Schlüssel-Signierung (Keysigning)

Da sich viele Entwickler bei Handelsmessen oder Konferenzen treffen, haben sich diese zu einer guten Möglichkeit entwickelt, um andere Leute den eigenen GnuPG-Schlüssel signieren zu lassen und das Web-of-Trust zu stärken. Speziell für Personen, die neu im Projekt sind, ist das Signieren von Schlüsseln und Treffen von anderen Entwicklern sehr interessant.

Dieses Dokument soll dabei helfen, eine Schlüssel-Signierungs-Veranstaltung durchzuführen. Beachten Sie, dass alle Beispiele keyring.debian.org als Keyserver benutzen. Wenn der betreffende Schlüssel sich nicht im Debian-Keyring befindet, ersetzen Sie keyring.debian.org mit einem öffentlichen Keyserver wie zum Beispiel wwwkeys.pgp.net (der – anders als sein Name dies vermuten lässt – auch GnuPG-Schlüssel speichert).

Man soll einen Schlüssel nur unter zumindest zwei Voraussetzungen unterzeichnen (signieren):

  1. Der Besitzer des Schlüssels überzeugt den Unterzeichner, dass die Identität in der UID tatsächlich dessen eigene ist, durch jeden Beweis, den der Unterzeichner als überzeugend akzeptiert. Üblicherweise bedeutet das, dass der Besitzer des Schlüssels einen amtlichen Lichtbildausweis vorlegt, dessen Informationen mit dem Besitzer des Schlüssels übereinstimmen. (Einige Unterzeichner wissen, dass amtliche Lichtbildausweise u.U. gefälscht werden können und dass die Vertrauenswürdigkeit der ausstellenden Behörden teilweise suspekt ist, und verlangen daher zusätzliche und/oder alternative überzeugende Identitätsnachweise).
  2. Der Besitzer des Schlüssels versichert sich, dass der Fingerprint und die Länge des Schlüssels, der signiert werden soll, von seinem eigenen Schlüssel stammt.

Am Wichtigsten ist, dass Sie weder Voraussetzung 1 oder 2 abschließen können, falls der Besitzer des Schlüssels nicht aktiv am Austausch teilnimmt. Niemand anderes als der Schlüsselinhaber selbst kann dessen Part in Voraussetzung 1 übernehmen, da sich sonst jemand mit einem gestohlenen Ausweis und einem PGP-Key als Beauftragter des Schlüsselinhabers ausgeben könnte. Auch kann niemand als der Schlüsselinhaber selbst dessen Part in Voraussetzung 2 übernehmen, da ein solcher Beauftragter den Fingerprint durch den eines anderen Schlüssels austauschen könnte und so Leute dazu bringen könnte, den falschen Schlüssel zu signieren.

Das Debian-Paket signing-party stellt einige Werkzeuge zur Verfügung, die Ihnen bei diesem Prozess helfen können. gpg-key2ps wandelt einen GnuPG-Schlüssel in eine PostScript-Datei um, damit Sie kleine Zettel mit Ihrem Fingerprint ausdrucken können. gpg-mailkeys schickt einen signierten Schlüssel per E-Mail an den Inhaber. Das Paket enthält außerdem caff, ein etwas fortgeschritteneres Werkzeug. Schauen Sie in die Paketdokumentation für weitere Informationen.

Was Sie nicht tun sollten

Sie sollten niemals den Schlüssel von jemandem signieren, den Sie nicht persönlich getroffen haben. Einen Schlüssel aufgrund von anderen Dingen als direktem Kontakt zu signieren, zerstört den Nutzen des Web-of-Trust. Wenn ein Freund anderen Entwicklern Ihren Lichtbildausweis und Ihren Fingerprint zeigt, aber Sie nicht anwesend sind, um zu bestätigen, dass der Fingerprint Ihnen gehört, was für eine Verbindung haben dann die anderen Entwickler zwischen dem Fingerprint und Ihrem Ausweis? Sie haben nur das Wort des Freundes, und die anderen Signaturen auf Ihrem Schlüssel – das ist nicht besser, als wenn sie deren Schlüssel signiert hätten, weil es auch andere getan haben!

Es ist nett, mehr Signaturen auf seinen Schlüssel zu bekommen, und es liegt der Versuch nahe, einige Kurven auf dem Weg zu schneiden. Aber vertrauenswürdige Signaturen zu haben ist wichtiger als die reine Anzahl, daher ist es wichtig, dass wir den Schlüssel-Signierungs-Prozess so sauber wie möglich halten. Das Signieren eines fremden Schlüssels ist eine Bestätigung, dass Sie sich direkt von der Identität des Besitzers überzeugt haben. Wenn Sie ihn signieren, obwohl das nicht wirklich Ihre Absicht ist, kann dem Web-of-Trust nicht länger vertraut werden.