Die Schlüsselprüfung | Inhalt |
Woher wissen Sie eigentlich, dass der fremde öffentliche Schlüssel wirklich vom Absender stammt? Und umgekehrt -- warum sollte Ihr Korrespondenzpartner glauben, dass der öffentliche Schlüssel, den Sie ihm geschickt haben, auch wirklich von Ihnen stammt? Die Absenderangabe auf einer E-Mail besagt eigentlich gar nichts.
Wenn Ihre Bank z.B. eine E-Mail mit Ihrem Namen und der Anweisung erhält, Ihre sämtliche Guthaben auf ein Nummernkonto auf den Bahamas zu überweisen, wird sie sich hoffentlich weigern -- E-Mail-Adresse hin oder her. Eine E-Mail-Adresse besagt überhaupt nichts über die Identität des Absenders.
Wenn Sie nur einen kleinen Kreis von Korrespondenzpartnern haben, ist die Sache mit der Identität schnell geregelt: Sie prüfen den Fingerabdruck des anderen Schlüssels.
Jeder öffentliche Schlüssel trägt eine einmalige Kennzeichnung, die ihn zweifelsfrei identifiziert; besser noch als ein Fingerabdruck einen Menschen. Deshalb bezeichnet man diese Kennzeichnung eben als „Fingerprint“.
Wenn Sie einen Schlüssel im GNU Privacy Assistant anklicken, sehen Sie im unteren Teil des Fensters u.a. den Fingerprint:
DD87 8C06 E8C2 BEDD D4A4 40D3 E573 3469 92AB 3FF7
Wie gesagt -- der Fingerprint identifiziert den Schlüssel und seinen Besitzer eindeutig.
Rufen Sie Ihren Korrespondenzpartner einfach an, und lassen Sie sich von ihm den Fingerprint seines Schlüssels vorlesen. Wenn die Angaben mit dem Ihnen vorliegenden Schlüssel übereinstimmen, haben Sie eindeutig den richtigen Schlüssel.
Natürlich können Sie sich auch persönlich mit dem Eigentümer des Schlüssels treffen oder auf jedem anderen Wege mit ihm kommunizieren, solange Sie ganz sicher sind, dass Schlüssel und Eigentümer zusammen gehören. Häufig ist der Fingerprint auch auf Visitenkarten abgedruckt; wenn Sie also eine authentische Visitenkarte haben, so können Sie sich den Anruf ersparen.
Nachdem Sie sich „per Fingerabdruck“ von der Echtheit des öffentlichen Schlüssel überzeugt haben, sollten Sie ihn signieren. Damit teilen Sie anderen Gpg4win-Benutzern mit, dass Sie diesen Schlüssel für echt halten: Sie übernehmen so etwas wie die „Patenschaft“ über diesen Schlüssel und erhöhen das allgemeine Vertrauen in seine Echtheit.
Klicken Sie dazu den betreffenden Schlüssel an und wählen Sie dann „Signieren“ aus der GPA-Menüleiste. Klicken Sie im nun folgenden Hinweis nur dann auf [Ja], wenn Sie hundertprozentig sicher sind, den richtigen Schlüssel zu signieren.
Geben Sie nun Ihre Passphrase ein und klicken Sie auf [OK]. Damit haben Sie mit Ihrem geheimen Schlüssel die Echtheit des Schlüssels bestätigt.
Da -- wie Sie wissen -- geheimer und öffentlicher Schlüssel untrennbar zusammengehören, kann jedermann mit Hilfe Ihres öffentlichen Schlüssels überprüfen, dass diese Signatur von Ihnen stammt und dass der Schlüssel nicht verändert wurde, also authentisch ist. Damit ist für einen Dritten -- wenn auch indirekt -- ein gewisses Vertrauen in die Echtheit und Gültigkeit des signierten Schlüssels gegeben.
Das Netz des VertrauensSo entsteht -- auch über den Kreis von Gpg4win-Benutzern Ihrer täglichen Korrespondenz hinaus -- ein „Netz des Vertrauens“, bei dem Sie nicht mehr zwangsläufig darauf angewiesen sind, einen Schlüssel direkt zu prüfen.
Wenn man dieses „Web of Trust“ weiterspinnt, entsteht eine flexible Beglaubigungs-Infrastruktur.
Eine einzige Möglichkeit ist denkbar, mit dem man diese Schlüsselprüfung aushebeln kann: jemand schiebt Ihnen einen falschen öffentlichen Schlüssel unter. Also einen Schlüssel, der vorgibt, von X zu stammen, in Wirklichkeit aber von Y ausgetauscht wurde. Wenn ein solcher gefälschter Schlüssel signiert wird, hat das „Netz des Vertrauens“ natürlich ein Loch. Deshalb ist es so wichtig, sich zu vergewissern, ob ein öffentlicher Schlüssel, wirklich zu der Person gehört, der er zu gehören vorgibt.
Was aber, wenn eine Bank oder Behörde überprüfen möchte, ob die Schlüssel ihrer Kunden echt sind? Alle anzurufen, kann hier sicher nicht die Lösung sein...
ZertifizierungsinstanzenHier braucht man eine „übergeordnete“ Instanz, der alle Benutzer vertrauen können. Sie überprüfen ja auch nicht persönlich den Personalausweis eines Unbekannten durch einen Anruf beim Einwohnermeldeamt, sondern vertrauen darauf, dass die ausstellende Behörde diese Überprüfung korrekt durchgeführt und beglaubigt hat.
Solche Zertifizierungsinstanzen gibt es auch bei der Public-Key Verschlüsselung. In Deutschland bietet unter anderem z.B. die Zeitschrift c't schon lange einen solchen Dienst kostenlos an, ebenso wie viele Universitäten.
Wenn man also einen öffentlichen Schlüssel erhält, dem eine Zertifizierungsstelle per Signatur seine Echtheit bestätigt, kann man sich darauf verlassen.
Derartige Beglaubigungsinstanzen oder „Trust Center“ sind auch bei anderen Verschlüsselungssystemen vorgesehen, allerdings sind sie hierarchisch strukturiert: es gibt eine „Oberste Beglaubigungsinstanz“, die „Unterinstanzen“ mit dem Recht zur Beglaubigung besitzt.
Am besten ist diese Infrastruktur mit einem Siegel vergleichbar: die Plakette auf Ihrem Autonummernschild kann Ihnen nur eine dazu berichtigte Institution geben, die die Befugnis dazu wiederum von einer übergeordneten Stelle erhalten hat.
Mit der hierarchischen Zertifizierungs-Infrastruktur entspricht dieses Modell natürlich wesentlich besser den Bedürfnissen staatlicher und behördlicher Instanzen als das lose, auf gegenseitigem Vertrauen beruhende „Web of Trust“ der GnuPG- und PGP-Modelle. Der Kern der Beglaubigung selbst ist allerdings völlig identisch: wenn man in Gpg4win zusätzlich eine hierarchische Zertifizierungsstruktur einbauen würde, dann würde auch Gpg4win dem strengen Signaturgesetz der Bundesrepublik entsprechen.
Wenn Sie sich weiter für dieses Thema interessieren (das zum Zeitpunkt der Arbeit an dieser Gpg4win-Ausgabe gerade in Bewegung ist), dann können Sie sich an der Quelle informieren: die Website „Sicherheit im Internet“ des Bundesministeriums für Wirtschaft und Technologie hält Sie über dieses und viele andere Themen aktuell auf dem Laufenden.
Eine weitere exzellente, mehr technische Informationsquelle zum Thema der Beglaubigungsinfrastrukturen bietet das Original GnuPG Handbuch, das Sie ebenfalls im Internet finden .
Die Schlüsselprüfung | Inhalt |