hide-my-data.de

Email-Adressen vertrauen und beglaubigen

Wenn man vertrauliche Emails an Empfänger schickt, muss man sicher sein, dass nur der gewünschte Empfänger diese Email lesen kann. Dazu muss man insbesondere wissen, dass die Email-Adresse auch zu der Person gehört, der man etwas schicken will, und dass der Schlüssel auch in Besitz nur dieser Person ist.

Wenn man die Email-Adresse und den Schlüssel "persönlich" von der person bekommen hat, der man etwas schicken will, ist es leicht, den entsprechenden Dingen (Email-Adresse und Schlüssel) zu vertrauen. Aber wenn man eine Nachricht an jemanden schicken will, den man noch nicht persönlich kennt wird es schwierig.

Dann gibt es im Prinzip zwei Ansätze:

Im Zweifelsfall sollten Email-Adressen und dazugehörige Schlüssel also immer persönlich abgeglichen werden. Dazu sollte man vom Schlüssel den Fingerabdruck ("Fingerprint") vergleichen und sich einen Ausweis zeigen lassen. Der Fingerabdruck ist eine Prüfsumme der Schlüsseldaten (öffentlicher Hauptschlüssel plus dessen Generierungs-Zeitstempel) in hexadezimaler Form (zum Beispiel „72F0 5CA5 0D2B BA4D 8F86 E14C 38AA E0EB“). Er ist eindeutig und so kurz, dass man ihn leicht zusammen durchgehen kann.

Beglaubigungen

Nach einem solchen Abgleich kann man gleich dazu beitragen, dass das Web-of-Trust um die entsprechenden Informationen erweitert wird. Sprich: Man kann öffentlich bestätigen, dass der Schlüssel stimmt. Dies nennt man auch "beglaubigen", "unterschreiben", "signieren" oder "zertifizieren".

Zum öffentlichen Beglaubigen von Schlüsseln kann man noch festhalten, ob und wie gut die Überprüfung stattgefunden hat. Es existieren vier Stufen, die man angeben kann:

Worin genau der Unterschied zwischen den letzten beiden Punkten ist, ist nicht eindeutig definiert. Grundsätzlich sollte man für die letzte Option absolut sicher sein, dass alles stimmt.

Vertrauen

Wenn man (relativ) sicher ist, dass eine Email zur richtigen Person gehört, heißt das noch lange nicht, dass man dieser Person auch trauen kann. Zusätzlich kann man deshalb für sich persönlich (also nicht öffentlich) festlegen, ob und inwiefern man der Email-Adresse traut und somit deren Weiterempfehlungen trauen kann. Man hält für sich also fest, ob eine Person eher lax bei Überprüfungen ist oder sogar betrügt oder ob man (relativ) sicher ist, dass die Person sehr sorgfältig Fingerabdruck und Ausweis anderer Personen überprüft.

Man kann also persönlich für sich festhalten, ob und wie man einem anderen Schlüssel vertraut (auch "Besitzervertrauen" oder "Owner Trust" genannt). Es gibt dabei fünf Stufen:

Wie wird man Teil des Netzwerks des Vertrauens?

Zum einen kann man sich gegenseitig persönlich beglaubigen und diese Informationen dann öffentlich verfügbar machen (nach den Beglaubigungen die öffentlichen Schlüssel auf einen Schlüssel-Server hochladen).

Damit gleich mehrere Personen sich gegenseitig beglaubigen, feiert man immer mal wieder Krypto- oder Keysigning-Parties.

Eine sehr sorgfältige Instanz ist in Deutschland die c't bzw. der Heise Verlag. Um das Vertrauen in seinen Schlüssel herzustellen, kann man seinen Schlüssel dort im Rahmen der c't Krypto-Kampagne beglaubigen lassen. Aber wie gesagt, nur zentralen Instanzen zu vertrauen ist gefährlich. Am besten sollte die Beglaubigung von möglichst vielen Instanzen erfolgen, die man am besten selbst gut kennt.

So geht es konkret

Hier nun die Anleitungen, wie man Schlüssel beglaubigen kann, das Vertrauen festlegen kann, und abfragen kann, wer beglaubigt hat: