Eine zur Abwechslung mal verständliche Anleitung zu PGP

Der Schlüsseltausch

An zwei Stellen sind Sie darauf angewiesen, von jemanden den öffentlichen Schlüssel zu haben. Wenn Sie der person eine codierte Nachricht schicken wollen. Und wenn Sie eine Unterschrift überprüfen wollen.
Die banalste Möglichkeit an Schlüssel zu kommen: Tauschen Sie die Schlüssel mit Kollgen per Diskette aus. Dann sind Sie sicher, dass der Schlüssel echt ist.
Das ist aber ein wenig mühsam und braucht viele Disketten. Es gibt eine andere Lösung. Die ist ziemlich genial. Angenommen, Sie brauchen schon eine ganze Weile PGP und haben schon jehnste öffentliche Schlüssel gesammelt. Nun zeigen Sie (als Profi, den Sie nach dieser Anleitung schon fast sind) einem Neuling PGP und installieren es auch gleich. Nun möchte der Neuling gleich viele Schlüssel haben. Die haben Sie aber natürlich nicht dabei, nur Ihren eigenen. Den geben Sie dem Neuling. Wenn nun der Neuling einen weiteren Schlüssel möchte, holt er sie sich von einem Server (das ist ein Dienst im Internet, bei dem viele öffentliche Schlüssel gespeichert sind). Damit der Neuling sicher ist, dass der Server ihn nicht b*sch**t, unterschreiben Sie alle Schlüssel, von denen sie sicher sind, dass die Schlüssel ok sind. Da der Neuling Ihren Schlüssel schon hat, kann er überprüfen, ob Ihre Unterschrift echt ist. Wenn ja weiss er, dass Sie ihm garantieren, dass die von Ihnen unterschriebenen Schlüssel echt sind. So kann er öffentliche Schlüssel erhalten, ohne die entsprechenden Personen je gesehen zu haben.
Das alles wird jetzt natürlich noch Schritt für Schritt erklärt.
Für sämtliche Aktionen in diesem Kapitel brauchen wir das Schlüsselmanagement-Programm. Dieses Starten Sie, indem Sie unten rechts auf das Schlösschen klicken und dort PGPkeys auswählen. Es öffnet sich dann ein neues Fenster, in dem Sie Ihre Schlüssel (eigenen und fremde) bearbeiten können.

Der Server

Von den Servern habe ich schon mal gesprochen. Als Sie Ihren Schlüssel generiert haben, hatten Sie die Wahl, ob Sie Ihren öffentlichen Schlüssel gleich auf einen Server laden wollten. Das ging allerdings nur, wenn Sie bei der Generierung online waren.
Server ersparen Ihnen den Transport der Schlüssel auf Disketten. Sie ersparen Ihnen nicht die Kontrolle der Schlüssel. Von einem Server können Sie einen Schlüssel einer Person suchen, indem Sie dessen Namen eingeben. Eventuell findet der Server dann den entsprechenden Schlüssel. Diesen können Sie gleich runterladen. Ob es allerdings wirklich der richtige ist, müssen Sie immer noch überprüfen!

Schlüssel "uploaden"

Zuerst möchten Sie Ihren öffentlichen Schlüssel möglichst bekannt machen. Dies tun Sie, indem Sie Ihren Schlüssel uploaden, also einem Server senden.

  1. Wählen Sie Ihren eigenen Schlüssel aus der Liste der angezeigten Schlüssel. Klicken Sie einfach einmal drauf, dann wird er dunkelblau unterlegt. Nun wählen Sie aus dem Menu "Server" "Send to" und dort einen der aufgelisteten Server. Warum gibt es mehrere Server? Ehrlich gesagt, ich weiss es nicht. Aber ich glaube, die Server tauschen die erhaltenen Schlüssel unter sich aus, sodass es egal ist, bei welchem Server Sie Ihren Schüssel deponieren.

  2. Es erscheint ein Fenster, in dem angezeigt wird, dass nun mit dem Server eine Verbindung aufgenommen wurde. Das Fenster lämplet ein Weilchen hin- und her. Wenn die Sache länger als ein paar Minuten dauert, kann man mit "Cancel" die Sache abbrechen. Achtung: Sie müssen online sein, wenn Sie den Schlüssel uploaden wollen. Ansonsten erscheint eine Fehlermeldung.
  3. Wurde der Schlüssel erfolgreich upgeloadet erscheint ein Fensterchen mit einer Bestätigung. Ist der Schlüssel bereits auf dem Server vorhanden, wird dies ebenfalls gemeldet. (Das ist auch der Grund, warum ich hier keine Abbildung habe. Mein Schlüssel ist schon lange auf dem Server und ich wollte nicht einen unnötigen Schlüssel uploaden, nur um ein Bildchen knippsen zu können.)

Schlüssel suchen

Natürlich können Sie bei einem Server auch Schlüssel suchen. Angenommen, Sie suchen meinen öffentlichen Schlüssel.

  1. Wählen Sie aus dem "Server" - Menu den Punkt "Search".

  2. Geben Sie im ersten von markierten Feld den Namen der gewünschten Person ein. Wenn Sie nur den Vor- oder nur den Nachnamen der Person eingeben werden sehr viele Resultate angezeigt. Das ist meistens mühsam. Ev. besitzen Sie die EMail-Adresse der Person. Wenn Sie die eingeben bekommen Sie meisstens sehr gute Resultate. Achten Sie dann allerdings auf korrekte Schreibweise.

  3. Nach ca. 1 Minute erscheint die Liste der gefundenen Schlüssel. (Oder die Meldung, dass kein Schlüssel gefunden wurde.) Dauert die Suche viel länger, kann Sie oben rechts mit "Stop" abgeborchen und erneut mit "Search" gestartet werden.
    Ist der von Ihnen gesuchte Schlüssel in den Resultaten enthalten, so können Sie Ihn nun in Ihre eigene Sammlung von öffentlichen Schlüsseln aufnehmen. Das ist nötig, wenn Sie der Person später eine codierte Nachricht zukommen lassen wollen, oder wenn Sie eine Unterschrift von der Person überprüfen möchten. Klicken Sie dazu mit der rechten Maustaste auf den gewünschten Schlüssel. Es erscheint ein Menu. Wählen Sie davon "Import to Local Keyring". Fertig. Oder fast. Denn nun sollten Sie den importieren Schlüssel noch überprüfen.

Prüfen von Schlüsseln

Wenn Sie einen öffentlichen Schlüssel auf einer Diskette direkt von der entsprechenden Person erhalten haben, so können Sie sich die Überprüfung sparen. Haben Sie allerdings den öffentlichen Schlüssel per Internet bekommen, so sollten zuerst checken, ob der Schlüssel echt ist, d.h. ob wirklich die entsprechende Person den Schüssel generiert hat. Das müssen Sie nur einmal machen, sofern Sie sicher sind, dass niemand an Ihrem Computer rumfummeln kann.

Per Telefon

Die einfachste Möglichkeit zur Überprüfung ist, indem Sie die betreffende Person anrufen und sich den Schlüssel bestätigen lassen. Damit das überhaupt geht, müssen Sie wissen, wie der erhaltene Schlüssel "aussieht". Dazu gibt es den sogenannten "Fingerabdruck" eines Schlüssel.

    Wählen Sie den Schlüssel aus, zu dem Sie den Fingerabdruck anzeigen wollen. Wählen Sie aus dem "Keys" - Menu den Punkt "Properties" (Eigenschaften).

  1. Es erscheint ein Fenster, das Ihnen diverse Sachen zum ausgewählten Schlüssel anzeigt. Unter anderem den Fingerabdruck ("Fingerprint"). Es gibt zwei Versionen des Fingerabdrucks. Einer mit Worte und einer mit hexadezimalen Zahlen. Die Worte wurden eingeführt, weil viele Leute halt das Wort "hexadezimal" nicht verstehen. Bei Versionen sind gleich "gut". Die Worte haben den Vorteil, dass man Sie einfach über das Telefon vergleichen kann, indem man sie eines nach dem anderen vorliest, z.B. von oben links nach unten rechts.
    Leider sind das alles englische Worte. Wer sich bei der Aussprache nicht blamieren will oder eine kürze Fassung bevorzugt kann mit dem grün eingekreisten Schalter auf die andere Version umschalten.

    Wie man sieht: Kleiner aber mühsamer. Man kann sich über Telefon auch diese Werte durchbrösmeln.
    Übrigens: Es wäre eine nette Idee, diesen Fingerprint auf die Visitenkarten zu drucken, z.B. ganz klein am unteren Rand. Tauscht man seine Visitienkarten mit einem Geschäftspartner so ist auch schon eine gesicherte Kommunikation zwischen den Partnern sichergestellt!

Unterschreiben

Wenn Sie einen fremden Schlüssel entweder per Disekette erhalten oder ihn per Telefon überpfrüft haben, dann sollten Sie ihn gleich unterschreiben. Das bewirkt, dass ein Schlüssel für Sie "gültig" wird. Sonst nichts. Sie sagen damit nur, dass der Schlüssel der Person echt ist. Und nicht, dass Sie mit dieser Person einer Meinung sind. Die Person kann den grössten Blech mit ihrem Schlüssel unterschreiben, Sie können dafür nicht haftbar gemacht werden, weil Sie deren Schlüssel unterschrieben haben. Darum geht es nicht. Aber Ihre Unterschrift unter einen fremden Schlüssel ermöglicht es allen, die Ihren Schlüsseln haben, zu erkennen, dass der fremde Schlüssel echt ist.

  1. Wählen Sie den zu unterschreibenden Schüssel aus der Liste der Schlüssel aus. Wählen Sie aus dem "Keys" - Menu "Sign" aus. (Wenn Sie ein wenig rumspielen möchten, man kann die gleiche Funktion auch erreichen, indem man den Schüssel mit der linken Maustaste auswählt und mit der rechten das Kontext-Menu erscheinen lässt und dort "Sign" auswählt).

  2. Jetzt können Sie wählen, ob andere Leute sich auf Ihre Meinung zu diesem Schlüssel verlassen können. Wenn Sie ganz sicher sind, dass der erhaltene Schlüssel von der entsprechenden Person stammt, klicken Sie das grün eingerahmte Feld an. Das ist sicher der Fall, wenn Sie den Schlüssel per Diskette erhalten haben oder auf irgendeine Weise den Fingerprint überprüft haben. Dan sollten Sie das Feld anklicken, also erlauben, dass andere Leute von Ihrem Aufwand profitieren.
  3. Wie immer, wenn Sie etwas unterschreiben, werden Sie nun noch aufgefordert, Ihren Passsatz einzugeben.

Über Zertifikate

"Zertifikat" ist eine Abkürzung für "Unterschrift auf einen Schlüssel". Nur damit Sie wissen, was der Titel bedeutet.
Im vorhergehenden Kapitel haben Sie also ein Zertifikat ausgestellt, indem Sie einen fremden, öffentlichen Schlüssel unterschrieben haben. Ich habe dort erwähnt, dass Sie wählen können, ob auch ein anderer von Ihrem Zertifikat profitieren soll. In diesem Kapitel geht es nun drum, wie Sie von fremden Zertifikaten Sicherheit gewinnen können.
Angenommen, Sie haben einen fremden Schlüssel vom Server runtergeladen. Vielfach kommen diese Schlüssel gleich mit einer ganzen Reihe von Zertifikaten. Da hat also irgendjemand gesagt, dieser Schlüssel ist echt. Toll, nur müssen Sie diesen "Jemand" kennen und ihm auch vertrauen. Wie vertrauen Sie jemandem? Das geht wieder über die Eigenschaften von dessen Schlüssel.

  1. Wählen Sie den Schlüssel des Besitzers aus, dem Sie vertrauen möchten. Wählen Sie aus dem "Keys" - Menu "Properties" aus. Es erscheint das gewohnt Fenster zu den Eigenschaften eines Schlüssel.

  2. Mit dem Regler zwischen "Untrusted" und "Trusted" können Sie nun das Vertrauen das Sie zu dieser Person haben einstellen. Es geht hier aber nicht darum, ob Sie denken, die Person könne Ihnen absichtlich einen falschen Schlüssel zukommen lassen. Wenn Sie etwas mit dem Regler rumspielen, merken Sie, dass der Regler drei Positionen hat:
  3. Ganz links bei Untrusted bedeutet, dass Sie die Person gar nicht wirklich kennen, sondern nur ihren Schlüssel erhalten haben.
    Ganz rechts bei Trusted bedeutet, dass Sie die Person persönlich kennen, und auch glauben, dass Sie gut mit dem PGP - Programm umgehen kann.
    In der Mitte bedeutet, dass Sie die Person kennen, aber nicht ganz sicher sind, dass Sie die wichtigsten Ideen von PGP verstanden hat, es also sein könnte, dass Sie auch mal einen nicht so vertrauenswürden Schlüssel unterschrieben hat.

  4. Verlassen Sie das Eigentschaften-Fenster mit "Schliessen". Im Hauptfenster sehen Sie, welchen Personen Sie wie gut vertrauen. Ein durchgezogener dunkelgrauer Balken bedeutet, dass Sie der Person ganz vertrauen. Ein hellgrauer Balken bedeutet kein Vertrauen. Beachten Sie: Wenn Sie einen Schlüssel noch nicht unterschrieben haben, so können Sie auch kein Vertrauen zu diesem Schlüssel / dieser Person haben. Ein grauer Balken mit weissen Strichen (ganz oben im Bild) bedeutet, dass das Ihr eigener Schlüssel ist. Dem vertrauen Sie immer.