Home    IRC    Kryptographie    PGP    Mittelalter    Gaukelei    Tanzen    Privates

Einführung in das Web of trust

Die Zertifizierung in PGP

Wenn Sie einem öffentlichen Schlüssel eines Ihrer Kommunikationspartner zu 100 % vertrauen, können Sie den Schlüssel durch eine sogenannte Signatur zertifizieren. Signaturen sind digitale Unterschriften unter einem öffentlichen PGP-Schlüssel und werden zusammen mit dem Schlüssel gespeichert.

Nehmen wir wieder der genannte Beispiel: Peter erhält folgenden Schlüssel von Frank:

Type Bits/KeyID Date User ID
pub 1024/8BE9E37D 1997/12/29 Frank Tester <frank.tester@tester.de>

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: 2.6.3i

mQCNAzSnkZEAAAEEAKO757kyrF/Br7MgYEckt2lW2ZA/2eOe2B6FwblcbTuGX8pR
CefQ/dbUUJI3I1ccHI+ShSWhf23f3cMNw1JbUgwM1PdnqBq1V3HjtF4YHvddMQGN
P2sxkXATvH3IAMJomFg1yLT9IfdoRXh5A9+MFMepA36hERYQfgkxPjaL6eN9AAUR
tCVGcmFuayBUZXN0ZXIgPGZyYW5rLnRlc3RlckB0ZXN0ZXIuZGU+iQCVAwUQNKeR
vdkb/p1j0CDNAQFKfgP/YbvS5H05qoDl3TxDvqSl3w0aNT0MM7D2WaXE42v/zoVB
+5zis6winfhrUGDhacxpGIB24LHKXlfGABw+acl3RfJiOxPYBY1fmHQ7Zyr+wUVg
EtuJ8K0Q+FFDFvviwNkHcSy2dgqy3C6VJo5Am5LrzF+fon16FMg4Hsmb0trOjMKJ
AJUDBRA0p5GSCTE+Novp430BAX7EA/0TqTgBHRXvmnkJwDAvRnMma2hhICeiv+Zq
ysfeQG7P9VjYom9Hnw5lPSQhaYiB5L6mDMcoKguhoMT1ifL2SEG31fzwXZQu7azf
fsT4HlypAIRfe/IbCjsUzNRjFpEiJ4AfpKnsmWES/YJxVZcXNlp/obbmH3F7w/Kc
yAqsJOGeFQ==
=FABH
-----END PGP PUBLIC KEY BLOCK-----

Er nimmt den Schlüssel zunächst in seinen Schlüsselbund auf und sieht ihn sich dann an. Durch die Option -kvv wird PGP dazu gebracht, die Signaturen eines Schlüssels auszugeben. Ferner kann die BenutzerID angegeben werden, damit nicht der gesamte Schlüsselbund ausgegeben wird:

  C:\PGP>pgp -kvv Tester_
  Pretty Good Privacy(tm) 2.6.3i - Public-key encryption for the masses.
  (c) 1990-96 Philip Zimmermann, Phil's Pretty Good Software. 1996-01-14
  International version - not for use in the USA. Does not use RSAREF.
  Current time: 1997/12/29 12:24 GMT

  Key ring: 'C:\PGP\pubring.pgp', looking for user ID "Tester".
  Type Bits/KeyID Date
  pub 1024/8BE9E37D 1997/12/29 Frank Tester <frank.tester@tester.de>
  sig 63D020CD Petra Hubert <petra.hubert@nachtfalke.de>
  sig 8BE9E37D Frank Tester <frank.tester@tester.de>
  1 matching key found.

  C:\PGP>_

(Hinweis: Wenn Sie dieses Beispiel nachvollziehen wollen, benötigen Sie den Schlüssel von Petra Hubert und Peter Müller, denn PGP kann nur die BenutzerIDs der Signaturen anzeigen, deren Schlüssel sich in Ihrem Schlüsselbund befindet. Den Schlüssel von Petra Hubert finden Sie am Ende der Seite.)

Was ist nun im obigen Beispiel passiert? Die ersten Zeilen sind die Standardmeldungen von PGP. Interessant werden die Informationen zum Schlüssel von Frank. In der ersten Spalte ist der Typ angegeben. pub besagt dabei, daß es sich um einen öffentlichen Schlüssel handelt. sec wäre der Typ für einen geheimen Schlüssel. Bei sig handelt es sich nun um die Signaturen, also die Unterschriften unter dem Schlüssel. Das sind also die Personen, die mit Ihrer Unterschrift dafür bürgen, daß der öffentliche Schlüssel tatsächlich zu Frank Tester gehört. (Hinweis: Die Tatsache, daß der Schlüssel von Frank von ihm selber signiert wurde rührt daher, daß PGP bei Generierung eines neuen Schlüsselpaares eine Selbstsignatur anfügt.)

Für Peter interessant ist nun die erste Signatur von Petra. Wie im Beispiel genannt, kennt Peter Petra als PGP-Expertin und vertraut ihr. Er kann also sicher sein, daß dieser Schlüssel tatsächlich Frank gehört. Das Vertrauen zu Frank's Schlüssel ist zustande gekommen, ohne daß Peter Frank bisher kannte. Das Web of trust hat dies ermöglicht.

Nun kann Peter noch einen Schritt weitergehen: Da er Petra vollstes Vertrauen entgegenbringt, möchte er auch Frank's Schlüssel unterschreiben, um das Web of trust weiterzuweben. Dazu kann PGP mit der Option -ks einen Schlüssel zertifizieren, d.h. mit einer Signatur versehen:

  C:\PGP>pgp -ks Tester_
  Pretty Good Privacy(tm) 2.6.3i - Public-key encryption for the masses.
  (c) 1990-96 Philip Zimmermann, Phil's Pretty Good Software. 1996-01-14
  International version - not for use in the USA. Does not use RSAREF.
  Current time: 1997/12/29 12:45 GMT

  Looking for key for user 'Tester':

  Key for UserID: Frank Tester <Frank.tester@tester.de>
  1024-bit key, key ID 8BE9E37D, created 1997/12/29
              Key fingerprint = D0 85 05 5A A0 C8 83 8F AD E4 AE B4 86 3D 2C 4A

  READ CAREFULLY: Based on your own direct first-hand knowledge, are
  you absolutely certain that you are prepared to solemnly certify that
  the above public key actually belongs to the user specified by that
  above user ID (y/N)? y_

  You need a pass phrase to unlock your RSA secret key.
  Key for user ID: Peter Mueller <peter.mueller@domain.de>
  1024-bit key, key ID 542D2AF9, created 1997/12/29

  Enter pass phrase: Pass phrase is good. Just a moment....
  Key signature certificate added.

  C:\PGP>_

PGP macht Sie sehr deutlich darauf aufmerksam, daß Sie sich absolut sicher sein sollten, daß es sich bei dem Schlüssel tatsächlich um den der genannten BenutzerID handelt. Sind Sie dies und wollen den Schlüssel wirklich signieren, so beantworten Sie die Frage mit y(es). Anschließend müssen Sie Ihre Passphrase eingeben, da der Schlüssel mit Ihrem privaten Schlüssel unterschrieben wird (die Passphrase des geheimen Schlüssels von Peter Müller lautet übrigens test). Nach Anhägen Ihrer Signatur ist das Web of trust weitergewebt: Alle Kommunikationspartner von Peter, die Peter vertrauen, können nun auch dem Schlüssel von Frank vertrauen, obwohl Sie Frank nicht kennen. Das Web of trust hat sich erweitert.

Aber...

Was wäre, wenn ein Fälscher nicht nur den Schlüssel von Frank Tester, sondern auch einen von Petra Hubert gefälscht hätte und somit auch die Signatur gefälscht ist? Wie können Sie sich dann noch der Authentizität eines Schlüssels sicher sein? Hierfür bietet Ihnen PGP den Fingerabdruck des Schlüssels, den sogenannten Fingerprint. Was es damit auf sich hat und wie dieser Fingerabdruck die Echtheit eines Schlüssels gewährleistet, erfahren Sie in einem Folgekapitel.

Das oben beschriebene Verfahren ist eine Möglichkeit, einen Schlüssel zu signieren. Die Möglichkeit der Zertifizierung kann aber bereits bei der Aufnahme in den Schlüsselring stattfinden. Dies ist im folgenden Kapitel beschrieben.

Öffentlicher Schlüssel von Petra Hubert

Type Bits/KeyID Date User ID
pub 1024/63D020CD 1997/12/29 Petra Hubert <petra.hubert@nachtfalke.de>

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: 2.6.3i

mQCNAzSnkO8AAAEEALl70dipQozfoFImIeRHqs+k1ApuBmRF25vge395wF5K9Qro
OZ0J6Z7EUy5E7FqqMeA5nuyVSQUPArAxhT2fiyfcKUGgRt7Rwfcn8odXdk4qDIRp
JMCRZUBKV/bsM+saVX8of5ZhKD+Lq3x/4Bqwm9+5aH3kG7abdtkb/p1j0CDNAAUR
tClQZXRyYSBIdWJlcnQgPHBldHJhLmh1YmVydEBuYWNodGZhbGtlLmRlPokAlQMF
EDSnkO/ZG/6dY9AgzQEBivAD/3wbM8+fJbziEqE2IepyfsfnlvrHCd1YtZPYmcEO
aUAI3yaadrkye1ncFXKoJMvuzPkEzg1KAPFIUEw09CDQ7fczyMQKd11GNFRs0Sgu
hLxP6hBsp2VCqKWAa2Ou2lYXYjdb5CMi1boXTWSvX+Xc0FAjiD+/EB3z587XMJnU
S4SG
=duAg
-----END PGP PUBLIC KEY BLOCK-----

Öffentlicher Schlüssel von Peter Müller

Type Bits/KeyID Date User ID
pub 1024/542D2AF9 1997/12/29 Peter Mueller <peter.mueller@domain.de>

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: 2.6.3i

mQCNAzSnkJwAAAEEANiZYiZGzF6p5cRZX/Vhkd20kWoNoCCcUwMVQeNrWp6SqXgf
PGVTb8mtWpfXqmGsqkIjkwJixlyMh00XDHIH2J5Mf6M5UL1fvvBlbrxdzFjNkOqr
Ksli7CLl9VaPwjsp3J2sazn1U1pLo+GKnDJ7OBDAXndKzi4xBl6ns1FULSr5AAUR
tCdQZXRlciBNdWVsbGVyIDxwZXRlci5tdWVsbGVyQGRvbWFpbi5kZT6JAJUDBRA0
p5CcXqezUVQtKvkBAXohA/9oiNT87wBASFnIzte8ae81aRERGbaKS4FrVZuj16+A
4IztqylNWxeerAx2r5nOb4xeClaOfz8A5c3vek3O5+Wyjjp8t716dGegQJJQnKHB
R3feE3Uj/otFUqM90gFGoL+vAcJX4oasPisKRtmNvxTwi4D3XP+1woWct8leKmj7
VA==
=W4Qn
-----END PGP PUBLIC KEY BLOCK-----

Geheimer Schlüssel von Peter Müller

Type Bits/KeyID Date User ID
sec 1024/542D2AF9 1997/12/29 Peter Mueller <peter.mueller@domain.de>

-----BEGIN PGP SECRET KEY BLOCK-----
Version: 2.6.3i

lQHgAzSnkJwAAAEEANiZYiZGzF6p5cRZX/Vhkd20kWoNoCCcUwMVQeNrWp6SqXgf
PGVTb8mtWpfXqmGsqkIjkwJixlyMh00XDHIH2J5Mf6M5UL1fvvBlbrxdzFjNkOqr
Ksli7CLl9VaPwjsp3J2sazn1U1pLo+GKnDJ7OBDAXndKzi4xBl6ns1FULSr5AAUR
Ae0sayQJKFBLA/t0vmlaCe0bmoL1jDsqW9YRjGbJK1yAIs60Rg9jvV+G51s6LvyM
lPmwfEh0itE8wZgqf0dzr29HlC9t+9mIRRO5Y10H2X+DFQ72LtCzueGZXkLp20Az
ueqe/0pPKigGN0PRkj3eGFRKlqkaVzgLLpPtPXs0c9+vqlMMvRDF5dNYMgIAxjKB
bHYZpFyv1YNnMhETB9LGjMau61czmg0D53n4D6/Xh/jul4kQYhrJvWhwW0gapkho
gIuj5SKORrv2AWzSuAIAQySemUC42Y/v3dA0RZTIpWd6+U8yhIu1J0owoMaC9S35
j/KJUPS5846YPDxFCPBbSAT38Jp0sT7oksl8PBz5KQH8N7Ia+evK/OKbj0xw/p/I
aPKGMzQIac2eIMXZufVbNz6VrkY9w7Uss7E/dmGjaeJvoKwyipShsISX7SCZcXw0
w6MCtCdQZXRlciBNdWVsbGVyIDxwZXRlci5tdWVsbGVyQGRvbWFpbi5kZT4=
=x4uX
-----END PGP SECRET KEY BLOCK-----


PGP-Hauptseite   Weiter   Zurück
© 01.07.1999 Guido Gehlhaar