Moin!

Jeder erstellt sein Zertfikat selbst, und jeder andere muß irgendwie die Authentizität des Zertifikats selbst feststellen. Das geht einerseits durch direkten Kontakt und Austausch des Fingerprints, […]

Vergleicht man hierbei den Private-Key?

Da der Private Key geheim bleiben muß, vergleicht man ihn natürlich nicht. Man vergleicht den Public Key. :)

Denn der Public Key ist demjenigen, der den dazugehörigen Private Key hat, natürlich bekannt, dessen Korrektheit ergibt sich implizit. Jeder Dritte aber hat sich den Public Key nur aus einer möglicherweise unsicheren Quelle oder über einen unsicheren Übertragungsweg geholt, weshalb dieser manipuliert sein könnte. Es hindert einen ja beispielsweise niemand daran, für eine gegebene Mailadresse einfach noch ein weiteres Key-Paar zu erstellen, um die Öffentlichkeit zu verwirren.

Erst die Kontrolle des Fingerprints (natürlich kann man auch den gesamten Schlüssel checken - das wäre aber wohl etwas zu aufwendig) klärt, ob Hersteller und Nutzer beide den gleichen Public Key haben.

- Sven Rautenberg