» SelfLinux » Internet » GnuPG-Handbuch » GnuPG im Alltagsgebrauch » Abschnitt 7 SelfLinux-0.12.3
zurück Startseite Kapitelanfang Inhaltsverzeichnis PDF-Download (35 KB) GFDL Kryptogesetzumgebung

SelfLinux-Logo
Dokument GnuPG im Alltagsgebrauch  Autor
 Formatierung
 GFDL
 

7 Aufbau Ihres Web of Trust

Es reicht nicht aus, wenn nur Sie selbst GnuPG benutzen wollen. Um GnuPG zur sicheren Kommunikation mit anderen zu nutzen, müssen Sie ein funktionierendes Web of Trust aufbauen. Auf den ersten Blick scheint dies eine mühsame Aufgabe zu sein: Die Leute, mit denen Sie kommunizieren, müssen GnuPG ebenfalls benutzen, und die Schlüssel müssen von ausreichend vielen Personen unterschrieben sein, so dass sie als authentisch zu betrachten sind. Dies sind wohlgemerkt keine technischen Schwierigkeiten, sondern soziale. Nichtsdestoweniger müssen Sie diese Schwierigkeiten meistern, wenn Sie GnuPG benutzen wollen.

Anfangs ist es noch nicht so wichtig, dass Sie mit allen Korrespondenzpartnern sicher kommunizieren können. Wenn Sie mit dem Gebrauch von GnuPG beginnen, suchen Sie sich einen kleinen Kreis von Leuten - Sie selbst und noch ein oder zwei andere -, die ebenfalls ihr Recht auf eine geschützte Privatsphäre in Anspruch nehmen wollen. Unterschreiben Sie jeweils, wenn Sie sich von der Identität der anderen Person überzeugt haben, deren öffentlichen Schlüssel und lassen Sie sich im Gegenzug Ihren Schlüssel signieren. Dieses kleine, robuste Web of Trust ist Ihr Ausgangspunkt. Sie werden dessen Wert zu schätzen lernen und - wenn Sie Ihr Web of Trust in der Zukunft weiter ausbauen - um so gewissenhafter und vorsichtiger sein.

Über Ihr anfängliches Web of Trust hinaus möchten Sie wahrscheinlich auch mit anderen Personen sicher kommunizieren; hierbei können zwei Schwierigkeiten auftreten:

  • Sie wissen nicht immer, ob Ihr Gegenüber GnuPG benutzt oder überhaupt benutzen will.
  • Selbst wenn Sie wissen, dass der andere GnuPG verwendet, könnten Sie Schwierigkeiten bei der Authentifizierung seines öffentlichen Schlüssels haben.

Das erste Problem rührt daher, dass viele Leute nicht öffentlich bekanntgeben, dass sie GnuPG benutzen. Am besten, Sie gehen mit gutem Beispiel voran und sorgen dafür, dass jeder Ihrer potentiellen Kommunikationspartner weiß, dass Sie GnuPG benutzen. Hierfür gibt es mehrere Möglichkeiten:

  • Signieren Sie Nachrichten, die Sie an Ihre Korrespondenzpartner oder Mailinglisten verschicken, mit GnuPG.
  • Veröffentlichen Sie Ihren öffentlichen Schlüssel auf Ihrer Website.
  • Geben Sie Ihren öffentlichen Schlüssel auf einen Key-Server und veröffentlichen Sie die Schlüssel-ID in Ihrer E-Mail-Signatur oder auf Ihrer Visitenkarte.

Indem Sie Ihren Schlüssel bekannt geben, machen Sie es auch für andere akzeptabler, ihrerseits ihre Schlüssel bekannt zu geben. Außerdem erleichtern Sie es dadurch anderen, sicher mit Ihnen zu kommunizieren, da Sie die Initiative ergriffen und deutlich gezeigt haben, dass Sie GnuPG benutzen.

Die Authentisierung der öffentlichen Schlüssel ist schwieriger. Wenn Sie sich nicht persönlich von der Identität einer Person überzeugt haben, dann dürfen Sie deren Schlüssel auch nicht unterschreiben. In diesem Fall müssen Sie auf die Unterschriften von anderen vertrauen und hoffen, eine Kette von Unterschriften zu finden, die von dem betreffenden Schlüssel zurück zu Ihrem eigenen führt. Solch eine Kette kann nur zustande kommen, wenn Sie Ihren Schlüssel von anderen außerhalb Ihres anfänglichen Web of Trust haben unterschreiben lassen. Am einfachsten ist dies auf sogenannten en  Key-Signing-Partys zu erreichen: Das sind Zusammenkünfte, bei denen man sich gegenseitig authentifiziert und die öffentlichen Schlüssel unterzeichnet. Sollten Sie beispielsweise zu einer Konferenz gehen, halten Sie Ausschau nach einer Key-Signing-Party. Falls dort keine stattfindet, dann laden Sie doch einfach selbst zu einer ein. Auf jeden Fall sollten Sie aber Ihren GnuPG-Fingerabdruck immer bei sich haben (vielleicht auf Ihrer Visitenkarte) so dass Sie spontan mit anderen die Schlüssel tauschen können. Derjenige, dem Sie den Fingerabdruck gegeben haben, könnte dann, nachdem er Ihre Identität überprüft hat, bei der nächsten Gelegenheit Ihren öffentlichen Schlüssel unterschreiben.

Welchen Aufwand Sie betreiben, ist letztendlich Ihre Entscheidung und hängt allein von Ihren Sicherheitsbedürfnissen ab. Niemand ist verpflichtet, seinen Schlüssel öffentlich zu machen oder die Schlüssel anderer zu unterschreiben. Eine der Stärken von GnuPG ist die Flexibilität, mit der man die Benutzung den eigenen Ansprüchen anpassen kann. Sie werden jedoch feststellen, dass Sie Ihr Web of Trust ausbauen müssen, wenn sie GnuPG für Ihre sichere Kommunikation einsetzen möchten.


8 Fußnoten

In diesem Abschnitt bezieht sich GnuPG sowohl auf die GnuPG-Implementierung von OpenPGP als auch auf andere Implementierungen wie das PGP-Produkt von NAI.



zurück Seitenanfang Startseite Kapitelanfang Inhaltsverzeichnis PDF-Download (35 KB) GFDL Kryptogesetzumgebung