Wenn man eine Signierte Email bekommt, benötigt man zum Überprüfen der Signatur des Absenders den öffentlichen Schlüssel des Absenders. Und zwar muß es wirklich der des Absenders sein und kein anderer. Damit PGP/GPG dies einschätzen kann, muß man auf der einen Seite die öffentlichen Schlüssel, die man besitzt, als "Echt" Signieren und auf der anderen Seite den Besitzern der Schlüssel ein bestimmtes Vertrauen zuweisen.
Was bewirkt dies?
Jeder Öffentliche Schlüssel, den ich signiert habe, ist von mir als "Echt" markiert. Signaturen, die mit diesen Schlüsseln (genauer gesagt, mit den dazugehörigen privaten Schlüsseln) erstellt wurden, werden bei mir als gültig angezeigt.

Was hat das mit dem Vertrauen jetzt auf sich?
Wenn ich einem öffentlichen Schlüssel jetzt nicht selbst vertrauen kann, gucke ich, ob er Signaturen von anderen Personen hat, denen ich vertraue oder so halbwegs vertraue. Um genau zu sein muß ich das nicht selbst tun, sondern PGP/GPG macht das für mich.
Zum Beispiel könnte es sehen:.. der brisante Schlüssel hat Signaturen von:
Heinz
Klaus
Hinz
Horst
das heißt, diese Personen vertrauen vollkommen darauf, daß der brisante Schlüssel wirklich zu dem Namen gehört, der in dem Schlüssel gespeichert ist.
Jetzt habe ich den Personen unterschiedliche Vertrauenslevel zugeordnet:

Heinz -> vertrau ich marginal
Klaus -> vertrau ich marginal
Hinz -> Weiß ich nicht, ob ich vertrauen soll
Horst -> vertrau ich marginal

PGP/GPG denkt sich jetzt, es gibt immerhin 3 Leute die den Schlüssel als echt ansehen und denen ich vertraue, dann wird das wohl auch stimmen. Wenn ich eine Signatur von dem brisanten Schlüssel überprüfe, wird mir PGP/GPG also sagen, daß die Signatur vermutlich vertrauensvoll ist.

Ich habe also zwei Möglichkeiten, auf das Vertrauensverhalten von PGP/GPG Einfluß zu nehmen.
1. Ich signiere einen fremden öffentlichen Schlüssel mit meinem eigenen privaten und sage damit, dass ich diesem absolut vertraue  (zuvor muß ich meinem eigenen privaten Schlüssel ersteinmal vollkommen vertrauen)

2. Ich ordne den fremden öffentlichen Schlüsseln (und damit den Personen, die dazu gehören), die ich habe, bestimmte Vertrauenslevel zu. Dies bedeutet nur, daß ich darauf vertraue, daß das, was "Horst" signiert, wirklich wahr ist oder nur halbwegs wahr ist.


Im WinPT Schlüsselmanager wird dies so angezeigt:

Schlüssel   Gültigkeit    Vertrauen
  .                    .                  .
  .                    .                  .
  .                    .                  .

Gültigkeit zeigt mir, ob ich selbst der Echtheit des Schlüssels vertraue. Alle von mir signierten Schlüssel haben volle Gültigkeit.
Vertrauen bedeutet, daß ich der Signatur des Inhabers dementsprechend vertraue.
Steht bei Gültigkeit "marginal" oder ähnliches, heißt dies, daß ich den Schlüssel nicht selbst signiert habe, er aber von Personen signiert ist, denen ich vertraue.


Als Download habe ich hier die aktuelle Version von GPG angehängt (1.4.6) und WinPT. Die zusätzliche libiconv-1.9.1.dll.zip muß ewentuell ins Windows Verzeichnis und Windows/System32 entpackt werden, falls Fehler bei GPG auftreten.

zuerst GPG installieren. Der Pfad darf nicht geändert werden!! Dann WinPT installieren. WinPT ist ein kleines "Tray", welches rechts unten angezeigt wird und nach Rechtsklick mit der Mouse einen Schlüsselmanager und die Verschlüsselungs/Signierfunktionien birgt.

Download

geschrieben am: 11.12 2006 23:46