Hallo Linuchs,

PGP basiert auf RSA, d.h. einem Schlüsselpaar aus öffentlichem und privatem Schlüssel. Was irgendwer mit deinem öffentlichen Schlüssel verschlüsselt, kannst nur Du mit deinem privaten Schlüssel wieder entschlüsseln. Jeder andere muss ein paar Trillionen Primzahlen (geschätzt) durchprobieren, um deinen privaten Schlüssel per brutaler Gewalt zu erraten. Das Sicherheitsversprechen von RSA basiert darauf, dass man dafür ein paar Jahrzehnte bis Jahrhunderte (je nach Schlüssellänge) lang viel Strom verbrauchen muss. Die Gefahr besteht in schnelleren Computern bzw. in Quantenprozessoren, von denen man vermutet, dass sie dieses Problem in signifikant kürzerer Zeit lösen können.

Das heißt: wenn Du mit dem VdK per OpenPGP kommunizieren willst, brauchst nicht nur Du einen Schlüssel, sondern auch die. Sie müssen ihren öffentlichen Schlüssel öffentlich bereitstellen. Und zwar so, dass man auch darauf vertrauen kann, dass es ihrer ist. Das kann durch eine Signatur einer vertrauenswürdigen Instanz geschehen, oder sie publizieren auf ihrer Homepage einen Fingerprint, mit dem Du den Schlüssel verifizieren kannst (und natürlich musst Du dann darauf vertrauen, dass deren Homepage ungehackt ist).

Den öffentlichen Schlüsselteil derjenigen Person, der Du gesichert schreiben willst, musst Du in deinen Donnervogel importieren. Und schon kannst Du sicher senden. Aber das geht damit noch nicht umgekehrt.

Der Schlüssel, den der Donnervogel für Dich generiert hat, wird verwendet, wenn Dir (z.B. der VdK) jemand was schicken will. Du musst dem Absender deinen öffentlichen Schlüssel geben und irgendwie beweisen, dass es auch wirklich deiner ist. D.h. Du musst deinen Schlüssel da entweder persönlich vorbeibringen und dich ausweisen, oder ihn von einer Instanz signieren lassen, die Dir vertraut und der der VdK vertraut. Das ist das Web Of Trust, das bei PGP gespannt wird. Für eine Behörde ist das aber ein unglaublicher Aufwand, sie müssten für jeden Kommunikationspartner den Schlüssel speichern und verifizieren. Deswegen tun sie es nicht.

Die Post will mit De-Mail eine nationale Alternative dazu anbieten, mit einer zentralen Vertrauensinstanz. Das Urteil des CCC dazu war: „Bullshit Made in Germany“ - das Ding ist offen wie ein Scheunentor, da kann man auch drauf verzichten.

Rolf