Authentisieren anderer Schlüssel

Wie in Kapitel 2 bereits bereits ausführlich besprochen, wird der öffentliche Schlüssel eines Korrespondenzpartners dadurch authentisiert, daß Sie persönlich den Fingerabdruck seines Schlüssels prüfen und dann seinen öffentlichen Schlüssel mit Ihrem geheimen Schlüssel unterschreiben. Durch das persönliche Prüfen des Fingerabdrucks können Sie sicher sein, daß der Schlüssel wirklich ihm gehört. Da Sie den Schlüssel unterschrieben haben, können Sie sicher sein, jede Verfälschung an ihm in der Zukunft zu entdecken. Leider ist dieses Verfahren umständlich, wenn Sie entweder eine große Zahl von Schlüsseln authentisieren müssen oder wenn Sie mit Leuten kommunizieren, welche Sie nicht persönlich kennen.

GnuPG geht dieses Problem mit einem Mechanismus an, der allgemein als Web of Trust bezeichnet wird. Im Web of Trust wird die Verantwortlichkeit für das Authentisieren öffentlicher Schlüssel an Personen übertragen, denen Sie zutrauen, bei der Authentisierung von Schlüsseln die nötige Sorgfalt walten zu lassen. Nehmen Sie zum Beispiel folgendes an:

Wenn Alice Blake hinsichtlich der ordnungsgemäßen Authentisierung von Schlüsseln vertraut, dann kann sie davon ausgehen, daß Chloes und Dharmas Schlüssel gültig sind, ohne daß sie diese persönlich prüfen muß. Sie benutzt einfach ihre authentisierte Kopie von Blakes öffentlichem Schlüssel, um zu prüfen, daß Blakes Unterschriften auf den öffentlichen Schlüsseln von Chloe und Dharma echt sind. Im allgemeinen wird, wenn Alice bei allen Partnern völlig darauf vertraut, daß diese die von ihnen unterschriebenen Schlüssel richtig authentisieren, auch jeder mit einem gültigen Schlüssel unterschriebene Schlüssel als gültig betrachtet. Der Ausgangspunkt ist Alices Schlüssel, dessen Gültigkeit vorausgesetzt wird.

Vertrauen in den Eigentümer eines Schlüssels

Vertrauen ist in der Praxis natürlich immer subjektiv. So ist beispielsweise Blakes Schlüssel für Alice gültig, da sie ihn selbst unterschrieben hat, aber vielleicht traut sie Blake kein richtiges Authentisieren der von ihm unterschriebenen Schlüssel zu. In diesem Fall könnte sie die Gültigkeit von Chloes und Dharmas Schlüssel bezweifeln, da sich diese nur auf Blakes Unterschrift stützt. Das Web of Trust trägt diesem Umstand Rechnung, indem es jedem öffentlichen Schlüssel in Ihrem Schlüsselbund eine Angabe darüber zuordnet, inwieweit Sie dem Eigentümer des Schlüssels dahingehend vertrauen, daß er Schlüssel erst nach gründlicher Prüfung authentisiert. Es gibt vier Vertrauensstufen:

Unbekannt

Es ist nichts über die Fähigkeit des Eigentümers bekannt, Schlüssel vor dem Signieren zu authentisieren. Alle Schlüssel in Ihrem öffentlichen Schlüsselbund, die Ihnen nicht gehören, fallen zunächst unter diese Vertrauensstufe.

Kein Vertrauen

Der Eigentümer ist dafür bekannt, andere Schlüssel nicht korrekt zu unterschreiben.

Teilweises Vertrauen

Der Eigentümer versteht die Implikationen des Unterschreibens von Schlüsseln und authentisiert Schlüssel richtig, bevor er sie unterschreibt.

Volles Vertrauen

Der Eigentümer hat ein ausgezeichnetes Verständnis hinsichtlich des Unterschreibens von Schlüsseln, und seine Unterschrift auf einem Schlüssel wäre so gut wie Ihre eigene.

Das Vertrauensmaß eines Schlüssels ist etwas, das Sie alleine dem Schlüssel zuordnen, und es wird als private Information betrachtet. Es wird nicht mit dem Schlüssel verpackt, wenn dieser exportiert wird; es wird sogar getrennt von Ihren Schlüsselbunden in einer gesonderten Trustdatenbank (trustdb.gpg) gespeichert.

Der GnuPG-Schlüsseleditor kann benutzt werden, um das Maß Ihres Vertrauens in den Eigentümer eines Schlüssels anzugeben. Der Befehl lautet trust (Andererseits fragt GnuPG auch nach, wenn es die Information braucht und noch kein Vertrauensmaß angegeben wurde). In diesem Beispiel gibt Alice das Maß ihres Vertrauens zu Blake an und aktualisiert dann entsprechend die Trustdatenbank, um neu zu ermitteln, welche Schlüssel auf der Basis ihrer neuen Einstufung von Blake gültig sind.

alice$  gpg --edit-key blake

pub  1024D/B2690E6F  created: 2000-06-06 expires: never      trust: -/f
sub  1024g/F251B862  created: 2000-06-06 expires: never     
(1)  Blake (Staatsanwalt) <blake@cyb.org>

Befehl> trust
pub  1024D/B2690E6F  created: 2000-06-06 expires: never      trust: -/f
sub  1024g/F251B862  created: 2000-06-06 expires: never     
(1)  Blake (Staatsanwalt) <blake@cyb.org>

Bitte entscheiden Sie, inwieweit Sie diesem User zutrauen,
den Schlüssel eines anderen Users korrekt zu prüfen (Vergleich mit
Lichtbildausweisen, Vergleich der Fingerabdrücke aus unterschiedlichen
Quellen ...)?

 1 = Weiß nicht so recht
 2 = Kein Vertrauen
 3 = Ich vertraue ihm normalerweise
 4 = Ich vertraue ihm vollständig
 s = Bitte weitere Informationen anzeigen
 m = Zurück zum Menü

Ihre Auswahl? 3

pub  1024D/B2690E6F  created: 2000-06-06 expires: never      trust: m/f
sub  1024g/F251B862  created: 2000-06-06 expires: never     
(1)  Blake (Staatsanwalt) <blake@cyb.org>

Befehl> quit
Das Vertrauen [1] in den Schlüssel-Eigentümer und in die Gültigkeit des Schlüssels wird rechts neben dem Schlüssel angezeigt. An erster Stelle wird das Vertrauen in den Eigentümer angezeigt, dann das Vertrauen in die Gültigkeit des Schlüssels. Die vier Vertrauensstufen werden folgendermaßen abgekürzt:

In diesem Fall ist Blakes Schlüssel voll gültig, da Alice ihn selbst unterschrieben hat. Anfangs fallen Blakes Schlüssel für sie unter die Vertrauensstufe ``Unbekannt'', doch sie entscheidet sich dafür, ihn unter ``Teilweises Vertrauen`` einzustufen.

Authentisieren von Schlüsseln im Web of Trust

Das Web of Trust ist ein flexibleres und komfortableres Verfahren zur Authentisierung eines Schlüssels. Früher wurde ein Schlüssel nur dann als gültig betrachtet, wenn er von Ihnen persönlich unterzeichnet war. Nach diesem Verfahren wird jetzt auch ein Schlüssel K als gültig betrachtet, wenn er die folgenden zwei Bedingungen erfüllt:

  1. Schlüssel K ist von genügend gültigen Schlüsseln unterschrieben, das heißt, daß er entweder

    • von Ihnen persönlich oder

    • von einem Schlüssel vollen Vertrauens oder

    • von drei Schlüsseln teilweisen Vertrauens unterschrieben wurde.

  2. Der Pfad unterschriebener Schlüssel, der vom Schlüssel K zurück zu Ihrem eigenen Schlüssel führt, besteht aus maximal fünf Schritten.

Die Pfadlänge, die Anzahl der erforderlichen Schlüssel Ihres teilweisen Vertrauens und die erforderliche Anzahl der Schlüssel Ihres vollen Vertrauens können Ihrer jeweiligen Vertrauensstufe angepaßt werden. Die oben angegebenen Zahlen sind die von GnuPG benutzten Standardwerte.

Abbildung 3-1 zeigt ein Web of Trust, das seinen Ausgangspunkt bei Alice hat. Das Diagramm zeigt anschaulich, wer wessen Schlüssel unterschrieben hat und welche Schlüssel Alice aufgrund ihres Vertrauens in die anderen Mitglieder des Web of Trust als gültig betrachtet. In diesem Beispiel wird angenommen, daß zwei Schlüssel teilweisen Vertrauens oder ein Schlüssel vollen Vertrauens benötigt werden, um einen anderen Schlüssel zu authentisieren. Die maximale Pfadlänge beträgt drei Schritte.

Übersicht, wer wessen Schlüssel unterschrieben hat

VertrauenGültigkeit
teilweisevölligteilweisevöllig
 Dharma Blake, Chloe, Dharma, Francis
Blake, Dharma FrancisBlake, Chloe, Dharma
Chloe, Dharma Chloe, FrancisBlake, Dharma
Blake, Chloe, Dharma ElenaBlake, Chloe, Dharma, Francis
 Blake, Chloe, Elena Blake, Chloe, Elena, Francis

Abbildung 3-1 Ein hypothetisches Vertrauensnetz

Beim Berechnen der gültigen Schlüssel in dem Beispiel gilt folgendes: Blakes und Dharmas Schlüssel werden immer als voll gültig betrachtet, da sie direkt von Alice unterschrieben worden sind. Die Gültigkeit der anderen Schlüssel hängt vom Vertrauen ab. Im ersten Fall genießt Dharma volles Vertrauen, woraufhin die Schlüssel von Chloe und Francis als gültig betrachtet werden. Im zweiten Beispiel genießen Blake und Dharma nur teilweises Vertrauen. Da nun zwei Schlüssel teilweisen Vertrauens nötig sind, um einen Schlüssel voll zu authentisieren, wird der Schlüssel von Chloe als voll gültig, der von Francis aber nur als teilweise gültig betrachtet. Falls Chloe und Dharma nur teilweises Vertrauen genießen, wird Chloes Schlüssel nur teilweise gültig sein, wähend Dharmas Schlüssel voll gültig ist. Der Schlüssel von Francis jedoch wird ebenfalls nur als teilweise gültig betrachtet, da nur ein voll gültiger Schlüssel zur Authentisierung anderer Schlüssel benutzt werden kann, und Dharmas Schlüssel der einzige voll gültige Schlüssel ist, der zum Unterschreiben des Schlüssels von Francis benutzt worden ist. Wenn teilweises Vertrauen in Blakes Schlüssel hinzukommt, kann Chloes Schlüssel voll gültig werden und kann dann zur vollen Authentisierung des Schlüssels von Francis und zur teilweisen Authentisierung des Schlüssels von Elena benutzt werden. Wenn schließlich Blake, Chloe und Elena volles Vertrauen genießen, reicht dies noch nicht aus, um den Schlüssel von Geoff zu authentisieren, da die maximal zulässige Länge des Zertifizierungspfades aus drei Schritten bestehen soll, die Pfadlänge von Geoff zurück zu Alice jedoch vier Schritte beträgt.

Das Web of Trust ermöglicht es Ihnen, GnuPG genau Ihren Vorstellungen von Sicherheit anzupassen. Sie könnten beispielsweise auf mehreren kurzen Pfaden von Ihrem Schlüssel aus zu einem anderen Schlüssel K bestehen, um diesem zu vertrauen. Vielleicht entscheiden Sie sich aber auch für längere Pfade oder sogar nur einen Pfad von Ihrem Schlüssel zu dem anderen Schlüssel K. Wenn Sie mehrfache kurze Pfade voraussetzen, so ist das eine starke Garantie dafür, daß Schlüssel K demjenigen gehört, von dem Sie dies annehmen. Der Preis dafür ist natürlich, daß die Authentisierung von Schlüsseln schwieriger ist, da Sie persönlich mehr Schlüssel unterschreiben müssen, als wenn Sie weniger und dafür längere Pfade akzeptieren.

Fußnoten

[1]

GnuPG überfrachtet das Wort ``Vertrauen'', indem sowohl ``Vertrauen in einen Eigentümer'' als auch ``Vertrauen in einen Schlüssel'' gemeint sein kann. Dies kann Verwirrung stiften. Manchmal wird das Vertrauen in einen Eigentümer zur klareren Unterscheidung als Ownertrust bezeichnet. In diesem Handbuch ist jedoch der Begriff ``Vertrauen'' durchweg in der Bedeutung ``Vertrauen in den Eigentümer eines Schlüssels'' benutzt worden, und der Begriff ``Gültigkeit'' bezieht sich darauf, daß ein Schlüssel der mit der Schlüssel-ID verknüpften Person gehört.