (9)
Text:    

Wie "unterschreibe" ich Schlüssel?
GnuGP arbeitet im Sinne eines dezentralen Netzes und verfügt nicht über zentrale Zertifizierungsstellen oder Zentralserver - die sog. öffentlichen Schlüsselserver, auf die jeder seinen öffentlichen Schlüssel laden kann, nehmen ebenfalls keine Überprüfung vor.

Das bietet Chancen (insb. gegen zentrale Attacken), aber auch Risiken: woher willst du wissen, das der öffentliche Schlüssel, den du zur Verfügung hast, auch tatsächlich der Echte des Empfängers ist? Die erste Möglichkeit, dies zu überprüfen, ist bereits erwähnt worden: mit dem sog. "Fingerprint". Nun wird es aber genug Fälle geben, in denen keinerlei Möglichkeit besteht, den Fingerprint mit dem Empfänger abzugleichen: weil du den Empfänger nicht kennst, weil due den Schlüssel von einem öffentlichen Schlüsselserver heruntergeladen hast oder weil der Empfänger seinen Fingerprint nicht veröffentlicht hat. Wie soll man nun die Echtheit des Schlüssels überprüfen?

Auch hierfür gibt es eine Möglicheit, die zwar nicht absolut sicher ist, aber mit steigender Teilnehmerzahl wächst: das sog. "Unterschreiben" öffentlicher Schlüssel. Dies läuft folgendermaßen: du erhälst von einer Person, die du kennst, den öffentlichen Schlüssel. Diesen kannst du nun mit verschiedenen "Sicherheitsstufen" versehen - du schätz ein, wie stark du diesem Schlüssel vertrauen kannst. Wenn dir die Person persönlich den Schlüssel übergeben hat, kannst du definitiv davon ausgehen, dass es sich um den "echten" Schlüssel handelt. Du gibst diesem öffentlichen Schlüssel also die beste Sicherheitseinschätzung. Damit hast du diesen Schlüssel "unterschrieben"; garantierst also gegenüber Dritten für die Echtheit. Je mehr Personen dies tun, desto sicherer ist der öffentliche Schlüssel, denn die Unterschriften unter einen öffentlichen Schlüssel werden in diesen aufgenommen und sich damit auch für andere sichtbar. So entsteht ein sog. Net of trust, das durch weite Verbreitung an Glaubwürdigkeit gewinnt.

Anmerkung: es gibt auch "professionelle" Möglichkeiten, diese Schlüsselsignierung durchzuführen: bei verschiedenen Instanzen, die dies nach Vorlage des Personalausweises tun, bei der Computerzeitschrift C't, oder bei sog. "Signierungsparties", also Usertreffen, die sich bei persönlichem Kontakt gegenseitig die Schlüssel als echt signieren.

Je mehr "Signaturen" ein öffentlicher Schlüssel trägt, als desto sicherer kann er gelten. Eine 100%ige Garantie ist dies alles freilich nicht. Aber sicherer als unverschlüsselte Kommunikation ist es allemal! • am 22.01.2007 von AG Technik
• Debatten in den Technik- und Webseiten-Foren auf www.secarts.org:
+155
Zitate für die 'Horch Horch'-Box (2)
ERSTER TEIL: Hier!für die kleine Zitate-Box auf der Journalseite, oben rechts, suchen wir immer nach netten mehr FPeregrin NEU 27.11.2022
FPeregrin NEU 21.11.2022
FPeregrin NEU 11.10.2022
12
Foren-'Rangliste'
Wieder da: die "secarts.org - Straße der Besten"!Auf vielfachen Wunsch hin ist die "Rangliste" für die secar mehr FPeregrin 27.03.2021
secarts 12.07.2014
FPeregrin 11.07.2014