Für die kommerzielle Anwendung muß es eine oder mehrere zentrale Anlaufstellen geben, die zweifelsfrei bestätigen können, daß ein Schlüssel echt ist. Genauso stellt sich das Problem für den Privatanwender, wenn er mit jemand sicher kommunizieren will, den er nie zuvor gesehen hat, wenn er niemand kennt, der vertrauenswürdig den Schlüssel des Unbekannten beglaubigt hätte.
Deswegen gibt es zentrale Zertifizierungsstellen, sogenannte TrustCenter oder Certificate Authorities (CA). Das sind manchmal Firmen (die bekannteste davon ist wohl VeriSign), oft aber auch gemeinnützige Einrichtungen wie Universitäten und sogar einige Bürgernetze.
Es gibt mehrere andere Verschlüsselungsverfahren neben PGP, z.B. das in den E-Mail-Programmen von Netscape und Microsoft schon eingebaute S/MIME. Nicht jede Zertifizierungsstelle zertifiziert PGP-Schlüssel (gerade kommerzielle setzen eher auf S/MIME), manche zertifizieren nur PGP-Schlüssel (i.d.R. alle nicht-kommerziellen; S/MIME ist rein kommerziell).
Durch das "Multimedia-Gesetz" hat Deutschland als erstes Land der Welt solche von Zertifizierungsstellen beglaubigten Signaturen als digitale Unterschriften anerkannt. Sie zählen vor Gericht zwar derzeit noch nicht wie "normale" Unterschriften, man hat mit ihnen aber - im Gegensatz z.B. zu einer gefaxten Unterschrift "etwas in der Hand". Bisher hat es noch keinen Musterprozeß gegeben, in dem geklärt worden wäre, wie hoch Gerichte die "digitale Unterschrift" einstufen.
Zertifizieren bedeutet, daß man bei einer Zertifizierungsagentur persönlich vorstellig wird und mit Personalausweis oder Reisepaß seine Identität belegt. Man bringt dabei seinen PGP-Schlüssel auf Diskette mit. Die Zertifizerungsstelle signiert daraufhin den PGP-Schlüssel mit ihrem öffentlichen Schlüssel und bestätigt so dessen Echtheit.
Die öffentlichen Schlüssel der Zertifizierungsstellen sind allgemein verfügbar; wenn man einen so signierten Schlüssel bekommt, weiß man sicher, daß der Schlüssel echt ist und es die betreffende Person wirklich gibt, sowie daß die angegebene Mailadresse wirklich der Person gehört.
Die öffentlichen Schlüssel der Zertifizierungsagenturen kann man von deren Seiten im Internet herunterladen. Sie sollten das sofort tun, wenn Sie PGP bei sich zu Hause am Laufen haben.
Kommerzielle Zertifizierungsagenturen sind u.a. folgende:
Wir empfehlen Ihnen, sich stattdessen lieber zum Selbstkostenpreis bzw. unentgeltlich bei einer der folgenden Zertifzierungsstellen eine Bestätigung der Echtheit Ihres Schlüssels zu holen:
Wenn Sie keine kommerzielle Nutzung von PGP beabsichtigen (Bestellen mit verschlüsselten Mails gehört auch dazu!) und nur mit Bekannten verschlüsselte Mails austauschen wollen, brauchen Sie keine Zertifizierung. Wenn Sie erst ein wenig in PGP hineinschnuppern wollen, machen Sie sich diesen Aufwand erst, wenn Sie es brauchen.
Eine gute und unterhaltsame Gelegenheit zum gegenseitigen Unterschreiben der öffentlichen Schlüssel bietet eine PGP-Signier-Party. Dazu notiert sich jeder Teilnehmer zu Hause folgende Daten über seinen PGP-Schlüssel auf ein Blatt Papier, das er mitbringt:
Auf der Party liest jeder der Anwesenden diese Angaben zu seinem Schlüssel vor. Wenn sich nicht alle Anwesenden persönlich kennen, zeigt jeder außerdem seinen Personalausweis vor, so daß seine Identität eindeutig ist. Alle Teilnehmer notieren sich die vorgelesenen Angaben.
Der öffentliche Schlüssel wird von jedem Partygast auf einen vorher vereinbarten öffentlichen Keyserver hochgeladen. Nach der Party lädt sich jeder Teilnehmer die öffentlichen Schlüssel aller anderen Teilnehmer herunter und vergleicht die Angaben dazu mit seinen Notizen. Stimmt alles überein, unterschreibt er jeden öffentlichen Schlüssel mit einer exportierbaren Signatur und lädt den Schlüssel samt Signatur wieder auf den Server.