Wie in Kapitel 2 bereits bereits ausführlich besprochen, wird der öffentliche Schlüssel eines Korrespondenzpartners dadurch authentisiert, daß Sie persönlich den Fingerabdruck seines Schlüssels prüfen und dann seinen öffentlichen Schlüssel mit Ihrem geheimen Schlüssel unterschreiben. Durch das persönliche Prüfen des Fingerabdrucks können Sie sicher sein, daß der Schlüssel wirklich ihm gehört. Da Sie den Schlüssel unterschrieben haben, können Sie sicher sein, jede Verfälschung an ihm in der Zukunft zu entdecken. Leider ist dieses Verfahren umständlich, wenn Sie entweder eine große Zahl von Schlüsseln authentisieren müssen oder wenn Sie mit Leuten kommunizieren, welche Sie nicht persönlich kennen.
GnuPG geht dieses Problem mit einem Mechanismus an, der allgemein als Web of Trust bezeichnet wird. Im Web of Trust wird die Verantwortlichkeit für das Authentisieren öffentlicher Schlüssel an Personen übertragen, denen Sie zutrauen, bei der Authentisierung von Schlüsseln die nötige Sorgfalt walten zu lassen. Nehmen Sie zum Beispiel folgendes an:
Alice hat Blakes Schlüssel unterschrieben und
Blake hat Chloes Schlüssel und Dharmas Schlüssel unterschrieben.
Vertrauen ist in der Praxis natürlich immer subjektiv. So ist beispielsweise Blakes Schlüssel für Alice gültig, da sie ihn selbst unterschrieben hat, aber vielleicht traut sie Blake kein richtiges Authentisieren der von ihm unterschriebenen Schlüssel zu. In diesem Fall könnte sie die Gültigkeit von Chloes und Dharmas Schlüssel bezweifeln, da sich diese nur auf Blakes Unterschrift stützt. Das Web of Trust trägt diesem Umstand Rechnung, indem es jedem öffentlichen Schlüssel in Ihrem Schlüsselbund eine Angabe darüber zuordnet, inwieweit Sie dem Eigentümer des Schlüssels dahingehend vertrauen, daß er Schlüssel erst nach gründlicher Prüfung authentisiert. Es gibt vier Vertrauensstufen:
Es ist nichts über die Fähigkeit des Eigentümers bekannt, Schlüssel vor dem Signieren zu authentisieren. Alle Schlüssel in Ihrem öffentlichen Schlüsselbund, die Ihnen nicht gehören, fallen zunächst unter diese Vertrauensstufe.
Der Eigentümer ist dafür bekannt, andere Schlüssel nicht korrekt zu unterschreiben.
Der Eigentümer versteht die Implikationen des Unterschreibens von Schlüsseln und authentisiert Schlüssel richtig, bevor er sie unterschreibt.
Der Eigentümer hat ein ausgezeichnetes Verständnis hinsichtlich des Unterschreibens von Schlüsseln, und seine Unterschrift auf einem Schlüssel wäre so gut wie Ihre eigene.
Der GnuPG-Schlüsseleditor kann benutzt werden, um das Maß Ihres Vertrauens in den Eigentümer eines Schlüssels anzugeben. Der Befehl lautet trust (Andererseits fragt GnuPG auch nach, wenn es die Information braucht und noch kein Vertrauensmaß angegeben wurde). In diesem Beispiel gibt Alice das Maß ihres Vertrauens zu Blake an und aktualisiert dann entsprechend die Trustdatenbank, um neu zu ermitteln, welche Schlüssel auf der Basis ihrer neuen Einstufung von Blake gültig sind.
alice$ gpg --edit-key blake pub 1024D/B2690E6F created: 2000-06-06 expires: never trust: -/f sub 1024g/F251B862 created: 2000-06-06 expires: never (1) Blake (Staatsanwalt) <[email protected]> Befehl> trust pub 1024D/B2690E6F created: 2000-06-06 expires: never trust: -/f sub 1024g/F251B862 created: 2000-06-06 expires: never (1) Blake (Staatsanwalt) <[email protected]> Bitte entscheiden Sie, inwieweit Sie diesem User zutrauen, den Schlüssel eines anderen Users korrekt zu prüfen (Vergleich mit Lichtbildausweisen, Vergleich der Fingerabdrücke aus unterschiedlichen Quellen ...)? 1 = Weiß nicht so recht 2 = Kein Vertrauen 3 = Ich vertraue ihm normalerweise 4 = Ich vertraue ihm vollständig s = Bitte weitere Informationen anzeigen m = Zurück zum Menü Ihre Auswahl? 3 pub 1024D/B2690E6F created: 2000-06-06 expires: never trust: m/f sub 1024g/F251B862 created: 2000-06-06 expires: never (1) Blake (Staatsanwalt) <[email protected]> Befehl> quitDas Vertrauen [1] in den Schlüssel-Eigentümer und in die Gültigkeit des Schlüssels wird rechts neben dem Schlüssel angezeigt. An erster Stelle wird das Vertrauen in den Eigentümer angezeigt, dann das Vertrauen in die Gültigkeit des Schlüssels. Die vier Vertrauensstufen werden folgendermaßen abgekürzt:
Unbekannt (q),
kein Vertrauen (n),
teilweises Vertrauen (m) und
volles Vertrauen (f)
Das Web of Trust ist ein flexibleres und komfortableres Verfahren zur Authentisierung eines Schlüssels. Früher wurde ein Schlüssel nur dann als gültig betrachtet, wenn er von Ihnen persönlich unterzeichnet war. Nach diesem Verfahren wird jetzt auch ein Schlüssel K als gültig betrachtet, wenn er die folgenden zwei Bedingungen erfüllt:
Schlüssel K ist von genügend gültigen Schlüsseln unterschrieben, das heißt, daß er entweder
von Ihnen persönlich oder
von einem Schlüssel vollen Vertrauens oder
von drei Schlüsseln teilweisen Vertrauens unterschrieben wurde.
Der Pfad unterschriebener Schlüssel, der vom Schlüssel K zurück zu Ihrem eigenen Schlüssel führt, besteht aus maximal fünf Schritten.
Abbildung 3-1 zeigt ein Web of Trust, das seinen Ausgangspunkt bei Alice hat. Das Diagramm zeigt anschaulich, wer wessen Schlüssel unterschrieben hat und welche Schlüssel Alice aufgrund ihres Vertrauens in die anderen Mitglieder des Web of Trust als gültig betrachtet. In diesem Beispiel wird angenommen, daß zwei Schlüssel teilweisen Vertrauens oder ein Schlüssel vollen Vertrauens benötigt werden, um einen anderen Schlüssel zu authentisieren. Die maximale Pfadlänge beträgt drei Schritte.
Vertrauen | Gültigkeit | ||
---|---|---|---|
teilweise | völlig | teilweise | völlig |
Dharma | Blake, Chloe, Dharma, Francis | ||
Blake, Dharma | Francis | Blake, Chloe, Dharma | |
Chloe, Dharma | Chloe, Francis | Blake, Dharma | |
Blake, Chloe, Dharma | Elena | Blake, Chloe, Dharma, Francis | |
Blake, Chloe, Elena | Blake, Chloe, Elena, Francis |
Abbildung 3-1 Ein hypothetisches Vertrauensnetz
Beim Berechnen der gültigen Schlüssel in dem Beispiel gilt folgendes: Blakes und Dharmas Schlüssel werden immer als voll gültig betrachtet, da sie direkt von Alice unterschrieben worden sind. Die Gültigkeit der anderen Schlüssel hängt vom Vertrauen ab. Im ersten Fall genießt Dharma volles Vertrauen, woraufhin die Schlüssel von Chloe und Francis als gültig betrachtet werden. Im zweiten Beispiel genießen Blake und Dharma nur teilweises Vertrauen. Da nun zwei Schlüssel teilweisen Vertrauens nötig sind, um einen Schlüssel voll zu authentisieren, wird der Schlüssel von Chloe als voll gültig, der von Francis aber nur als teilweise gültig betrachtet. Falls Chloe und Dharma nur teilweises Vertrauen genießen, wird Chloes Schlüssel nur teilweise gültig sein, wähend Dharmas Schlüssel voll gültig ist. Der Schlüssel von Francis jedoch wird ebenfalls nur als teilweise gültig betrachtet, da nur ein voll gültiger Schlüssel zur Authentisierung anderer Schlüssel benutzt werden kann, und Dharmas Schlüssel der einzige voll gültige Schlüssel ist, der zum Unterschreiben des Schlüssels von Francis benutzt worden ist. Wenn teilweises Vertrauen in Blakes Schlüssel hinzukommt, kann Chloes Schlüssel voll gültig werden und kann dann zur vollen Authentisierung des Schlüssels von Francis und zur teilweisen Authentisierung des Schlüssels von Elena benutzt werden. Wenn schließlich Blake, Chloe und Elena volles Vertrauen genießen, reicht dies noch nicht aus, um den Schlüssel von Geoff zu authentisieren, da die maximal zulässige Länge des Zertifizierungspfades aus drei Schritten bestehen soll, die Pfadlänge von Geoff zurück zu Alice jedoch vier Schritte beträgt.
Das Web of Trust ermöglicht es Ihnen, GnuPG genau Ihren Vorstellungen von Sicherheit anzupassen. Sie könnten beispielsweise auf mehreren kurzen Pfaden von Ihrem Schlüssel aus zu einem anderen Schlüssel K bestehen, um diesem zu vertrauen. Vielleicht entscheiden Sie sich aber auch für längere Pfade oder sogar nur einen Pfad von Ihrem Schlüssel zu dem anderen Schlüssel K. Wenn Sie mehrfache kurze Pfade voraussetzen, so ist das eine starke Garantie dafür, daß Schlüssel K demjenigen gehört, von dem Sie dies annehmen. Der Preis dafür ist natürlich, daß die Authentisierung von Schlüsseln schwieriger ist, da Sie persönlich mehr Schlüssel unterschreiben müssen, als wenn Sie weniger und dafür längere Pfade akzeptieren.
[1] | GnuPG überfrachtet das Wort ``Vertrauen'', indem sowohl ``Vertrauen in einen Eigentümer'' als auch ``Vertrauen in einen Schlüssel'' gemeint sein kann. Dies kann Verwirrung stiften. Manchmal wird das Vertrauen in einen Eigentümer zur klareren Unterscheidung als Ownertrust bezeichnet. In diesem Handbuch ist jedoch der Begriff ``Vertrauen'' durchweg in der Bedeutung ``Vertrauen in den Eigentümer eines Schlüssels'' benutzt worden, und der Begriff ``Gültigkeit'' bezieht sich darauf, daß ein Schlüssel der mit der Schlüssel-ID verknüpften Person gehört. |