PGP Key Server

Grundprinzip der asymmetrischen Verschlüsselung

Auf OpenPGP basierende asymmetrische Kryptosysteme wie etwa PGP (Pretty Good Privacy) dienen dem Verschlüsseln und Signieren von Mitteilungen, in der Regel E-Mails. Dabei wird ein digitales Schlüsselpaar benutzt, bestehend aus einem privaten (private key) und einem öffentlichen Schlüssel (public key). Der public key wird an den jeweiligen Kommunikationspartner übermittelt. Dieser benutzt denselben, um Nachrichten an den Besitzer des entsprechenden private key zu verschlüsseln. Nur mit dem private key lässt sich die Nachricht letztendlich wieder entschlüsseln. Aus diesem Grund ist es unerlässlich, den private key absolut geheim zu halten. Der private key ist zusätzlich mit einem Passwort versehen, um sicherzustellen, dass  er durch unbefugte Benutzer nicht verwendet werden kann.
Beim Signieren von Nachrichten benutzt der Absender den private key, um seine Identität nachzuweisen. Der Empfänger der Nachricht kann dann mit dem public key die Identität seines Kommunikationspartners verifizieren.
Im Gegensatz zu symmetrischen Verschlüsselungssystemen, bei denen sowohl für Ver- als auch für Entschlüsselung der gleiche Schlüssel verwendet wird, entfällt bei PGP oder dessen frei verfügbarem Pendant GnuPG das Problem der sicheren Übermittlung des public key. Der Übertragungsweg kann durchaus unsicher sein. Vielmehr besteht das Risiko hier darin, dass der Partner einen falschen public key benutzt, der ihm unbemerkt „untergeschoben“ wurde.

Verteilung des public key über Key Server

Bei wenigen Personen, mit denen kommuniziert werden soll, empfiehlt sich der Austausch per E-Mail, Brief, Fax o.ä. Ist der relevante Personenkreis jedoch größer, kann dieser Weg mühsam werden. In solchen Fällen stellen Key Server eine Alternative dar. Auf diesen Servern können public keys hinterlegt werden. Interessenten können jederzeit überprüfen, ob unter einem bestimmten Namen oder einer E-Mail-Adresse ein public key abgelegt ist und diesen benutzen, um damit Nachrichten an diesen Empfänger zu verschlüsseln. Sehr praktisch sind diese Server besonders dann, wenn eine Person verschiedene e-Mail-Adressen bzw. keys benutzt oder wenn Schlüsselpaare ausgetauscht werden.
Da die public keys den nichtsensitiven Teil des Verschlüsselungssystems darstellen, sind diese Server in der Regel öffentlich zugänglich. Dort abgelegte Daten sind nicht vom Betreiber beglaubigt. Eine Ausnahme hierbei bildet die Überprüfung der E-Mail-Adressen durch den PGP-Keyserver.

Datenschutz

Schlüsselserver haben nachweislich einen hohen praktischen Nutzen. Der Nutzer sollte sich jedoch bewusst sein, dass es einige Dinge zu bedenken gibt, bevor er seinen public key darüber verbreitet.
Eine Gefahr besteht in der Möglichkeit für Außenstehende, Schlüsselserver als Quelle für E-Mail-Adressen zum Spam-Versand zu nutzen.
Weiterhin existiert die theoretische Möglichkeit, über an public keys angefügte Signaturen Rückschlüsse auf die Teilnahme des Schlüsselinhabers an sozialen Netzwerken zu ziehen. Ebenso lassen sich Angriffe auf hinterlegte public keys, um sie z.B. unbrauchbar zu machen, derzeit nicht völlig ausschließen.