-
Xm
chevron_right
OpenPGP und das Web of Trust
Stefan · pubsub.movim.eu / xmpp-eagle · Tuesday, 16 June, 2020 - 05:00 edit · 2 minutes
Wie funktioniert das Web of Trust? Bei diesem Punkt gibt es einiges zu beachten.
Wie im letzten Kommentar angesprochen sollte man wegen der Anmerkung
soziale Graphen eine begehrte Handelsware geworden
einige Dinge wissen.
Warum braucht man das Web of Trust?
Bei der asymmetrisch Verschlüsselungsmethode hat man einen privaten und einen öffentlichen Bestandteil des Schlüssels. Man spricht hier von einem Schlüsselpaar. Der öffentliche Schlüssel wird untereinander ausgetauscht und der private Schlüssel bleibt immer im Besitzt des Eigentümers und darf nicht an dritte kommen. Wenn eine Person Alice
den Schlüssel von Bob
bekommt. Wie kann Alice
sicherstellen, dass der erhaltene Schlüssel auch wirklich von Bob
ist? Das ist sehr einfach! Alice
trifft sich mit Bob
und prüft den Fingerabdruck
der Schlüssel. Wenn dieser korrekt ist, unterschreibt Alice
mit ihren privaten Schlüssel den öffentlichen Schlüsseln von Bob
.
Ich, Alice, habe diesen Schlüssel geprüft, für richtig befunden und bin mir sicher, dass es sich um den Schlüssel von Bob handelt.
Was ist die Konsequenz? Ich muss meine ganze Familie besuchen, um die Schlüssel zu prüfen. Dies ist in Zeiten mit Corona gar nicht so einfach. Dieses Problem lösen wir mit dem WoT. Die Schlüssel von Alice
und Bob
wurden gegenseitige unterschrieben.
Alice sehe ich selten, aber Bob
ist mein Arbeitskollege. Ich werde den Schlüssel von Bob
wie oben schon beschrieben mit ihm prüfen. Des Weiteren gebe ich an, dass ich ein sehr starkes vertrauen
in die Signaturen von Bob
habe.
Was passiert jetzt?
Da ich Bobs
Unterschriften vertraue und Bob
den Schlüssel von Alice
unterschrieben hat. Ist der unterschriebene Schlüssel von Alice
welchen ich vor ihr bekommen habe für mich gültig
.
Was ist aber das Problem?
Das Konzept ist doch super, aber wo ist das Problem? Stichwort: Handelsware von soziale Graphen? In den öffentlichen Schlüssel steckt jetzt eine wichtige Information. Bob
kennt Alice
und Alice
kennt Bob
. Leider hat sich die Welt etwas geändert und man muss hierbei bedenken, dass man so Informationen über sich Preis gibt. Welche andere wiederum, was das eigentlich Problem ist, auswerten können.
Das Problem lässt sich aber vermeiden.
Minimaler öffentlicher öffentlicher Schlüssel
Man kann den öffentlichen Schlüssel, welcher auch wirklich öffentlich (aus der Homepage) mit einer Option exportieren, dass die Schlüssel keine Signaturen enthalten. --export-options export-minimal
. Dies ist sozusagen das "deaktivieren" von WoT. Es ist so möglich, dass jemand dennoch die Daten des Schlüssels hat. Jedoch nicht die Signaturen. Der richtige Schlüssel kann auf einem anderen Kommunikationsmedium (z.b. E-Mail) dann verschlüsselt an die Person übertragen werden.
WKD
Eine weitere Möglichkeit ist den Schlüssel nicht auf einem öffentlichen Keyserver hochzuladen sondern nur per WKD anzubieten. Das hilft dabei, die Information aus der Signatur nicht direkt einer Person zuzuordnen zu können.