Es reicht nicht aus, wenn nur Sie selbst GnuPG benutzen wollen. Um
GnuPG zur sicheren Kommunikation mit anderen zu nutzen, müssen Sie
ein funktionierendes Web of Trust aufbauen. Auf
den ersten Blick scheint dies eine mühsame Aufgabe zu sein: Die
Leute, mit denen Sie kommunizieren, müssen GnuPG
ebenfalls benutzen, und die Schlüssel müssen von
ausreichend vielen Personen unterschrieben sein, so dass sie als
authentisch zu betrachten sind. Dies sind wohlgemerkt keine
technischen Schwierigkeiten, sondern soziale. Nichtsdestoweniger
müssen Sie diese Schwierigkeiten meistern, wenn Sie GnuPG benutzen
wollen.
Anfangs ist es noch nicht so wichtig, dass Sie mit allen
Korrespondenzpartnern sicher kommunizieren können. Wenn Sie mit
dem Gebrauch von GnuPG beginnen, suchen Sie sich einen kleinen
Kreis von Leuten - Sie selbst und noch ein oder zwei andere -, die
ebenfalls ihr Recht auf eine geschützte Privatsphäre in Anspruch
nehmen wollen. Unterschreiben Sie jeweils, wenn Sie sich von der
Identität der anderen Person überzeugt haben, deren öffentlichen
Schlüssel und lassen Sie sich im Gegenzug Ihren Schlüssel
signieren. Dieses kleine, robuste Web of Trust
ist Ihr Ausgangspunkt. Sie werden dessen Wert zu schätzen lernen
und - wenn Sie Ihr Web of Trust in der Zukunft
weiter ausbauen - um so gewissenhafter und vorsichtiger sein.
Über Ihr anfängliches Web of Trust hinaus möchten
Sie wahrscheinlich auch mit anderen Personen sicher kommunizieren;
hierbei können zwei Schwierigkeiten auftreten:
-
Sie wissen nicht immer, ob Ihr Gegenüber GnuPG benutzt oder
überhaupt benutzen will.
-
Selbst wenn Sie wissen, dass der andere GnuPG verwendet, könnten
Sie Schwierigkeiten bei der Authentifizierung seines öffentlichen
Schlüssels haben.
Das erste Problem rührt daher, dass viele Leute nicht öffentlich
bekanntgeben, dass sie GnuPG benutzen. Am besten, Sie gehen mit
gutem Beispiel voran und sorgen dafür, dass jeder Ihrer
potentiellen Kommunikationspartner weiß, dass Sie GnuPG benutzen.
Hierfür gibt es mehrere Möglichkeiten:
-
Signieren Sie Nachrichten, die Sie an Ihre Korrespondenzpartner
oder Mailinglisten verschicken, mit GnuPG.
-
Veröffentlichen Sie Ihren öffentlichen Schlüssel auf Ihrer
Website.
-
Geben Sie Ihren öffentlichen Schlüssel auf einen Key-Server und
veröffentlichen Sie die Schlüssel-ID in Ihrer E-Mail-Signatur
oder auf Ihrer Visitenkarte.
Indem Sie Ihren Schlüssel bekannt geben, machen Sie es auch für
andere akzeptabler, ihrerseits ihre Schlüssel bekannt zu geben.
Außerdem erleichtern Sie es dadurch anderen, sicher mit Ihnen zu
kommunizieren, da Sie die Initiative ergriffen und deutlich
gezeigt haben, dass Sie GnuPG benutzen.
Die Authentisierung der öffentlichen Schlüssel ist schwieriger.
Wenn Sie sich nicht persönlich von der Identität einer Person
überzeugt haben, dann dürfen Sie deren Schlüssel auch
nicht unterschreiben. In diesem Fall müssen Sie
auf die Unterschriften von anderen vertrauen und hoffen, eine
Kette von Unterschriften zu finden, die von dem betreffenden
Schlüssel zurück zu Ihrem eigenen führt. Solch eine Kette kann nur
zustande kommen, wenn Sie Ihren Schlüssel von anderen außerhalb
Ihres anfänglichen Web of Trust haben
unterschreiben lassen. Am einfachsten ist dies auf sogenannten
Key-Signing-Partys
zu erreichen: Das sind Zusammenkünfte, bei denen man sich
gegenseitig authentifiziert und die öffentlichen Schlüssel
unterzeichnet. Sollten Sie beispielsweise zu einer Konferenz
gehen, halten Sie Ausschau nach einer Key-Signing-Party.
Falls dort keine stattfindet, dann laden Sie doch einfach selbst
zu einer ein. Auf jeden Fall sollten Sie aber Ihren
GnuPG-Fingerabdruck immer bei sich haben (vielleicht auf Ihrer
Visitenkarte) so dass Sie spontan mit anderen die Schlüssel
tauschen können. Derjenige, dem Sie den Fingerabdruck gegeben
haben, könnte dann, nachdem er Ihre Identität überprüft hat, bei
der nächsten Gelegenheit Ihren öffentlichen Schlüssel unterschreiben.
Welchen Aufwand Sie betreiben, ist letztendlich Ihre Entscheidung
und hängt allein von Ihren Sicherheitsbedürfnissen ab. Niemand ist
verpflichtet, seinen Schlüssel öffentlich zu machen oder die
Schlüssel anderer zu unterschreiben. Eine der Stärken von GnuPG
ist die Flexibilität, mit der man die Benutzung den eigenen
Ansprüchen anpassen kann. Sie werden jedoch feststellen, dass Sie
Ihr Web of Trust ausbauen müssen, wenn sie GnuPG
für Ihre sichere Kommunikation einsetzen möchten.
|