Sven Rautenberg: "Öffentliche Zertifikate"?

Beitrag lesen

Moin!

Wie gesagt: den öffentlichen Schlüssel kann man sich teilweise recht leicht verschaffen, es gibt es ja auch kaum keinen Grund, diesen unter Verschluss zu halten.

Richtig, öffentliche Schlüssel sind auf Keyservern verfügbar und stehen jedermann zur Verfügung.

Aber wenn sich ein Dritter nun den öffentlichen Schlüssel einer anderen Person verschafft hat und sich bei einem solchen Treffen auch als diese ausgibt, wie kann dieser dann entlarvt werden?

Angenommen, du nimmst dir meinen öffentlichen Schlüssel, druckst den aus, gehst auf ein lokales SELFHTML-Treffen und sagst "Hallo, ich bin Sven, hier ist mein Key" - dann glauben die Teilnehmer, dass dein Gesicht und mein Key erstmal zusammengehören.

Aber wenn sie dann eine Nachricht an dich schicken wollen, wird diese Nachricht ja mit meinem Schlüssel verschlüsselt. Kann also nur mit meinem privaten Schlüssel wieder entschlüsselt werden. Es würde dir also nichts nutzen, nur mit dem öffentlichen Schlüssel irgendeine Identitätsverwirrung zu erzeugen.

Und von dir erstellte signierte Nachrichten kannst du ohne privaten Schlüssel auch nicht herstellen.

Abgesehen davon ist mein Foto in meinem Key gespeichert - ob man das so einfach wieder loswird ohne privaten Key, weiß ich nicht.

Die Identität und Authentizität einer Person kann nach meinem derzeitigen Verständnis einzig und allein mit dem privaten Schlüssel nachgewiesen werden; ich verstehe nicht, inwiefern der öffentliche Schlüssel die Identität nachweisen soll.

Die Identität und Authentizität wird nachgewiesen, indem du beispielsweise in der Lage bist (bei "geliehenem" Schlüssel aber gerade nicht), signierte Nachrichten zu erzeugen, die zu dem von dir präsentierten öffentlichen Key passen.

Bei sogenannten "Key Signing Parties" wird allerdings auch mehr verglichen, als nur der Fingerprint. Zusätzlich stehen ja noch der Name und die Mailadresse des Keyinhabers dabei - und auf genau diesen Namen muß man dann allen anderen Teilnehmern ein offizielles Ausweisdokument vorlegen. Das bedeutet: Du kannst nicht irgendwo mit einem Schlüssel von "Sven Rautenberg" ankommen, ohne auch einen Ausweis von "Sven Rautenberg" vorzulegen.

Die c't-Kryptokampangne beispielsweise läuft ungefähr so ab: Man kommt persönlich an den Messestand, gibt ein Papier mit seinen persönlichen Daten und dem Fingerprint ab, zeigt seinen Personalausweis vor, der Standmitarbeiter checkt, ob die Namensangabe übereinstimmt und vermerkt das auf dem Zettel. Parallel hat man den Key an die c't geschickt, und kriegt nach einiger Zeit den von c't signierten Key zurück.

Alle, die glauben, dass die c't bei diesem Verfahren keine groben Schnitzer einbaut, vertrauen dem Key der c't - und damit mindestens zu einem Teil dann auch meinem Key, der von der c't signiert wurde. Und damit dann auch zu mindestens einem Teil den Keys, die ich signiert habe. Web of Trust eben.

Das Signieren eines Keys bestätigt dabei übrigens nicht, dass der Keyinhaber ein guter Mensch ist. Er verifiziert nur, dass der Keyinhaber Träger des angegebenen Namens ist.

- Sven Rautenberg

--
My sssignature, my preciousssss!