Schlüssel-Signierung (Keysigning)

Da viele Entwickler sich bei Handelsmessen oder Konferenzen treffen, haben sich diese zu einer guten Möglichkeit entwickelt, um andere Leute den eigenen GnuPG-Schlüssel signieren zu lassen und das Web-of-Trust zu stärken. Speziell für Personen, die neu im Projekt sind, ist das Signieren von Schlüsseln und Treffen von anderen Entwicklern sehr interessant.

Dieses Dokument beabsichtigt dabei zu helfen, eine Schlüssel-Signierungs-Veranstaltung durchzuführen. Beachten Sie, dass alle Beispiele keyring.debian.org als Keyserver benutzen. Wenn der betreffende Schlüssel sich nicht im Debian-Keyring befindet, ersetzen Sie keyring.debian.org mit einem öffentlichen Keyserver wie zum Beispiel wwwkeys.pgp.net (der trotz seines Namens auch GnuPG-Schlüssel speichert).

Man soll einen Schlüssel nur unter zumindest zwei Voraussetzungen unterzeichnen (signieren):

  1. Der Besitzer des Schlüssels überzeugt den Unterzeichner, dass die Identität in der UID tatsächlich dessen eigene Identität ist, durch jeden Beweis, den der Unterzeichner als überzeugend akzeptiert. Üblicherweise bedeutet das, dass der Besitzer des Schlüssels einen amtlichen Lichtbildausweis vorzeigt, dessen Informationen mit dem Besitzer des Schlüssels übereinstimmen. (Einige Unterzeichner wissen, dass amtliche Lichtbildausweise leicht gefälscht werden können und dass die Vertrauenswürdigkeit der ausstellenden Behörden oft suspekt ist, und verlangen daher nach zusätzlichen und/oder alternativen überzeugenden Identitätsnachweisen).
  2. Der Besitzer des Schlüssels überprüft, dass der Fingerprint und die Länge des Schlüssels, der signiert werden soll, sein eigener ist.

Am Wichtigsten ist, dass Sie weder Voraussetzung 1 oder 2 abschließen können, falls der Besitzer des Schlüssels nicht aktiv am Austausch teilnimmt. Niemand kann den Part des Besitzers des Schlüssels in der Voraussetzung 1 übernehmen, da sonst jemand mit einem gestohlenen Ausweis ganz leicht damit mit einem PGP-Key sich als der Beauftragte des Schlüssel-Besitzers ausgeben könnte. Niemand kann für den Besitzer des Schlüssels den Part in der Voraussetzung 2 übernehmen, da der Beauftragte den Fingerprint durch einen anderen PGP-Key mit dem Namen des Besitzers austauschen könnte und so jemanden dazu bringen könnte, den falschen Schlüssel zu signieren.

Das Debian-Paket signing-party stellt einige Werkzeuge zur Verfügung, die Ihnen bei diesem Prozess helfen. gpg-key2ps wandelt einen GnuPG-Schlüssel in eine PostScript-Datei um, damit Sie kleine Zettel mit Ihrem Fingerprint ausdrucken können. gpg-mailkeys schickt einen signierten Schlüssel per E-Mail an den Autor. Das Paket enthält außerdem caff, ein etwas fortgeschritteneres Werkzeug. Schauen Sie in die Paketdokumentation für weitere Informationen.

Was Sie nicht tun sollten

Sie sollten niemals den Schlüssel für jemand signieren, den Sie nicht persönlich getroffen haben. Einen Schlüssel aufgrund von anderen Dingen als direktem Kontakt zu signieren zerstört den Nutzen des Web-of-Trust. Wenn ein Freund anderen Entwicklern Ihren Lichtbildausweis und Ihren Fingerprint zeigt, aber Sie nicht anwesend sind, um zu bestätigen, dass der Fingerprint Ihnen gehört, was für eine Verbindung haben dann die anderen Entwickler zwischen dem Fingerprint und dem Ausweis? Sie haben nur das Wort des Freundes, und die anderen Signaturen auf Ihrem Schlüssel – das ist nicht besser als wenn sie Ihren Schlüssel signiert hätten, weil es auch andere getan haben!

Es ist nett, mehr Signaturen auf seinen Schlüssel zu bekommen, und es liegt der Versuch nahe, einige Kurven auf dem Weg zu schneiden. Aber vertrauenswürdige Signaturen zu haben ist wichtiger als viele Signaturen zu haben, daher ist es wichtig, dass wir den Schlüssel-Signierungs-Prozess so rein wie möglich halten. Das Signieren eines fremden Schlüssels ist eine Bestätigung, dass Sie sich direkt von der Identität des Besitzers überzeugt haben. Wenn Sie ihn signieren, obwohl Sie das nicht wirklich vorhaben, kann dem Web-of-Trust nicht länger vertraut werden.