{title: Anwendung des "Web of trust" mit GnuPG} {date: 14. September 2003} {author: Lars} {version: 0.1} {abstract: Kurze Anleitung zur Erstellung und Nutzung des Web-of-Trust-Prinzips bei der Verschluesselung mit GnuPG}

Kurze Einleitung

Die notwendige Authentisierung neuer Schluessel wird in einem grossen Kommunikationskreis oder auch einfach nur mit wachsender Entfernung zwischen den Teilnehmern unverhaeltnismaessig aufwaendig, wenn man das Mindestmass an Sicherheit erhalten moechte (also persoenlicher Austausch des Fingerprints oder ein absolut sicherer Uebertragungskanal). GnuPG unterstuetzt aus diesem Grund das Signieren von Schluesseln. Die folgenden Kapitel sollen kurz die Anwendung und einfache Zusammenhaenge erklaeren, dabei wird meist die Nutzung des "GNU Privacy Assistent" und (alternativ) der gpg-Kommandozeile beschrieben.

Ein Beispiel

Nun kann Bob die Schluessel von Charlotte und Doris mit seinem privaten Schhluessel signieren.

Da Alice Bobs Schluessel (und seinem Umgang mit fremden Schluesseln) vertraut, darf sie nun ruhigen Gewissens die von ihm Schluessel von Charlotte und Doris verwenden, ohne deren Echtheit mit den beiden Menschen persoenlich ueberprueft zu haben.

Wie erkenne ich signierte Schluessel

GPA

Hier musst du nur auf den gewuenschten oeffentlichen Schluessel klicken und dann die Registerkarte Signaturen in der unteren Haelfte des Fensters aktivieren. Falls der Schluessel signiert wurde, dann wirst du hier alle Unterschriften sehen.

Kommandozeile

Wie signiere ich einen Schluessel

GPA

  1. den zu signierenden Schluessel auswaehlen
  2. die Schaltflaeche Signieren anklicken

Kommandozeile

Wie funktioniert das "Web of Trust"?

Per Definition darfst du einem fremden Schluessel nur dann vertrauen, wenn er von einer weiteren Person unterschrieben wurde, deren Schluessel (und Verhalten) du vertraust. Die meisten Programme kuemmern sich nicht darum, ob ein Schluessel unterschrieben wurde, oder nicht. Sie ueberlassen also dem Nutzer die Verantwortung, alle importierten Schluessel selbst zu pruefen.

Einige wenige Anwendungen (z.B. das Mailprogramm mutt) beschweren sich ueber unsignierte Schluessel und bitten den Benutzer zur Sicherheit jedesmal um eine Bestaetigung. Diese Warnung unterbleibt nur dann, wenn ein Schluessel vertrauenswuerdig ist.

Wann ist ein Schluessel vertrauenswuerdig?

Er muss folgenden beiden Bedingungen genuegen:

  1. er muss eine gueltige Unterschrift tragen von:
    • dir persoenlich oder
    • jemandem, dem du "voellig vertraust" oder
    • mindestens drei Menschen, denen du "teilweise vertraust"
  2. die Kette der Unterschriften bis zu deinem eigenen Schluessel darf nicht mehr als vier weitere Menschen beinhalten

Diese Definition ist eine Vorgabe von GnuPG, die du veraendern kannst.

Inwieweit ein Benutzer dein "voelliges" oder "teilweises" Vertrauen hat, legst du ausschliesslich fuer dich fest - dies gehoert nicht zu den Informationen, die du weitergibst, wenn du einen Schluessel exportierst.

Festlegung des Benutzervertrauens

Wie erkenne ich, ob ein Schluessel vertrauenswuerdig ist?

Was muss ich also tun?

Nichts, falls du das "Web of Trust" nicht nutzen moechtest. Dies fuehrt natuerlich zu einer geringeren Sicherheit, da du in manchen Faellen aufgrund des zu hohen Aufwands darauf verzichten wirst, die Echtheit eines Schluessels mit der gebotenen Sorgfalt zu ueberpruefen.

Falls du den Gedanken des "Web of Trust" fuer sinnvoll haeltst, dann musst du folgendes tun:

Zur Sicherheit nochmal: unterschreib nur dann, wenn du "weisst", nie wenn du "glaubst"; eine fehlende Unterschrift richtet keinen Schaden an - eine einzige falsche kann jedoch verheerend sein ...

FAQ

Q: eigener Schlüssel gilt als nicht vertrauenswürdig

A: Wenn du selbst einen Schlüssel erzeugst, dann hat er das Benutzervertrauen "absolut" - das ist eine Stufe ueber "voellig" und sollte nur fuer eigene Schluessel verwendet werden. GPA kennt diese Stufe (die wohl neu ist) leider nicht und gibt somit als Benutzervertrauen "unbekannt" an. Falls du also im Glauben, etwas Richtiges zu tun, das Benutzervertrauen deines eigenen Schluessels auf "voellig" setzt, verringerst du den bisherigen Vertrauensstatus. Ein Schluessel, der lediglich selbstbeglaubigt ist, ist jedoch nur dann vertrauenswuerdig, wenn das Benutervertrauen "absolut" ist. Folglich ist der Schluessel nicht mehr vertrauenswuerdig. Loesung: gpg --edit-key MeineAdresse starten und anschliessend trust eingeben. Nun kannst du dein Benutzervertrauen wieder auf "absolut" setzen. Eine Loesung mit dem GPA gibt es leider nicht.

WebOfTrust (last edited 2012-06-13 21:26:20 by anonymous)


Creative Commons Lizenzvertrag
This page is licensed under a Creative Commons Attribution-ShareAlike 2.5 License.