PGP unterstützt Sie beim Herausfinden vertrauenswürdiger Schlüssel, indem es anhand der Farbe des Punkts hinter dem Schlüssel und einem Kommentar anzeigt, was es von dem Schlüssel hält. Hier steht bei den meisten neuen Schlüsseln "invalid key". Das bedeutet, daß dieser Schlüssel echt sein kann oder auch nicht - er kann keine Referenzen vorweisen, die seine Echtheit beglaubigen.
Wenn Sie einen Schlüssel direkt von der Person bekommen haben, für die er steht, dann können Sie dem Schlüssel bedenkenlos vertrauen und brauchen sich von PGPs Bedenken nicht weiter irritieren zu lassen (Sie sollten in diesem Fall den Schlüssel selbst signieren und als "trusted" markieren, siehe unten, dann bekommt der Schlüssel einen grünen Kreis für "Ok"). Wenn Sie den Schlüssel jedoch per E-Mail bekommen haben, könnte dieses Mail gefälscht worden sein. Entweder überprüfen Sie den Fingerabruck des Schlüssels (siehe unten), oder Sie schauen auf seine Referenzen.
Wie kann ein Schlüssel Referenzen vorweisen?
Ein PGP-Schlüssel trägt immer mindestens eine Referenz bzw.
Echtheitsbeglaubigung mit sich herum. Mindestens eine deswegen,
weil der Schlüssel gleich nach seiner Erzeugung automatisch mit
sich selbst signiert wird; der Erzeuger des Schlüssels steht
natürlich dafür, daß der Schlüssel echt ist.
Wenn Sie von einem Bekannten einen Schlüssel bekommen haben und wissen, daß der Schlüssel echt ist, sollten Sie den Schlüssel signieren, d.h. Sie bekräftigen damit, daß der Schlüssel echt ist. Jemand, der Ihren Schlüssel hat und diesem vertraut, weiß damit, daß er auch dme von Ihnen "beglaubigten" Schlüssel trauen darf. Es entsteht also ein "Vertrauensnetz", in dem man sich überlegt, auf wen man sich verlassen will und sich dann auch auf die verläßt, denen der verläßliche Gegenüber selber vertraut.
In PGPKeys können Sie (wie im Explorer Ordner) Schlüssel aufklappen, wenn Sie auf das "+"-Zeichen davor klicken. Das Programm zeigt dann die zugeordnete E-Mail-Adresse an, und wenn Sie diese nocheinmal aufklappen, wer diesen Schlüssel alles signiert (d.h. beglaubigt) hat.
In diesem Beispiel sind alle Schlüssel aufgeklappt. Wie man sieht, ist der unterste Schlüssel nur von sich selbst signiert, er wird von PGP als "invalid" eingestuft (das erkannt man am grauen Kreis dahinter): Diesem Schlüssel sollte man nicht ohne vorherige Rückfrage vertrauen, Sie sollten sich z.B. den digitalen Fingerabruck des Schlüssels geben lassen.
Damit sich nicht zwei Spitzbuben gegenseitig die Schlüssel signieren können bzw. jemand sich mehrere Schlüssel unter verschiedenen Namen erzeugt und diese gegenseitig signiert, stuft PGP nur solche Schlüssel als "valid" ein, die jemand beglaubigt hat, dem Sie vertrauen (siehe Spalte "trust").
Der eigene Schlüssel ist hier mit einer Raute besonders hervorgehoben; dem eigenen Schlüssel vertraut PGP immer. Wenn Sie selbst einen Schlüssel signieren, wird er von PGP sofort auch als "valid" angesehen.
Das zweite Symbol unter "Trust" zeigt Ihnen an, wieviel Sie von
diesem Schlüssel halten. Wenn Sie einem Schlüssel vertrauen, wird
PGP alle Schlüssel, die mit diesem "trusted" Schlüssel signiert
wurden, als "valid" ansehen (Sie vertrauen also darauf, daß alles,
was der Inhaber dieses Schlüssels für OK hält, auch wirklich in
Ordnung ist).
Je weiter der Balken geht, desto mehr vertrauen Sie diesem Schlüssel.
Dem eigenen Schlüssel vertraut PGP natürlich immer. Sie müssen
selbst einstellen, welchem Schlüssel Sie vertrauen; in diesem Beispiel
vertraue ich nur dem Schlüssel "Stefan Schleifer <stefan.schleifer@laola.de>"
voll, dem Schlüssel "BNK <b.n.k@iname.com>" vertraue ich ein
wenig, dem Schlüssel "Stefan Schleifer <stefan.schleifer@uni-regensburg.de>"
dagegen gar nicht.
Wie Sie einstellen, ob Sie einem Schlüssel vertrauen
Wenn Sie Anlaß haben, einem Schlüssel zu vertrauen, markieren Sie ihn
in PGPKeys und wählen Sie im Menü "Keys" den Befehl "Key Properties".
Hier können Sie mit dem Schieberegler einstellen, ob Sie dem Schlüssel
gar nicht, ein wenig oder vollkommen vertrauen.
"Vertrauenswürdig" heißt hier nicht, daß Sie den Schlüssel für echt
halten - das regelt die "Validity" (siehe oben). Wenn Sie bei einem
Schlüssel einstellen, daß er vollkommen vertrauenswürdig ist, dann
gilt jeder Schlüssel, der von dem Inhaber dieses Schlüssels signiert
wurde, sofort als "valid".
Wenn ein Schlüssel von mehreren anderen signiert wurde, die Sie nur
als teilweise vertrauenswürdig einstufen, wird er auch als "valid"
akzeptiert.
Für die Behandlung von Schlüsseln, die nur von "teilweise vertrauenswürdigen" Personen signiert sind, können Sie in den allgemeinen Einstellungen zu PGP genau festlegen, wie damit verfahren werden soll).
Wenn Sie wissen, daß ein anderer Schlüssel echt ist (zum Beispiel deswegen, weil Sie den digitalen Fingerabdruck überprüft haben, oder weil der Besitzer Ihnen den Schlüssel auf Diskette gegeben hat), dann sollten Sie seine Echtheit bestätigen.
Wählen Sie dazu den Schlüssel aus (klicken Sie ihn einmal an). Wählen Sie im Menü "Keys" den Befehl "Sign". Es öffnet sich ein Fenster, in dem Sie nocheinmal gefragt werden, ob Sie auch ja den digitalen Fingerabdruck überprüft haben und sich sicher sind, daß der Schlüssel echt ist.
Entscheidend ist dabei das in unserem Beispiel noch nicht angekreuzte Kästchen "Allow Signature to be exported". Wenn Sie es nicht ankreuzen, signieren Sie den Schlüssel nur privat für sich, wenn Sie den Schlüssel weitergeben (also exportieren und jemand auf Diskette geben oder mailen), wird Ihre Echtheitsbestätigung nicht mitgeschickt.
Sie sollten das Kästchen ankreuzen, denn wenn Sie sicher wissen, daß der Schlüssel echt ist, sollten Sie das auch anderen mitteilen: Sie selbst sind auch froh darum, wenn Sie wissen, daß ein Schlüssel vertrauenswürdig ist. Geben Sie den signierten Schlüssel weiter (exportieren Sie ihn und mailen Sie ihn bzw. geben Sie ihn auf Diskette weiter), damit andere wissen, daß dieser Schlüssel echt ist!
Wenn Sie einen Schlüssel haben und schnell überprüfen wollen, ob er wirklich zu dem Empfänger gehört, von dem er angibt, herzukommen, dann können Sie dazu den Empfänger anrufen und ihn bitten, Ihnen den digitalen Fingerabruck seines Schlüssels durchzugeben. Es handelt sich dabei um eine einzige Zeile. Sie finden diese in PGPKeys, wenn Sie einen Schlüssel markieren und dann im Menü "Keys" den Menüpunkt "Key Properties" wählen.
Die markierte Zeile ist der Fingerprint. Wie Sie sehen, können Sie diesem Dialogfenster noch eine Menge weiterer nützlicher Informationen entnehmen, z.B. auch, als wie vertrauenswürdig PGP den Schlüssel einschätzt ("validity", "trust").
Wenn Sie den digitalen Fingerabdruck nicht von jemand selbst erfragen können, suchen Sie im Internet, ob er den Abdruck auf seiner WWW-Homepage eingestellt hat. Versuchen Sie auch, ihn auf einem der zentralen PGP-Server zu finden (vgl. Schlüssel besorgen). Dort ist immer der Fingerabdruck mitangegeben. Wenn Sie den Schlüssel aus der gleichen Quelle haben, ist natürlich klar, daß der Fingerabdruck paßt. Wenn Sie eine andere Quelle gefunden haben, und der Fingerabdruck jeweils übereinstimmt, können Sie dem Schlüssel einigermaßen vertrauen
Ein Beispiel: Jemand schickt Ihnen seinen öffentlichen Schlüssel per E-Mail zu. Sie schlagen im zentralen PGP-Server nach und finden einen Fingerabdruck, der zu dem Schlüssel paßt. Auf der privaten Homepage des Benutzes steht ebenfalls ein Fingerabdruck, der zu dem Schlüssel paßt. Sie können dem Schlüssel also vertrauen: Es ist unwahrscheinlich, daß es jemand gelungen ist, alle drei Quellen zu fälschen.
Sie sollten selber ab und zu beim zentralen PGP-Server vorbeischauen und nach Ihrem eigenen Schlüssel suchen. Überprüfen Sie, ob der Fingerabdruck noch stimmt (wenn nicht, dann hätte jemand Ihren Schlüssel dort durch eine Fälschung ersetzt!).