Verständnisfrage zum Archivieren verschlüsselter Daten

[Helmut Waitzmann]

Christine Kremsmayr <c.kremsmayr at gmx.net>:
> Am 19.02.2016 um 09:40 schrieb Helmut Waitzmann:
>>
>> Da ist mir noch nicht ganz klar:  Hast Du zum Entschlüsseln einen
>> Unterschlüssel oder verwendest Du den Hauptschlüssel dazu?
>
> Nein, keine UNterschlüssel. Meine Frage bezieht sich auf den einfachen
> Fall, dass es nur ein Haupt-Schlüsselpaar gibt, keine Unterschlüssel.
> Übrigenbs ist mir das nicht passiert, ich spiele derzeit nur mit meheren
> E-Mail-Accounts und GnuPG-INstallationen auf Windows und Linux herum, um
> das Ganze kennenzulernen.

Gute Idee.

>>> Ist das korrekt?
>> Deswegen sage ich zunächst: Das kommt darauf an:
>>
>> Es ist üblich – und GnuPG tut das normalerweise auch –, zum
>> Verschlüsseln und Entschlüsseln nicht das Hauptschlüsselpaar
>> sondern ein Extraschlüsselpaar zu verwenden, das als
>> Unterschlüsselpaar an das Hauptschlüsselpaar gehängt wird.
> Sofern ich das das Konzept der Unterschlüssel verstanden habe, ist das
> ja einer der Gründe, weshalb UNterschlüssel eingeführt wurden: Wenn der
> private Unterschlüssel (aber nicht der private Hauptschlüssel)
> kompromittiert ist, macht man einfach ein neues Unter-Schlüsselpaar.

Ja.  Ein weiterer war technischer Natur:  Als RSA noch
patentgeschützt war, verwendete GnuPG ein DSA‐ und ein
ElGamal‐Schlüsselpaar.  (Das kann man auch jetzt noch bei der
Schlüsselerzeugung auswählen, wenn man möchte.)  Jedenfalls einen
von beiden Schlüsseltypen konnte man nicht zum Signieren und
Verschlüsseln verwenden (ich weiß nicht mehr, ob das nun beim DSA‐
oder beim ElGamal‐Schlüsselpaar der Fall war).  Daher brauchte man
zwei Paare.

Ein weiterer Grund ist, dass es in Bezug auf Kryptanalyse (also
Schlüsselknacken) besser ist, wenn man denselben privaten
Schlüssel nicht sowohl zum Entschlüsseln als auch zum Signieren
verwendet.

Beim Signieren wählst Du als Schlüsseleigentümer aus, welche Daten mit
dem geheimen Schlüssel verarbeitet werden.  Beim Entschlüsseln
wählt derjenige die Daten aus, der sie verschlüsselt:  Er schickt
Dir eine verschlüsselte Nachricht, und Du kannst sie entweder
entschlüsseln oder es bleiben lassen.  Aber Du hast keine
Kontrolle darüber, wie sie aussehen.

Auch aus diesem Grund empfiehlt es sich, zwei Schlüsselpaare zu
verwenden.

Damit man aber nur 1 Paar in das Web of Trust einbinden muss,
macht man das andere Paar zum Unterschlüsselpaar.  Es nimmt über
das Hauptschlüsselpaar am Web of Trust teil.

Um das Web of Trust aufzubauen, braucht man ein Schlüsselpaar, mit
dem man anderer Leute Schlüssel beglaubigen (zertifizieren) kann.
Das kommt aber dem Signieren sehr nahe.  Damit ist klar:  Das
Signier‐ und Zertifizier‐Schlüsselpaar ist das Hauptschlüsselpaar,
und das Verschlüsselungs‐Schlüsselpaar ist das Unterschlüsselpaar.

>> Ist der private Hauptschlüssel kompromittiert, musst Du das
>> Hauptschlüsselpaar widerrufen.  Theoretisch könntest Du alle
>> Unterschlüsselpaare weiterverwenden.  Man müsste sie allerdings
>> so, wie sie zuvor am alten Hauptschlüsselpaar hingen, jetzt an das
>> neue Hauptschlüsselpaar hängen.  Ob das machbar ist und – wenn
>> ja – mit welchem Aufwand, ist mir nicht bekannt.
>
> Ich habe bisher auch noch keine Hinweise gefunden, ob das geht.

Im englischsprachigen Mailinglist war einmal zu lesen, dass
Unterschlüssel, technisch gesehen, auch nichts anderes als
Hauptschlüssel sind.  Sie unterscheiden sich nur an der Stelle, an
der steht, ob sie eine Haupt‐ oder eine Unterschlüsselrolle spielen
sollen.

Mit „gpssplit“, einem Werkzeug zum Auseinandernehmen von
Schlüsseln, kommt man an die einzelnen Schlüssel und an den
Schlüsselrollen‐Anzeiger ran, kann ihn umstellen und dann die
Schlüssel wieder zusammenpacken.

> Blöde Frage, weil wir gerade über Unterschlüssel sprechen: Auch wenn ich
> X Unter-Schlüsselpaare habe -- ich verteile (per Mail, per Upload auf
> Keyserver) immer den öffentlichen Hauptschlüssel, korrekt?

Die öffentlichen Unterschlüssel werden auch mit verteilt.  Will
Dir jemand eine verschlüsselte Nachricht schicken, braucht er den
öffentlichen Schlüssel des Schlüsselpaars, das zum Ver‐ und
Entschlüsseln verwendet wird.  Das ist meistens (siehe oben) ein
Unterschlüsselpaar.  Um es aber Dir zuzuordnen (mithilfe des Webs
of Trust), schaut er sich den Hauptschlüssel an, an dem der
öffentliche Verschlüsselungsschlüssel hängt.  Deswegen braucht er
beide: Deinen öffentlichen Hauptschlüssel und Deinen öffentlichen
Verschlüsselungsunterschlüssel.

[Der öffentliche Hauptschlüssel]
> Dieser sammelt die Zertifikate (Schlüsselsignaturen) der anderen
> Benutzer, korrekt?

Ja.

> Und dennoch kann ich Inhalte, die mit meinem öffentlichen Hautpschlüssel
> verschlüsselt wurden, mit meinem privaten Unterschlüssel (der einen ganz
> anderen Fingerabdruck hat, entschlüsseln. 

Nein, das geht nicht.  Zum Entschlüsseln braucht man den privaten
Schlüssel desselben Schlüsselpaars, mit dessen öffentlichem
Schlüssel verschlüsselt wurde.

> Das ist dch der Witz an den Unterschlüsseln, verstehe ich das
> richtig?

Nicht ganz.  Der Witz ist, dass man zwar einerseits zwei
Schlüsselpaare (eines zum Signieren und Zertifizieren und
Signaturprüfen, ein anderes zum Ent‐ und Verschlüsseln, siehe
oben) verwendet.

Dadurch, dass man aber andererseits das Ent‐ und
Verschlüsselungs‐Schlüsselpaar zum Unterschlüsselpaar des
Zertifizierschlüsselpaars macht, braucht es kein extra Web of
Trust.