Aktualisierungen als RSS-Feed oder im Changelog.

Privacy-Handbuch

Im Prinzip kann jeder Anwender einen Schlüssel mit beliebigen E-Mail Adressen generieren. Um eine Basis für Vertrauen zu schaffen, bietet OpenPGP das Web of Trust.

Hat Beatrice die Echtheit des Schlüssels von Conrad überprüft, kann sie diesen mit ihrem geheimen Schlüssel signieren und der Community zur Verfügung stellen oder direkt an Anton schicken. Anton, der den Schlüssel von Beatrice bereits überprüft hat und(!) Beatrice als "vertrauenswürdige Person" definiert, kann damit aufgrund der Signatur auch dem Schlüssel von Conrad vertrauen. Es bildet sich ein kleines Netz von Vertrauens­beziehungen.

Die Grafik zeigt eine mögliche Variante rund um den Key von Anton (A).
Web of Trust
Warum vertraut Anton (A) dem Schlüssel von Doris (D) nicht auch automatisch? Weil er Conrad (C) nicht kennt und ihn daher nicht als "vertrauenswürdige Person" definiert hat!

Es bildet sich also kein weltweites Vertrauensnetz automatisch, indem man irgendwelche Schlüssel irgendwie unterschreibt und dann verteilt! Das Web of Trust funktioniert nur in einer kleinen Umgebung, weil zwei(!) Bedingungen erfüllt sein müssen. Neben einer digitalen Signaturkette muss auch jeder unterschreibender Nutzer in der Kette als "vertrauenswürdige Person" gekennzeichnet sein. Das geht nur, wenn man die Personen persönlich kennt.

Hinweis: Aktuelle GnuPG Versionen importieren keine Signaturen von Dritten, wenn man sich einen PGP Schlüssel von einem Keyserver holt, und moderne Keyserver wie der Pool von OpenPGP.org stellen auch keine Signaturen von Dritten mehr bereit. Das Web of Trust funktioniert also nur, wenn man Keys direkt untereinander austauscht oder auf einer Webseite zum Download bereitstellt.

OpenPGP-Schlüssel signieren

Die Echtheit eines Schlüssels kann anhand des Fingerabdrucks geprüft werden. Zu jedem Schlüssel existiert ein eindeutiger Fingerabdruck. Dieser lässt sich in den Eigenschaften des Schlüssels anzeigen. In der Schlüsselverwaltung ist der zu prüfende Schlüssel auszuwählen und über den Menüpunkt "Anzeigen - Eigenschaften" der folgende Dialog zum Signieren des Schlüssels öffnen.
OpenPGP Schlüssel signieren
Der angezeigte Fingerabdruck des Schlüssels kann mit dem Wert verglichen werden, den man vom Eigentümer des Schlüssels erhalten hat. Sind beide identisch, kann den Schlüssel signieren. Eine lokale Signatur kann man nicht an Dritte weitergeben.

Vertrauenswürdigkeit der Schnlüsselbesitzer festlegen

Wenn man den Schlüssel eines Kommunikationspartners signiert hat, kann man das Vertrauen in den Schlüsselinhaber festlegen. Dabei geht es nur darum, ob man der Meinung ist, dass der Inhaber des signierten Schlüssels den Key eines Dritten ernsthaft prüfen würde, bevor er ihn signiert.

In der Schlüsselverwaltung ist der signierte Schlüssel auszuwählen und über den Menüpunkt "Bearbeiten - Besitzervertrauen festlegen" der folgende Dialog zu öffnen.
OpenPGP Schlüssel Inhabern vertrauen
Wenn man dem Inhaber eines Schlüssels vertraut, den man selbst signiert hat, dann vertraut man auch den Schlüsseln, die mit diesem Key signiert wurden.

Enigmail Konfiguration für hohe Sicherheit

Wenn man für hohe Sicherheitsansprüche die Verifizirung der Schlüssel, Signatur und Besitzervertrauen konsequent umsetzt, dann möchte man auch sicherstellen, dass nur vertrauenswürdige Schlüssel zum Versenden von E-Mails verwendet werden und dass Enigmail warnt, wenn kein verifizierte Schlüssel verwendet werden kann. Die für die Auswahl der Schlüssel findet man in den Enigmail Einstellunge auf dem Reiter "Senden".

(Für durchschnittliche Sicherheitsanforderungen wird man allerdings froh sein, wenn man über­haupt einen OpenPGP-Schlüssel erhalten hat und den Kommunikationspartner nicht mit Fragen nach Verifizierung des Fingerprint verwirren wollen.)

Certification Authorities

Diese Infrastruktur kann auch von vertrauenswürdigen Institutionen (Certification Authorities, CAs) genutzt werden. Die Nutzer wenden sich an die CA und lassen gegen Vorlage von Ausweisdokumenten den eigenen OpenPGP-Key sgnieren. Alle Partner benötigen lediglich den öffentlichen Schlüssel der CA, um die Echtheit der Schlüssel zu überprüfen.

In einer Gruppe kann eine vertrauenswürdige Person diese Rolle übernehmen. Alle Mitglieder eines Vereins oder Arbeitsgruppe oder Mitarbeiter einer Firma senden ihre OpenPGP Schlüssel an diese Person, die Schlüssel werden überprüft und signiert und an zentraler Stelle zum Download bereitgestellt. Die Mitglieder der Gruppe müssen nur den Schlüssel der Vertrauebsperson überprüfen, sinieren und die Vertrauenswürdigkeit des Inhaber setzen. Dann kann die gesamte Gruppe mit verifizierten Schlüsseln kommunizieren.

Weitere Beispiele für Certification Authorities sind:
Lizenz: Public Domain