Schlüsselerlebnis
Feststellung 1: mein bisheriger GPG-Schlüssel läuft mit Ende diesen Jahres ab.
Feststellung 2: der öffentliche Schlüssel war auf Webspace der FH gehostet den ich eh nichtmehr hab
Schlussfolgerung: Es gibt ein Update meines öffentlichen Schlüssels auf Privatepaste (Fingerprint: 1811 4AE5 F27F FC99 FF58 BDCE 7214 7457 7D24 D34B )
An dieser Stelle sollte nochmal allen ans Herz gelegt sein Verschlüsselung und Signaturen zu verwenden. Die Sache ist erheblich einfacher als es klingt und es gibt auch mehr als genug Anleitungen. Die entsprechende Software gibt es übrigens als kostenlose OpenSource-Version, bei Linux wird sie eigentlich immer mitgeliefert und bei Windows ist sie auch schnell installiert.
Grundsätzlich kann man das Thema etwa so zusammenfassen (die mathematische Technik dahinter mal außer Acht lassend):
- jeder kann sich ein Schlüsselpaar aus öffentlichem und privatem Schlüssel erstellen
- der öffentliche Schlüssel wird an alle Leute verteilt die es interessiert
- private Schlüssel müssen geheim bleiben
- mit einem privatem Schlüssel kann man Dokumente (z.B. beliebige Dateien, E-Mails, Jabber-Nachrichten) signieren, also für jeden der den öffentlichen Schlüssel hat bestätigen dass dieses Dokument in seiner aktuellen und unveränderten Form so vom Besitzer des privaten Schlüssels unterschrieben wurde
- mit dem öffentlichen Schlüssel kann jeder dann auch beliebige Dokumente verschlüsseln, so dass nur wer den privaten Schlüssel besitzt diese auch wieder lesbar machen kann
- Man kann Schlüssel von Freunden signieren, andere sehen das wenn sie sich den Schlüssel des Freundes ansehen und wissen dass demjenigen von Signierenden vertraut wird. (Das hat natürlich nur dann Sinn wenn man dem Signierenden traut und er nicht jeden Schlüssel wahllos unterzeichnet sondern darauf achtet dass der Schlüssel auch wirklich zur betreffenden Person gehört -> Keysigning-Party oder Bestätigung des Schlüssels via Telefon)
BTW: Danke an Thorben für die mehrmalige Korrektur des Blödsinns den ich hier teilweise von mir gegeben habe. (Korrekturlesen war noch nie meine Stärke und ich sollte direkt nach dem Aufstehen wohl doch nicht bloggen sondern erstmal wach werden.) -.-
Importierte/Alte Kommentare:
#1007: 18.Dec.2008 08:12 von Markus
Ich habe mir erlaubt, den Key in meinen Schlüsselbund zu nehmen und nach Verifizierung des Fingerprint auch zu unterschreiben.
Der unterschriebene Key liegt auf dem von Enigmail Standard-Server subkeys.pgp.net
#1013: 15.Apr.2009 06:04 von Ben
"Nach verifizierung"
Man sollte Keys nur - und nur dann - unterschreiben, wenn man
a) Die Person getroffen hat
b) Sich den Personalausweis o.ä. hat zeigen lassen
c) von der Person gleichzeitig einen Ausdruck des Fingerprints mitbekommt
Danach sollte man den unterschriebenen Key pro E-Mailadresse aufteilen und diesen verschlüsselt an genau diese Adresse schicken. Dabei kontrolliert man nämlich gleich, ob die E-Mailadresse echt ist oder nicht, bzw. ob privater Schlüssel und Mailadresse und Person zusammenpassen.
Das heraufladen eines unterschriebenen Schlüssels kann Schaden, da er mit etwas Pech nie gefunden wird.
Grüße
#1014: 15.Apr.2009 02:04 von Dr. Azrael Tod
Das sollte man.. wird aber nicht durchsetzbar sein, von daher würde ich persönlich mal davon ausgeht dass es reicht wenn man die Person persönlich kennt (einmal treffen ist nicht kennen) und sich 100%ig sicher ist dass es auch derjenige ist als der er/sie sich ausgibt.
Ich lasse mir selten die Personalausweise von meinen Freunden zeigen und wenn mir jemand von denen seine Schlüssel-ID diktiert, bin ich mir eigentlich ziemlich sicher dass ich demjenigen trauen kann.
Ein absolut sicheres Schlüsselsystem wäre sicherlich sinnvoll.. aber was bringt das, wenn es keiner nutzt?
#1008: 18.Dec.2008 10:12 von Dr. Azrael Tod
Da lag der Schlüssel ohnehin bereits :-)
Wer also lieber auf den Schlüsselserver vertraut kann sich auch gerne von dort meinen Schlüssel holen (0x7D24D34B) und danach den Fingerprint vergleichen.
Ich wollte es nur erstmal so wenig technisch wie möglich halten :-)
#1009: 19.Dec.2008 12:12 von thorben
ich zitiere:
"mit einem privatem Schlüssel kann man Dokumente (z.B. beliebige Dateien, E-Mails, Jabber-Nachrichten) verschlüsseln (nur wer den öffentlichen Schlüssel hat kann sie lesen)"
Nö.
Wer deinen oeffentlichen Schluessel hat kann Daten VERSCHLUESSELN und nur dein privater Schluessel kommt wieder dran.
#1010: 19.Dec.2008 12:12 von Dr. Azrael Tod
outch... stimmt auffällig und ergibt anders rum auch nicht wirklich sinn.
Peinlich solche Fehler. -.-
#1011: 19.Dec.2008 12:12 von thorben
ich zitiere erneut:
"mit dem öffentlichen Schlüssel kann jeder dann auch beliebige Dokumente verschlüsseln, so dass nur wer den öffentlichen Schlüssel besitzt diese auch wieder lesbar machen kann"
nochmal Nö, (es sei denn man impliziert, dass der "Besitzer" des oeffentlichen Schluessels gleichzeitig der "Besitzer" des privaten Schluessels ist. Das wuerde aber wiederum implizieren, dass ich mit dem privaten Schluessel nix anfangen kann solange ich nicht den oeffentlichen besitze XD)
Tippfehler denk ich. Daher nach Korrektur diesen Kommentar gern loeschen :)
#1012: 19.Dec.2008 12:12 von Dr. Azrael Tod
Gnarf.. manchmal bin ich wirklich für alles zu doof.
Nochmals Danke