Es reicht nicht aus, wenn nur Sie selbst GnuPG benutzen wollen. Um GnuPG zur sicheren Kommunikation mit anderen zu nutzen, m�ssen Sie ein funktionierendes Web of Trust aufbauen. Auf den ersten Blick scheint dies eine m�hsame Aufgabe zu sein: Die Leute, mit denen Sie kommunizieren, m�ssen GnuPG [1] ebenfalls benutzen, und die Schl�ssel m�ssen von ausreichend vielen Personen unterschrieben sein, so da� sie als authentisch zu betrachten sind. Dies sind wohlgemerkt keine technischen Schwierigkeiten, sondern soziale. Nichtsdestoweniger m�ssen Sie diese Schwierigkeiten meistern, wenn Sie GnuPG benutzen wollen.
Anfangs ist es noch nicht so wichtig, da� Sie mit allen Korrespondenzpartnern sicher kommunizieren k�nnen. Wenn Sie mit dem Gebrauch von GnuPG beginnen, suchen Sie sich einen kleinen Kreis von Leuten - Sie selbst und noch ein oder zwei andere -, die ebenfalls ihr Recht auf eine gesch�tzte Privatsph�re in Anspruch nehmen wollen. Unterschreiben Sie jeweils, wenn Sie sich von der Identit�t der anderen Person �berzeugt haben, deren �ffentlichen Schl�ssel und lassen Sie sich im Gegenzug Ihren Schl�ssel signieren. Dieses kleine, robuste Web of Trust ist Ihr Ausgangspunkt. Sie werden dessen Wert zu sch�tzen lernen und - wenn Sie Ihr Web of Trust in der Zukunft weiter ausbauen - um so gewissenhafter und vorsichtiger sein.
�ber Ihr anf�ngliches Web of Trust hinaus m�chten Sie wahrscheinlich auch mit anderen Personen sicher kommunizieren; hierbei k�nnen zwei Schwierigkeiten auftreten:
Sie wissen nicht immer, ob Ihr Gegen�ber GnuPG benutzt oder �berhaupt benutzen will.
Selbst wenn Sie wissen, da� der andere GnuPG verwendet, k�nnten Sie Schwierigkeiten bei der Authentifizierung seines �ffentlichen Schl�ssels haben.
Das erste Problem r�hrt daher, da� viele Leute nicht �ffentlich bekanntgeben, da� sie GnuPG benutzen. Am besten, Sie gehen mit gutem Beispiel voran und sorgen daf�r, da� jeder Ihrer potentiellen Kommunikationspartner wei�, da� Sie GnuPG benutzen. Hierf�r gibt es mehrere M�glichkeiten:
Signieren Sie Nachrichten, die Sie an Ihre Korrespondenzpartner oder Mailinglisten verschicken, mit GnuPG.
Ver�ffentlichen Sie Ihren �ffentlichen Schl�ssel auf Ihrer Website.
Geben Sie Ihren �ffentlichen Schl�ssel auf einen Key-Server und ver�ffentlichen Sie die Schl�ssel-ID in Ihrer E-Mail-Signatur oder auf Ihrer Visitenkarte.
Indem Sie Ihren Schl�ssel bekannt geben, machen Sie es auch f�r andere akzeptabler, ihrerseits ihre Schl�ssel bekannt zu geben. Au�erdem erleichtern Sie es dadurch anderen, sicher mit Ihnen zu kommunizieren, da Sie die Initiative ergriffen und deutlich gezeigt haben, da� Sie GnuPG benutzen.
Die Authentisierung der �ffentlichen Schl�ssel ist schwieriger. Wenn Sie sich nicht pers�nlich von der Identit�t einer Person �berzeugt haben, dann d�rfen Sie deren Schl�ssel auch nicht unterschreiben. In diesem Fall m�ssen Sie auf die Unterschriften von anderen vertrauen und hoffen, eine Kette von Unterschriften zu finden, die von dem betreffenden Schl�ssel zur�ck zu Ihrem eigenen f�hrt. Solch eine Kette kann nur zustande kommen, wenn Sie Ihren Schl�ssel von anderen au�erhalb Ihres anf�nglichen Web of Trust haben unterschreiben lassen. Am einfachsten ist dies auf sogenannten Key-Signing-Partys zu erreichen: Das sind Zusammenk�nfte, bei denen man sich gegenseitig authentifiziert und die �ffentlichen Schl�ssel unterzeichnet. Sollten Sie beispielsweise zu einer Konferenz gehen, halten Sie Ausschau nach einer Key-Signing-Party. Falls dort keine stattfindet, dann laden Sie doch einfach selbst zu einer ein. Auf jeden Fall sollten Sie aber Ihren GnuPG-Fingerabdruck immer bei sich haben (vielleicht auf Ihrer Visitenkarte) so da� Sie spontan mit anderen die Schl�ssel tauschen k�nnen. Derjenige, dem Sie den Fingerabdruck gegeben haben, k�nnte dann, nachdem er Ihre Identit�t �berpr�ft hat, bei der n�chsten Gelegenheit Ihren �ffentlichen Schl�ssel unterschreiben.
Welchen Aufwand Sie betreiben, ist letztendlich Ihre Entscheidung und h�ngt allein von Ihren Sicherheitsbed�rfnissen ab. Niemand ist verpflichtet, seinen Schl�ssel �ffentlich zu machen oder die Schl�ssel anderer zu unterschreiben. Eine der St�rken von GnuPG ist die Flexibilit�t, mit der man die Benutzung den eigenen Anspr�chen anpassen kann. Sie werden jedoch feststellen, da� Sie Ihr Web of Trust ausbauen m�ssen, wenn sie GnuPG f�r Ihre sichere Kommunikation einsetzen m�chten.
| [1] | In diesem Abschnitt bezieht sich GnuPG sowohl auf die GnuPG-Implementierung von OpenPGP als auch auf andere Implementierungen wie das PGP-Produkt von NAI. |