Web of Trust mit gpg4o

07.04.2016 | Allgemein

Web of Trust ist das Vertrauensmodell im OpenPGP Umfeld. Mit Hilfe der Mechanismen, welche im Web of Trust zur Erzielung von Vertrauen verwendet werden können Anwender die Vertrauenswürdigkeit neuer, noch nicht direkt geprüfter Schlüssel implizit bestimmen. Um dieses mächtige Werkzeug zu nutzen, ist nur einiges wenige, in diesem Beitrag erläuterte Wissen von Nöten.

Schlüsselgültigkeit

Ein öffentlicher Schlüssel kann nur dann verwendet werden, wenn er zuvor gültig gemacht wurde. Ein öffentlicher Schlüssel ist dann gültig, wenn man selbst oder andere vertrauenswürdige Personen diesen überprüft und unterschrieben haben.

Ein öffentlicher Schlüssel wird direkt gültig, indem der Empfänger des Schlüssels diesen unterschreibt, nachdem er den Schlüssel und dessen Aussteller gründlich geprüft hat.

Ein öffentlicher Schlüssel kann auch indirekt gültig werden, wenn der Schlüssel bereits von ein oder mehreren als vertrauenswürdig eingestuften Personen überprüft und unterschrieben wurde.

Die Anzahl der Personen die notwendig sind um einen Schlüssel indirekt gültig werden zu lassen ist eine zentrale Einstellmöglichkeit im Web of Trust.

Web of Trust

Verlässt man sich bei der Gültigkeit von Schlüsseln darauf dass andere Personen die Schlüssel überprüft haben, wird das „Web of Trust“ genannt.

Das Web of Trust ist dezentral aufgebaut und jeder einzelne innerhalb des WoT ist dafür zuständig die Identität und Korrektheit der Schlüssel zu überprüfen.

Dazu signiert ein bestehender Kontakt einen Schlüssel. Wenn man diesem Kontakt sein Vertrauen ausgesprochen hat, geht man nun automatisch von der Echtheit des neuen Schlüssels aus, da dieser dessen Signatur trägt.

Aktivierung des Web of Trust in gpg4o

Standardmäßig ist, aus Gründen der Benutzerfreundlichkeit, in gpg4o die Überprüfung der Schlüssel mithilfe des Web of Trust deaktiviert. Um es zu nutzen öffnen Sie die gpg4o-Einstellungen und wählen in der Leiste links den Eintrag „Erweiterte Einstellungen“ aus. Bestätigen Sie den folgenden Warndialog mit OK. Anschließend entfernen Sie den Haken bei „Immer allen Schlüsseln vertrauen“. Schließen Sie nun die Einstellungen, indem Sie die Schaltfläche „Speichern“ betätigen.

Schlüsselüberprüfung durch das Web of Trust aktivieren

Schlüsselüberprüfung durch das Web of Trust aktivieren

Achtung: Bitte beachten Sie, dass Sie mit Deaktivieren dieser Option selbst dafür sorgen müssen, dass die Schlüssel ihrer Kommunikationspartner für sie gültig sind!

Signieren von Schlüsseln mit gpg4o

Mit ihrer Signatur wird dokumentiert, dass Sie überprüft haben, dass Schlüssel zur angegebenen Person gehört und nicht von jemand anderem stammt.

Um einen Schlüssel mit gpg4o zu signieren öffnen Sie die Schlüsselverwaltung und anschließend das Kontextmenü für den betreffenden Schlüssel. Klicken Sie nun auf „Signieren…“. Im erscheinenden Dialog können Sie mit dem Dropdown-Menü das Schlüsselpaar auswählen, mit dem Unterschrieben werden soll. Legen Sie anschließend fest wie genau Sie die Echtheit des Schlüssels bzw. die Identität der Person überprüft haben. Klicken Sie abschließend auf OK und geben Sie ihre Passphrase ein.

Achtung: Unterschreiben Sie keine Schlüssel, die Sie vorher nicht überprüft haben!
Einen Schlüssel signieren mit gpg4o

Einen Schlüssel signieren mit gpg4o

Schlüssel auf einen Schlüsselserver hochladen

Nachdem man einen Schlüssel signiert hat, bietet es sich an ihn auf einen Schlüsselserver hochzuladen, um die neue Signatur publik zu machen. Dies sollte jedoch nur mit der Einverständnis des Schlüsselinhabers geschehen. Im Zweifel schicken Sie ihm einfach den unterschriebenen Schlüssel per Mail zurück.

Um einen Schlüssel mit gpg4o hochzuladen öffnen Sie die Schlüsselverwaltung. Wählen Sie nun den Reiter „Schlüsselserver“ aus. Hier können Sie nun mithilfe des Dropdown-Menüs den gewünschten Schlüsselserver festlegen. Selektieren Sie anschließend die Schlüssel, die Sie hochladen wollen. Schließlich klicken Sie im Ribbon auf „Auf Schlüsselserver hochladen“

Einen Schlüssel auf einen Schlüsselserver hochladen

Einen Schlüssel auf einen Schlüsselserver hochladen

Besitzervertrauen festlegen mit gpg4o

Ein Schlüssel kann auch gültig werden, selbst wenn man ihn nicht selbst überprüft und unterschrieben hat.

Mit Besitzervertrauen können Sie gpg4o anweisen sich auf Personen zu verlassen, denen Sie ein Besitzervertrauen ausgesprochen haben. Damit delegieren Sie die Überprüfung indirekt an diese Personen. Beispiel: Haben 3 Personen einen Schlüssel unterschrieben und genießen marginales Vertrauen , nimmt gpg4o an, dass es sich hierbei wirklich um den zur Person gehörenden Schlüssel handelt. Bei Vollständigen Vertrauen wäre nur eine Unterschrift nötig gewesen.

Um Besitzervertrauen aussprechen öffnet man in der Schlüsselverwaltung das Kontextmenü für den Schlüssel der Person, der man das Vertrauen aussprechen möchte. Unter „Benutzervertrauen festlegen…“ wählt man das gewünschte Vertrauenslevel aus.

Besitzervertrauen festlegen mit gpg4o

Besitzervertrauen festlegen mit gpg4o

Kommentare

Ihr Kommentar

* Die markierten Felder sind Pflichtfelder. Bitte ausfüllen.

Kommentar *

Bitte beachten Sie vor dem Eintragen die Datenschutzerklärung). .