close
  • Xm chevron_right

    OpenPGP und das Web of Trust

    DebXWoody · pubsub.movim.eu / xmpp-eagle · Tuesday, 16 June, 2020 - 05:00 edit · 2 minutes

Wie funktioniert das Web of Trust? Bei diesem Punkt gibt es einiges zu beachten.

Wie im letzten Kommentar angesprochen sollte man wegen der Anmerkung

soziale Graphen eine begehrte Handelsware geworden

einige Dinge wissen.

Warum braucht man das Web of Trust?

Bei der asymmetrisch Verschlüsselungsmethode hat man einen privaten und einen öffentlichen Bestandteil des Schlüssels. Man spricht hier von einem Schlüsselpaar. Der öffentliche Schlüssel wird untereinander ausgetauscht und der private Schlüssel bleibt immer im Besitzt des Eigentümers und darf nicht an dritte kommen. Wenn eine Person Alice den Schlüssel von Bob bekommt. Wie kann Alice sicherstellen, dass der erhaltene Schlüssel auch wirklich von Bob ist? Das ist sehr einfach! Alice trifft sich mit Bob und prüft den Fingerabdruck der Schlüssel. Wenn dieser korrekt ist, unterschreibt Alice mit ihren privaten Schlüssel den öffentlichen Schlüsseln von Bob.

Ich, Alice, habe diesen Schlüssel geprüft, für richtig befunden und bin mir sicher, dass es sich um den Schlüssel von Bob handelt.

Was ist die Konsequenz? Ich muss meine ganze Familie besuchen, um die Schlüssel zu prüfen. Dies ist in Zeiten mit Corona gar nicht so einfach. Dieses Problem lösen wir mit dem WoT. Die Schlüssel von Alice und Bob wurden gegenseitige unterschrieben.

Alice sehe ich selten, aber Bob ist mein Arbeitskollege. Ich werde den Schlüssel von Bob wie oben schon beschrieben mit ihm prüfen. Des Weiteren gebe ich an, dass ich ein sehr starkes vertrauen in die Signaturen von Bob habe.

Was passiert jetzt?

Da ich BobsUnterschriften vertraue und Bob den Schlüssel von Alice unterschrieben hat. Ist der unterschriebene Schlüssel von Alice welchen ich vor ihr bekommen habe für mich gültig.

Was ist aber das Problem?

Das Konzept ist doch super, aber wo ist das Problem? Stichwort: Handelsware von soziale Graphen? In den öffentlichen Schlüssel steckt jetzt eine wichtige Information. Bob kennt Alice und Alice kennt Bob. Leider hat sich die Welt etwas geändert und man muss hierbei bedenken, dass man so Informationen über sich Preis gibt. Welche andere wiederum, was das eigentlich Problem ist, auswerten können.

Das Problem lässt sich aber vermeiden.

Minimaler öffentlicher öffentlicher Schlüssel

Man kann den öffentlichen Schlüssel, welcher auch wirklich öffentlich (aus der Homepage) mit einer Option exportieren, dass die Schlüssel keine Signaturen enthalten. --export-options export-minimal. Dies ist sozusagen das "deaktivieren" von WoT. Es ist so möglich, dass jemand dennoch die Daten des Schlüssels hat. Jedoch nicht die Signaturen. Der richtige Schlüssel kann auf einem anderen Kommunikationsmedium (z.b. E-Mail) dann verschlüsselt an die Person übertragen werden.

WKD

Eine weitere Möglichkeit ist den Schlüssel nicht auf einem öffentlichen Keyserver hochzuladen sondern nur per WKD anzubieten. Das hilft dabei, die Information aus der Signatur nicht direkt einer Person zuzuordnen zu können.

  • favorite

    1 Like

    debacle