Wie komme ich an den PGP-Schlüssel?

Im vorigen Artikel habe ich beschrieben, wie ich PGP/GnuPG und die zugehörige Software einrichte und benutze. Eine noch offene Frage ist jedoch, wie ich an den Schlüssel meines Gesprächspartners komme. Dieser Artikel soll ein wenig Licht in das Dunkel bringen.

Ein Kollege pflegte bei Problemen immer zu sagen, „Lass uns zum Äußersten gehen: Miteinander reden!“ Und in der Tat ist das auch in diesem Fall die beste Lösung. Frage dein Gegenüber, ob er/sie PGP unterstützt. Und wenn ja, bitte ihn/sie um den öffentlichen Schlüssel („public key“). Wird der Schlüssel nämlich persönlich übergeben (z.B. auf CD oder USB-Stick), dann ist die Frage, ob der Schlüssel echt ist, damit schon geklärt. Dass das eine durchaus wichtige Frage ist, werde ich weiter unten durch eine kleine Geschichte (hoffentlich verständlich) darlegen.

Eine weitere hinreichend sichere Möglichkeit ist, den öffentlichen Schlüssel auf der eigenen Website zum Download anzubieten, wie ich das hier ebenfalls tue. Der Besucher meiner Website kann dann, wenn er sich vom Cookie- und Tracking-Hinweis nicht hat abschrecken lassen, sich diesen Schlüssel leicht herunterladen und in Enigmail, Kleopatra oder ein anderes Programm zur Schlüsselverwaltung importieren. Dort sollte dann die Vertrauensfrage beantwortet werden.

Der dritte Weg wäre dann der Upload auf ein sog. „Schlüsselservernetzwerk“. Diese Funktion ist zumindest in Enigmail und Kleopatra integriert und sehr einfach zu benutzen (falls die entsprechende Kommunikation nicht in einem Unternehmensmetzwerk blockiert ist). Ein Schlüsselserver reicht aus, das Netzwerk tauscht die Schlüssel untereinander aus. In diesem Fall sollten jedoch ein paar Mindestangaben (Fingerprint, Länge, Gültigkeit, …) über den Schlüssel auf der Website stehen, die zur Überprüfung notwendig sind. Und da sind wir bei der angekündigten Geschichte.

Man in the Middle

Nehmen wir nun an, wir hätten mittels eMail-Adresse und ein wenig Magie des Schlüsselserver-Netzwerkes einen öffentlichen Schlüssel ermittelt. Dass die eMail-Adresse übereinstimmt, dürfen wir aufgrund des Suchvorganges erwarten, aber ist das schon alles? Wer schon einmal ein Schlüsselpaar für PGP oder GnuPG erstellt hat, weiß, dass das Programm uns die Frage stellt, wie wir heißen und welche eMail-Adresse der Schlüssel haben soll. Es ist also leicht einzusehen, dass diese Informationen auch völlig frei erfunden werden können. Wenn ich es für richtig halte, meinen neuen Schlüssel mit der Kennung „Hermann Müller <hermann@mueller-ohg.de>“ zu benennen, dann ist das so. Aber bin ich deswegen plötzlich „Hermann Müller“? Sicher nicht.

Ich könnte aber diesen Schlüssel problemlos dem Keyserver-Netzwerk anvertrauen, denn dabei erfolgt keine Prüfung auf Richtigkeit. Dann muss ich nur noch irgendwie an die Mails von Herrn Müller herankommen, und schon kann ich alle an diesen Key verschlüsselten Mails lesen.

Wenn nun Herr Müller selbst ebenfalls über einen solchen Schlüssel verfügt, kann ich die Mails einfach erneut verschlüsseln, diesmal aber an den richtigen Hermann Müller. Und das schönste ist, der merkt das nicht. Ich bin dann quasi der Mann in der Mitte, englisch „man in the middle“. Gibt es eine Möglichkeit, dass die Beteiligten das bemerken?

Die Vertrauensfrage

Kurz gesagt: Ja, die gibt es. Denn es gibt ein paar Daten, die dem Schlüssel zu eigen sind, und die wir überprüfen können. Das ist mindestens der sog. „Fingerprint“. In meinem Fall ist das 27E5 F212 E12B 1E55 9CA0 BCA3 416A C762 1331 68CD. Diese Information, wie auch der Schlüssel selbst, kann bei mir unter https://www.juengling-edv.de/pgp/ (Menüpunkt „Technisches“) eingesehen werden. Außerdem habe ich meine eMail-Adresse und die Key-ID 0x133168CD auf meiner Visitenkarte stehen. Wenn ihr das also sorgfältig überprüft, sollte es nahezu ausgeschlossen sein, euch einen falschen Key von mir unterzuschieben.

Ähnliche Artikel:

Schreibe einen Kommentar

Your email address will not be published.

13 + 6 =