PGP-Anwendertips Startseite   Anleitung     Information     Allgemeines        
 


>> weiterführend >
Schlüsselsignatur


Beispiel zum Vertrauensmodell

Ein Beispiel: Carolin will Ihnen eine vertrauliche Nachricht zukommen lassen. Wenn sie den Schlüssel von Ihnen persönlich (d.h. Sie haben ihr den Schlüssel auf Diskette selbst überreicht) erhalten hat, ist das Risiko, daß ein gefälschter Schlüssel verwendet wird, sehr gering. Aber wenn Carolin Ihren öffentlichen Schlüssel von einem Server aus dem Internet holt oder per Email erhält, ist es möglich, daß ein unbefugter Dritter einen öffentlichen Schlüssel erzeugt hat, der Ihren Namen trägt. Carolin, die Ihnen eine geheime Nachricht schicken will, wird diesen Schlüssel verwenden, weil sie denkt, es sei Ihrer. Besagter unbefugter Dritter muß nur noch die an Sie adressierte Nachricht abfangen (was technisch nicht weiter schwer ist). Er kann sie dann entschlüsseln, weil er der wahre Eigentümer des Schlüssels ist. Danach könnte er die Nachricht mit Ihrem richtigen öffentlichen Schlüssel wieder verschlüsseln. Sie merken also nicht, daß die Nachricht zwischendurch gelesen wurde (man-in-the-middle-attack). 

Die Lösung des Problems ist die Signatur von Schlüssel/ID-Kombinationen. Eine vertrauenswürdige Person unterschreibt Ihre öffentliche-Schlüssel/ID-Kombination. Damit bezeugt der Unterzeichner, daß der Schlüssel wirklich Ihnen gehört. Um bei dem Beispiel zu bleiben: Carolin und Sie kennen beide Rainer. Und Rainer besitzt Ihren öffentlichen Schlüssel. Rainer signiert nun Ihren öffentlichen Schlüssel. Wenn Carolin sich Ihren öffentlichen Schlüssel besorgt, sieht sie, daß er von Rainer signiert ist. Da Carolin Rainer nicht zutraut, daß dieser einen falschen öffentlichen Schlüssel signieren würde, kann sie den öffentlichen Schlüssel von Ihnen ohne Bedenken verwenden.

Wenn Ihr öffentlicher Schlüssel von einer vertrauenswürdigen Person signiert wurde, können Sie fortan Ihren öffentlichen, signierten Schlüssel verschicken. Ihren öffentlichen Schlüssel können Sie unter anderem durch die c't Kryptokampagne zertifizieren lassen. Es gibt aber auch einige kommerzielle Zertifizierungseinrichtungen.

>>> So werden Schlüssel signiert.

 

 
  Seitenanfang