Home    IRC    Kryptographie    PGP    Mittelalter    Gaukelei    Tanzen    Privates

Einführung in das Web of trust

Doch halt!

Wie Sie sich vielleicht schon gedacht haben, handelt es sich bei dem eben gezeigten Schlüssel natürlich nicht um den öffentlichen Schlüssel des Bundesinnenministers. Der Schlüssel wurde von mir mit PGP selbst erzeugt. Zum Beweis hier der zu dem öffentlichen Schlüssel passende geheime Schlüssel. Wenn Sie wollen, können Sie die beiden Schlüssel ja einmal zusammen ausprobieren:

Type Bits/KeyID Date User ID
sec 1024/B0566001 1997/11/17 Manfred Kanther <Manfred.Kanther@Bundestag.de>

-----BEGIN PGP SECRET KEY BLOCK-----
Version: 2.6.3i
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=F8bT
-----END PGP SECRET KEY BLOCK-----

Was bleibt festzuhalten?

Jeder PGP-Nutzer kann beliebige Schlüssel generieren. Das ist zunächst kein Problem, denn eine verschlüsselte Nachricht kann ich nur dann entschlüsseln, wenn ich in Besitz des geheimen Schlüssels bin. Hätten Sie mit dem von mir erzeugten Schlüssel also eine Nachricht an Manfred Kanther geschickt, hätte dieser nichts mit der Nachricht anfangen können, da er nicht in Besitz des geheimen Schlüssels ist (nun, sofern er sich diese Seiten ansieht ist er natürlich schon in Besitz des geheimen Schlüssels - er steht ja oben).

Was aber, wenn nicht ich, sondern ein ausländischer Geheimdienst diesen Schlüssel gefälscht hätte? Und dieser Geheimdienst zudem technisch in der Lage wäre, den eMail-Verkehr zum Bundesinnenministerium abzufangen? Sie würden eine - vielleicht sogar geheim zu haltende Nachricht - mit diesem gefälschten Schlüssel senden und besagter Geheimdienst könnte diese Nachricht problemlos entschlüsseln, da er ja auch in Besitz des geheimen Schlüssels ist.

Fazit...

Wie können Sie einem öffentlichen Schlüssel trauen, den Sie über eine Website, einen öffentlichen Keyserver oder wie auch immer besorgt haben? Die Antwort ist (zunächst) relativ einfach: Gar nicht! Die einzige Alternative wäre, Sie bekommen den öffentlichen Schlüssel von Manfred Kanther persönlich (z.B. in Form einer Diskette) in die Hand gedrückt. Sie können sich aber sicherlich vorstellen, daß Sie nicht einfach Morgen ins Bundesinnenministerium fahren können und Herrn Kanther um seinen öffentlichen PGP-Schlüssel bitten werden. Schlimmer noch: Werden Sie nach Australien fliegen, um den Schlüssel eines Ihrer Kommunikationspartner persönlich in Empfang zu nehmen?

Warum also dann dieser Aufwand mit den Schlüsseln und der Verschlüsselung, wenn Sie einem öffentlichen Schlüssel nur dann trauen können, wenn Sie sich von dessen Authentizität persönlich überzeugt haben? Warum dann überhaupt PGP einsetzen?

Die Lösung!

Weg nun von Manfred Kanther zu einer etwas realeren Situation: Sie haben Kontakt zu Personen im Internet, mit denen Sie via eMail über Ihr Hobby diskutieren. Nun möchten Sie (aus welchen Gründen auch immer) bei Mails PGP einsetzen. Ihre Kommunikationspartner setzen auch PGP ein und besitzen öffentliche Schlüssel. Wenn Sie sich die Schlüssel nicht persönlich besorgen können, können Sie den Schlüsseln wie oben erörtert auch nicht vertrauen. Einer Ihrer besten Freunde aber hat einen Ihrer Kommunikationspartner während seines Urlaubs getroffen, und sich den Schlüssel persönlich aushändigen lassen. Würden Sie dem Schlüssel nun trauen, obwohl nicht Sie, sondern Ihr Freund (dem Sie vertrauen) diesen Schlüssel persönlich in Empfang genommen hat? Wahrscheinlich schon.

Und dies ist genau das Prinzip des Web of trust: Neben Schlüsseln, die Sie persönlich erhalten haben (und denen Sie daher vertrauen), schenken Sie auch Schlüsseln vertrauen, die Sie von Dritten erhalten, wenn Sie diesen Dritten trauen können.

In den folgenden Kapiteln ist dies exemplarisch dargestellt. Weiterhin wird erörtert, wie PGP dies technisch umsetzt.


PGP-Hauptseite   Weiter   Zurück
© 01.07.1999 Guido Gehlhaar