Home    IRC    Kryptographie    PGP    Mittelalter    Gaukelei    Tanzen    Privates

Einführung in das Web of trust

Der Fingerprint

Wie kann nun sichergestellt werden, daß ein Schlüssel nicht inklusive aller seiner Signaturen gefälscht worden ist? Hierfür bietet PGP den Fingerabdruck eines Schlüssels an, den sogenannten Fingerprint. Der Fingerprint ist eine 128 Bit-Zahl, die aus den Schlüsseldaten generiert wird. Zur Generierung dient der MD5-Algorithmus. Dieser Algorithmus gewährleistet u.a., daß kleine Änderungen in den Eingabedaten (d.h. den Schlüsseldaten) zu großen Änderungen im Fingerprint selbst führen. Außerdem ist der Algorithmus so konzipiert, daß aus dem Fingerprint die dazugehörige Eingabe nicht ohne größeren Aufwand berechenbar ist. Damit ist gewährleistet, daß der Fingerprint eines Schlüssels nahezu fälschungssicher ist. Wie gesagt: nahezu. Mit großer krimineller Energie und sehr guten Kenntnissen in Kryptographie und der Programmierung in C ließe sich wohl auch ein solcher Schlüssel unter hohem Aufwand inkl. der Signaturen fälschen. Der Aufwand ist jedoch so hoch, daß diese Problematik sicher nur noch für sehr sicherheitskritische Anwendungen (z.B. diplomatischer Schriftverkehr) von Interesse ist.

Wie wir gesehen haben, wird bei der Aufnahme eines neuen Schlüssels der Fingerprint automatisch von PGP angegeben um dem Benutzer die Möglichkeit der Überprüfung zu bieten. Mit der Option -kvc kann der Fingerprint eines Schlüssels ausgegeben werden:

  C:\PGP>pgp -kvc Hubert_
  Pretty Good Privacy(tm) 2.6.3i - Public-key encryption for the masses.
  (c) 1990-96 Philip Zimmermann, Phil's Pretty Good Software. 1996-01-14
  International version - not for use in the USA. Does not use RSAREF.
  Current time: 1997/12/29 14:18 GMT

  Key ring: 'C:\PGP\pubring.pgp', looking for user ID "Hubert".
  Type Bits/KeyID Date UserID
  pub 1024/63D020CD 1997/12/29 Petra Hubert <petra.hubert@nachtfalke.de>
              Key fingerprint = AE EA 23 9F A4 CF 7D 50 28 65 20 C6 D8 47 67 7A
  1 matching key found.

  C:\PGP>_

Wenn ich nun diesen Schlüssel in meinen Schlüsselbund aufnehmen will, mir aber nicht sicher bin, daß es sich tatsächlich um den Schlüssel von Petra Hubert handelt, kann ich mir Gewißheit verschaffen, indem ich den Fingerprint des Schlüssels z.B. mit einem mir vorliegenden Fingerprint von einer Visitenkarte von Petra Hubert vergleiche (oder ich rufe Sie an und bitte Sie, mir ihren Fingerprint mitzuteilen, oder, oder, oder).

Die mit PGP und dem Web of trust angeboten Möglichkeiten machen eine sichere Kommunikation im potentiell feindlichen Umfeld des Internet möglich. Sie bieten Privatsphäre (durch Verschlüsselung) und Authentizität (durch digitale Unterschriften und Signaturen). Aber: Seien Sie vorsichtig mit der Möglichkeit der Zertifizierung von öffentlichen Schlüsseln. Vergewissern Sie sich immer über die Identität eines Schlüsselbesitzers, dessen Integrität und vergleichen Sie die Fingerprints. Nur auf Basis dieses Vertrauens kann das Web of trust vor Mißbrauch geschützt werden und seine Funktion erfüllen.

Verweise auf weiterführende Literatur


PGP-Hauptseite   Zurück
© 01.07.1999 Guido Gehlhaar