Wie in Kapitel intro bereits bereits
ausführlich besprochen, wird der öffentliche Schlüssel eines
Korrespondenzpartners dadurch authentisiert, dass Sie persönlich
den Fingerabdruck seines Schlüssels prüfen und dann seinen
öffentlichen Schlüssel mit Ihrem geheimen Schlüssel
unterschreiben. Durch das persönliche Prüfen des Fingerabdrucks
können Sie sicher sein, dass der Schlüssel wirklich ihm gehört. Da
Sie den Schlüssel unterschrieben haben, können Sie sicher sein,
jede Verfälschung an ihm in der Zukunft zu entdecken. Leider ist
dieses Verfahren umständlich, wenn Sie entweder eine große Zahl
von Schlüsseln authentisieren müssen oder wenn Sie mit Leuten
kommunizieren, welche Sie nicht persönlich kennen.
GnuPG geht dieses Problem mit einem Mechanismus an, der allgemein
als Web of Trust bezeichnet wird. Im Web of
Trust wird die Verantwortlichkeit für das Authentisieren
öffentlicher Schlüssel an Personen übertragen, denen Sie zutrauen,
bei der Authentisierung von Schlüsseln die nötige Sorgfalt walten
zu lassen. Nehmen Sie zum Beispiel folgendes an:
-
Alice hat Blakes Schlüssel unterschrieben und
-
Blake hat Chloes Schlüssel und Dharmas Schlüssel unterschrieben.
Wenn Alice Blake hinsichtlich der ordnungsgemäßen Authentisierung
von Schlüsseln vertraut, dann kann sie davon ausgehen, dass Chloes
und Dharmas Schlüssel gültig sind, ohne dass sie diese persönlich
prüfen muß. Sie benutzt einfach ihre authentisierte Kopie von
Blakes öffentlichem Schlüssel, um zu prüfen, dass Blakes
Unterschriften auf den öffentlichen Schlüsseln von Chloe und
Dharma echt sind. Im allgemeinen wird, wenn Alice bei allen
Partnern völlig darauf vertraut, dass diese die von ihnen
unterschriebenen Schlüssel richtig authentisieren, auch jeder mit
einem gültigen Schlüssel unterschriebene Schlüssel als gültig
betrachtet. Der Ausgangspunkt ist Alices Schlüssel, dessen
Gültigkeit vorausgesetzt wird.
Vertrauen ist in der Praxis natürlich immer subjektiv. So ist
beispielsweise Blakes Schlüssel für Alice gültig, da sie ihn
selbst unterschrieben hat, aber vielleicht traut sie Blake kein
richtiges Authentisieren der von ihm unterschriebenen Schlüssel
zu. In diesem Fall könnte sie die Gültigkeit von Chloes und
Dharmas Schlüssel bezweifeln, da sich diese nur auf Blakes
Unterschrift stützt. Das Web of Trust trägt diesem Umstand
Rechnung, indem es jedem öffentlichen Schlüssel in Ihrem
Schlüsselbund eine Angabe darüber zuordnet, inwieweit Sie dem
Eigentümer des Schlüssels dahingehend vertrauen, dass er Schlüssel
erst nach gründlicher Prüfung authentisiert. Es gibt vier
Vertrauensstufen:
Unbekannt
Es ist nichts über die Fähigkeit des Eigentümers bekannt,
Schlüssel vor dem Signieren zu authentisieren. Alle Schlüssel in
Ihrem öffentlichen Schlüsselbund, die Ihnen nicht gehören, fallen
zunächst unter diese Vertrauensstufe.
Kein Vertrauen
Der Eigentümer ist dafür bekannt, andere Schlüssel nicht korrekt
zu unterschreiben.
Teilweises Vertrauen
Der Eigentümer versteht die Implikationen des Unterschreibens von
Schlüsseln und authentisiert Schlüssel richtig, bevor er sie
unterschreibt.
Volles Vertrauen
Der Eigentümer hat ein ausgezeichnetes Verständnis hinsichtlich
des Unterschreibens von Schlüsseln, und seine Unterschrift auf
einem Schlüssel wäre so gut wie Ihre eigene.
Das Vertrauensmaß eines Schlüssels ist etwas, das Sie alleine dem
Schlüssel zuordnen, und es wird als private Information
betrachtet. Es wird nicht mit dem Schlüssel verpackt, wenn dieser
exportiert wird; es wird sogar getrennt von Ihren Schlüsselbunden
in einer gesonderten Trustdatenbank (trustdb.gpg) gespeichert.
Der GnuPG-Schlüsseleditor kann benutzt werden, um das Maß Ihres
Vertrauens in den Eigentümer eines Schlüssels anzugeben. Der
Befehl lautet trust (Andererseits
fragt GnuPG auch nach, wenn es die Information braucht und noch
kein Vertrauensmaß angegeben wurde). In diesem Beispiel gibt
Alice das Maß ihres Vertrauens zu Blake an und aktualisiert dann
entsprechend die Trustdatenbank, um neu zu ermitteln, welche
Schlüssel auf der Basis ihrer neuen Einstufung von Blake gültig
sind.
user@linux ~$ gpg --edit-key blake
pub 1024D/B2690E6F created: 2000-06-06 expires: never trust: -/f sub 1024g/F251B862 created: 2000-06-06 expires: never (1) Blake (Staatsanwalt) <blake@cyb.org>
Befehl> trust
pub 1024D/B2690E6F created: 2000-06-06 expires: never trust: -/f sub 1024g/F251B862 created: 2000-06-06 expires: never (1) Blake (Staatsanwalt) <blake@cyb.org> Bitte entscheiden Sie, inwieweit Sie diesem User zutrauen, den Schlüssel eines anderen Users korrekt zu prüfen (Vergleich mit Lichtbildausweisen, Vergleich der Fingerabdrücke aus unterschiedlichen Quellen ...)?
1 = Weiß nicht so recht 2 = Kein Vertrauen 3 = Ich vertraue ihm normalerweise 4 = Ich vertraue ihm vollständig s = Bitte weitere Informationen anzeigen m = Zurück zum Menü
Ihre Auswahl? 3
pub 1024D/B2690E6F created: 2000-06-06 expires: never trust: m/f sub 1024g/F251B862 created: 2000-06-06 expires: never (1) Blake (Staatsanwalt) <blake@cyb.org>
Befehl> quit
|
Das Vertrauen in den Schlüssel-Eigentümer und in die Gültigkeit
des Schlüssels wird rechts neben dem Schlüssel angezeigt. An
erster Stelle wird das Vertrauen in den Eigentümer angezeigt,
dann das Vertrauen in die Gültigkeit des Schlüssels. Die vier
Vertrauensstufen werden folgendermaßen abgekürzt:
-
Unbekannt (q),
-
kein Vertrauen (n),
-
teilweises Vertrauen (m) und
-
volles Vertrauen (f)
In diesem Fall ist Blakes Schlüssel voll gültig, da Alice ihn
selbst unterschrieben hat. Anfangs fallen Blakes Schlüssel für
sie unter die Vertrauensstufe Unbekannt, doch sie
entscheidet sich dafür, ihn unter Teilweises
Vertrauen einzustufen.
|
Das Web of Trust ist ein flexibleres und komfortableres Verfahren
zur Authentisierung eines Schlüssels. Früher wurde ein Schlüssel
nur dann als gültig betrachtet, wenn er von Ihnen persönlich
unterzeichnet war. Nach diesem Verfahren wird jetzt auch ein
Schlüssel K als gültig betrachtet, wenn er die
folgenden zwei Bedingungen erfüllt:
-
Schlüssel K ist von genügend gültigen Schlüsseln
unterschrieben, das heißt, dass er entweder
-
von Ihnen persönlich oder
-
von einem Schlüssel vollen Vertrauens oder
- von drei Schlüsseln teilweisen Vertrauens
unterschrieben wurde.
-
Der Pfad unterschriebener Schlüssel, der vom Schlüssel
K zurück zu Ihrem eigenen Schlüssel führt,
besteht aus maximal fünf Schritten.
Die Pfadlänge, die Anzahl der erforderlichen Schlüssel Ihres
teilweisen Vertrauens und die erforderliche Anzahl der Schlüssel
Ihres vollen Vertrauens können Ihrer jeweiligen Vertrauensstufe
angepaßt werden. Die oben angegebenen Zahlen sind die von GnuPG
benutzten Standardwerte.
wot-examples zeigt ein Web of Trust, das
seinen Ausgangspunkt bei Alice hat. Das Diagramm zeigt
anschaulich, wer wessen Schlüssel unterschrieben hat und welche
Schlüssel Alice aufgrund ihres Vertrauens in die anderen
Mitglieder des Web of Trust als gültig betrachtet. In diesem
Beispiel wird angenommen, dass zwei Schlüssel teilweisen
Vertrauens oder ein Schlüssel vollen Vertrauens benötigt werden,
um einen anderen Schlüssel zu authentisieren. Die maximale
Pfadlänge beträgt drei Schritte.
Übersicht, wer wessen Schlüssel unterschrieben hat
Vertrauen |
|
Gültigkeit |
|
teilweise |
völlig |
teilweise |
völlig |
|
Dharma |
|
Blake, Chloe, Dharma, Francis |
Blake, Dharma |
Francis |
|
Blake, Chloe, Dharma |
Chloe, Dharma |
|
Chloe, Francis |
Blake, Dharma |
|
Blake, Chloe,Elena |
|
Blake, Chloe, Elena, Francis |
Beim Berechnen der gültigen Schlüssel in dem Beispiel gilt
folgendes: Blakes und Dharmas Schlüssel werden immer als voll
gültig betrachtet, da sie direkt von Alice unterschrieben worden
sind. Die Gültigkeit der anderen Schlüssel hängt vom Vertrauen
ab. Im ersten Fall genießt Dharma volles Vertrauen, woraufhin die
Schlüssel von Chloe und Francis als gültig betrachtet werden. Im
zweiten Beispiel genießen Blake und Dharma nur teilweises
Vertrauen. Da nun zwei Schlüssel teilweisen Vertrauens nötig
sind, um einen Schlüssel voll zu authentisieren, wird der
Schlüssel von Chloe als voll gültig, der von Francis aber nur als
teilweise gültig betrachtet. Falls Chloe und Dharma nur
teilweises Vertrauen genießen, wird Chloes Schlüssel nur
teilweise gültig sein, wähend Dharmas Schlüssel voll gültig ist.
Der Schlüssel von Francis jedoch wird ebenfalls nur als teilweise
gültig betrachtet, da nur ein voll gültiger Schlüssel zur
Authentisierung anderer Schlüssel benutzt werden kann, und
Dharmas Schlüssel der einzige voll gültige Schlüssel ist, der zum
Unterschreiben des Schlüssels von Francis benutzt worden ist.
Wenn teilweises Vertrauen in Blakes Schlüssel hinzukommt, kann
Chloes Schlüssel voll gültig werden und kann dann zur vollen
Authentisierung des Schlüssels von Francis und zur teilweisen
Authentisierung des Schlüssels von Elena benutzt werden. Wenn
schließlich Blake, Chloe und Elena volles Vertrauen genießen,
reicht dies noch nicht aus, um den Schlüssel von Geoff zu
authentisieren, da die maximal zulässige Länge des
Zertifizierungspfades aus drei Schritten bestehen soll, die
Pfadlänge von Geoff zurück zu Alice jedoch vier Schritte beträgt.
Das Web of Trust ermöglicht es Ihnen, GnuPG genau Ihren
Vorstellungen von Sicherheit anzupassen. Sie könnten
beispielsweise auf mehreren kurzen Pfaden von Ihrem Schlüssel aus
zu einem anderen Schlüssel K bestehen, um diesem
zu vertrauen. Vielleicht entscheiden Sie sich aber auch für
längere Pfade oder sogar nur einen Pfad von Ihrem Schlüssel zu
dem anderen Schlüssel K. Wenn Sie mehrfache
kurze Pfade voraussetzen, so ist das eine starke Garantie dafür,
dass Schlüssel K demjenigen gehört, von dem Sie
dies annehmen. Der Preis dafür ist natürlich, dass die
Authentisierung von Schlüsseln schwieriger ist, da Sie persönlich
mehr Schlüssel unterschreiben müssen, als wenn Sie weniger und
dafür längere Pfade akzeptieren.
|
|