Web of Trust

Das Web of Trust ist eine Methode, um sicherzustellen, dass eine kryptografische Unterschrift tatsächlich der richtigen Person gehört.

Erhält man eine Nachricht, die mit einer von PGP oder GPG erzeugten Signatur versehen ist, kann man mit den entsprechenden Programmen überprüfen, mit welchem Schlüssel der Text unterschrieben wurde und ob er unverändert ist. Das schafft eine Verbindung von Nachrichteninhalt und Schlüssel, aber noch keine zu einer Person.
Auch wer mittels Verschlüsselung eine für Außenstehende unlesbare Nachricht erzeugt, möchte natürlich sichergehen, dass sie nur vom beabsichtigten Empfänger gelesen werden kann.

Wer hat wirklich unterschrieben?

Bei der Erstellung eines Schlüsselpaares werden Name und E-Mail-Adresse eingetragen, um den angeblichen Ersteller zu bezeichnen. Diese Angaben müssen aber nicht der Wahrheit entsprechen. Die Idee hinter dem „Web of Trust“ ist zunächst, dass vermutlich jeder zumindest mit einigen Personen eine so enge Kommunikation hat (und sie eventuell sogar aus dem „Real Life“ kennt), dass er sich über deren Identität sicher ist und daher auch die Echtheit der Angaben bestätigen kann.

Vertrauen aussprechen

Technisch geschieht das, indem der Schlüssel der identifizierten Person mit dem eigenen digital unterschrieben wird, ähnlich wie bei der Signatur einer E-Mail.
Dabei wird auch angegeben, wie sicher man sich über die Identität der Person ist. Hat man das Gegenüber tatsächlich persönlich getroffen (und vielleicht sogar den Personalausweis gesehen) ist das Vertrauen natürlich größer als bei einem reinen Internet-Kontakt.
Wichtig ist, von der Person die so genannte „Key-ID“ und den „Fingerprint“ (Prüfsummen) des Schlüssels genannt zu bekommen, um nicht versehentlich den falschen zu signieren.

Zuverlässigkeit

Dass man der Identität einer Person vertraut, heißt allerdings noch nicht, dass man sie für zuverlässig hält, die Identität anderer zu prüfen. Darum kann man in GPG diese Zuverlässigkeit („Owner Trust“) separat angeben.
Zu beachten ist, dass man einen hohen Owner Trust nur aussprechen sollte, wenn man sowohl von der Ehrlichkeit des Schlüsselinhabers überzeugt ist, nicht absichtlich falsch zu signieren, als auch von seiner Sorgfalt, das nicht versehentlich zu tun.

Das Netzwerk knüpfen

Wenn nun viele Personen ihren nahen Bekannten oder anderweitig überprüften Personen auf diese Art das Vertrauen aussprechen, so ergeben sich auch indirekte Verbindungen. Wenn Person A Person B vertraut (sowohl Identität als auch Zuverlässigkeit), und B C vertraut (zumindest der Identität), so kann sich A mit hoher Wahrscheinlichkeit auch über C sicher sein.
Auf diese Weise ist es möglich, eine praktikable Einschätzung über die Vertrauenswürdigkeit einer Person (bzw. ihres öffentlichen Schlüssel) mittels mehrerer Zwischenstationen zu erhalten, selbst wenn man mit ihr bisher kaum oder gar keinen Kontakt hatte.

Anhand der vorhandenen Signaturen und Angaben der Nutzer können Programme wie GPG einen Wert für die Vertrauenswürdigkeit eines Schlüssels berechnen.
Bei genügend Teilnehmern entsteht auf diese Weise ein Netzwerk des Vertrauens, das „Web of Trust“.