GnuPG-Netzwerk-des-Vertrauens-Mini-HOWTO - Version 0.51 - 2014-05-10 written by frank@linux-bayreuth.de Vorgehen beim Krypto-Schluessel-Tausch Als erstes brauche ich selbst ein Private-Public-Schluesselpaar. 'gpg --gen-key' hilft hier weiter. Jetzt erzeuge ich mit eine Schluesselkopie fuer meinen kleinen privaten Haussafe 'gpg --output --export-secret-keys '. Da ich ziemlich paranoid bin - so eine CD im Safe kann ja mal kaputtgehen - erzeuge ich mir noch eine analoge Kopie auf Papier 'gpg --armor --export-secret-keys | lpr'. So jetzt brauche ich nur noch ein Schluesselwiderrufszertifikat fuer den Safe 'gpg --output --gen-revoke '. Gedruckt wird auch 'gpg--armor --gen-revoke | lpr'. Das alles hebe ich jetzt gut und sicher auf. Jetzt schreibe ich mir noch den Fingerabdruck meines oeffentlichen Schluessels auf 'gpg --fingerprint | lpr' und exportiere den oeffentlichen Schluessel 'gpg --output --export' auf Diskette oder 'gpg --keyserver --send-keys' einen Schluesselserver. Beim naechsten Linux-Stammtisch druecke ich dann einfach jedem meine Schluesseldaten, den Fingerabdruck, in die Hand und sammle alle Fingerabdruecke der Anwesenden ein. Dabei verifiziere ich gleich, ob Person, Name und Email-Adresse harmonieren. Wieder daheim angekommen binde ich alle Schluessel in meinen Schluesselbund ein 'gpg --import ' oder 'gpg --keyserver --recv-key '. Dann ueberpruefe ich die Fingerabdruecke und unterschreibe die Schluessel 'gpg--edit-key ' -> 'fpr' -> der Fingerabdruck wird ausgegeben -> bei positivem Vergleich unterschreiben -> 'sign' -> 'quit'. Die unterschriebenen Schluessel schicke ich entweder auf einen Schluesselserver 'gpg --keyserver --send-keys ', sofern das mit dem Schluesseleigner so abgesprochen ist, oder ich schicke ihm den Schluessel per E-Mail zu. So, desweiteren ueberlege ich mir, ob die anderen dieses komplizierte Verfahren verstanden haben, und ob ich ihnen zutraue, das Sicherheitsprinzip einzuhalten. So kann ich jedem Schluessel einen Vertrauenswert zuweisen 'gpg--edit-key ' ->'trust' -> die Frage beantworten -> 'quit'. Abhängig von meinem Vertrauen in die Sorgfalt der jeweiligen Inhaber der Schlüssel meines Schlüsselbundes reichen nun eine oder mehrere Unterschriften von bereits bekannten Schlüsselinhabern unter einem frisch importierten Schlüssel, damit ich dessen Echtheit, ohne dies selbst überprüft zu haben, als verbürgt erachten kann. Ein Schluessel mit einer voll vertrauenwuerdigen oder drei eingeschraenkt vertrauendwuerdigen Signaturen gilt als vertrauenswuerdig. Diese Bewertungsgrundlagen koennen mit den Parametern 'completes-needed' und 'marginals-needed' in der Konfigurationsdatei von GnuPG geaendert werden. Wenn ich das alles immer schoen mache, spinnt sich um mich langsam aber sicher ein Netzwerk des Vertrauens und ich kann mit vielen Leuten sicher kommunizieren... Ich hoffe, ich konnte das Prinzip dahinter etwas klaeren. Naehere Infos gibts im GnuPG-Mini-HOWTO http://www.gnupg.org/howtos/de/index.html oder im GNU Privacy Handbook http://www.gnupg.org/gph/de/manual/index.html.