Schlüssel tauschen und veröffentlichen

Nachdem das Schlüsselpaar nun erstellt ist, müsst Ihr den öffentlichen Schlüssel unters Volk bringen. Dazu gibt es mehrere Möglichkeiten. Ihr könnt den öffentlichen Schlüssel, und NUR den öffentlichen Schlüssel exportieren und diese Datei per Mail versenden, zum Download anbieten etc. Dazu geht ihr wie folgt vor:

Mac OS X:

  • GPG Schlüsselbund öffnen
  • Euren Schlüssel anwählen
  • rechte Maustaste
  • "Exportieren" auswählen
  • auf "sichern" klicken

Windows:

  • Kleopatra öffen
  • Euren Schlüssel anwählen
  • rechte Maustaste
  • "Zertifikate Exportieren" auswählen

Jetzt wird eine .asc Datei geschrieben. Dies ist der öffentliche Schlüssel.

Eine weitere Möglichkeit sind die Keyserver. Innerhalb des GPG Projektes werden spezielle Server betrieben, die den öffentlichen Schlüssel der Nutzer speichern und anderen Nutzern zugänglich machen. Einen solchen Server kann im Prinzip jeder betreiben, der Lust dazu hat. Alle Keyserver synchronisieren ihre Daten untereinander um diese aktuell zu halten. Es ist also völlig egal, welchen Keyserver ihr zur Veröffentlichung wählt, Euer Schlüssel wird automatisch auf alle anderen Server kopiert. Wenn Euch nun jemand eine verschlüsselte eMail senden möchte, er aber Euren öffentlichen Schlüssel nicht hat, kann er mit Eurem Namen oder der eMailadresse auf einem Keyserver nach dem öffentlichen Schlüssel suchen, diesen runterladen und direkt benutzen.

Und da wären wir schon beim ersten Problem von GPG. An keiner Stelle wurde bisher überprüft, ob die eMailadresse, die Ihr bei der Schlüsselerzeugung angegeben habt, auch wirklich Euch gehört. Jeder kann für jede beliebige eMailadresse ein Schlüsselpaar generieren. Um dieses Schlüsselpaar zu nutzen, muss der Angreifer auch Euren eMail Account kapern. Sollte er das nicht schaffen oder gar nicht planen, so sorgen diese Fake-Schlüssel nur für Ärger und Verwirrung. Ihr werdet mit verschlüsselten Mails angeschrieben, könnt diese aber nicht öffnen, weil Euch der passende private Schlüssel fehlt.

Die Schlüssel führen jedoch einen digitalen Fingerabdruck. Der Fingerabdruck meines GPG Schlüssels lautet: 68B9 ADAD 698C 8043 2ADC CDB3 A8C5 F36C 6981 7341 Diese Kennung ist eindeutig. Anhand dieser Zeichenfolge kann man den Schlüssel mir zuordnen. Es gibt auch noch die Key ID, die nur aus den letzten acht Zeichen des Fingerabdrucks besteht (also bei mir 6981 7341). Die Key ID ist nicht eindeutig, hilft aber bei der Suche nach dem richtigen Schlüssel auf dem Keyserver. Wenn man also bei der Abfrage des Keyservers nicht nach dem Namen oder der eMailadresse sucht, sondern nach der Key ID bekommt man im Normalfall eine einzige (richtige) Antwort. Eure Key ID und den Fingerabdruck Eures Schlüssels solltet Ihr also auf Eurer Website, in sozialen Netzwerken, in eMailsignaturen sogar auf Euren Visitenkarten veröffentlichen. Damit hat jeder die Möglichkeit zu prüfen ob der öffentliche Schlüssel wirklich Eurer ist.

Wozu sollte man jetzt den Aufwand mit den Keyservern betreiben, wenn doch die anderen Möglichkeiten so viel stressfreier sind? Manchmal muss man seinen Schlüssel bearbeiten. Der private Schlüssel geht verloren, es kommen Unterschlüssel dazu oder andere Nutzer signieren Euren Schlüssel (Unterschlüssel und Signatur der Schlüssel sind fortgeschrittene Techniken und werden vielleicht später erläutert). In diesem Fall muss der öffentliche Schlüssel aktualisiert werden. Wenn Ihr Euren Schlüssel auf einem Keyserver habt, werden diese Aktualisierungen bei allen Kommunikationspartnern automatisch vollzogen. Wenn Ihr ohne Keyserver, Euren öffentlichen Schlüssel "manuell" verwaltet, müsst Ihr bei jeder Aktualisierung Euer Umfeld auf die neue Version hinweisen und diese müssen die Schlüssel dann ebenfalls manuell ersetzen. Eine Signatur der Schlüssel durch andere Nutzer (fortgeschrittene Technik) ist ohne Keyserver auch gar nicht möglich.

Um Euren Schlüssel auf einen Keyserver zu laden müsst Ihr nur folgende Schitte ausführen:

Mac OS X:

  • GPG Schlüsselbund öffnen
  • Euren Schlüssel anwählen
  • rechte Maustaste
  • "öffentlichen Schlüssel an Schlüsselserver senden"

Windows:

  • Kleopatra öffnen
  • Euren Schlüssel anwählen
  • rechte Maustaste
  • "Zertifikate zu einem Server exportieren" auswählen
  • Den Warndialog bestätigen und im nächsten Fenster auf OK klicken

Eure Key ID und den Fingerabdruck findet Ihr wie folgt:

Mac OS X:

  • GPG Schlüsslebund öffnen
  • Euren Schlüssel anwählen
  • rechte Maustaste
  • "Informationen" auswählen. 

Windows:

  • Kleopatra öffnen
  • Euren Schlüssel anwählen
  • rechte Maustaste
  • "Zertifikatdetails" auswählen

Im sich öffnenden Fenster findet Ihr den Fingerabdruck. Die Key ID sind die letzten acht Zeichen des Fingerabdrucks bzw. diese seht Ihr sofort in GPG Schlüsselbund/Kleopatra in der Spalte Key ID bzw. Schlüssel Kennung.

Und zum guten Schluss suchen wir noch nach einem Schlüssel auf einem Keyserver.

Mac OS X:

  • GPG Schlüsselbund öffnen
  • Wenn Ihr die Key ID habt, geht jetzt auf "Schlüssel" > "von Schlüsselserver abfragen". Wenn Ihr nach Namen oder eMailAdresse sucht, geht auf "Schlüssel" > "nach Schlüssel suchen"

Windows:

  • Kleopatra öffnen
  • "Datei" > "Zertifikate auf Server suchen"
  • Jetzt könnt Ihr nach Namen, eMailadressen oder Key IDs suchen. Wenn Ihr eine Key ID benutzt dann schreibt vor die ID immer ein "0x" (ohne die Anführungszeichen). Daran erkennt Kleopatra, dass Ihr eine ID eingegeben habt.

Im folgenden Fenster könnt Ihr nun den richtigen Schlüssel auswählen und importieren.