PGP/GPG Trusted Introducer

Christian Barmala christian.barmala at gmx.net
Son Mai 22 12:46:20 CEST 2005


Hallo,

ich habe mich damit beschäftigt, wie man die Identität einer signierenden
Person überprüft:


X.509 Zertifikate:
- Ich bekomme eine Mail signiert von "Bill Gates von Microsoft" ... kann
jeder behaupten, der zu sein.
- Das Zertifikat ist ausgestellt von Verisign
- Die sind serienmäßig im Mailer integriert, weil sie sich einem Audit
unterzogen haben.
- Der Mailerhersteller vertraut dem Auditor
- Ich vertraue dem Mailerhersteller, denn anderenfalls sollte ich keine
Emails mit seinem Produkt senden und empfangen.

PGP:
- Ich bekommst eine Mail signiert von "Bill Gates von Microsoft" ... kann
jeder behaupten, der zu sein.
- Sein PGP-Schlüssel ist unterschrieben von der Key ID 0x10001.
- Mittlerweile reicht erfreulicherweise ein Mausklick in KGPG oder GPGShell,
um diesen Key vom Keyserver zu importieren.
- Aha, der Key gehört Albert Kaputtnick, Flugzeugmonteur bei Boeing ...
kenn' ich nicht.
- Erfreulicherweise ist Bill's Schlüssel auch noch von Key ID 0x10002
signiert.
- Das ist Steve Ballmer ... aha, den kenne ich  ... zumindest dem Namen nach
aber ist er's wirklich?
- Sein Schlüssel ist signiert von Bill ... klar, die haben sich gegenseitig
signiert aber hilft mir das?
- Er ist auch noch signiert von 0x10001 ... den hatten wir auch schon :-(
- Aaaah da ist noch ein weiterer Schlüssel 0x10003 ... mal sehen, wer das
ist ... Keyserver ....
- Das ist Suzie Boguz, Country Sängerin ... und sie ist signiert von Albert
... die haben sich wohl alle auf einer Signing-Party getroffen.
...
Nachdem ich unzählige Leute auf die Art "kennen gelernt" und mich beim
Verfolgen der Signaturkette mehrmals im Kreis gedreht habe komme ich, wenn
ich Glück und Ausdauer habe, irgenwan bei Key 0x99999, meinem Kollegen Klaus
Müller an.
Aaah den kenne ich doch, den ruf ich mal an und frage, ob ihm wirklich der
Schlüssel mit dem Fingerprint "AD935 BC456 FC537 ...." gehört. Ja, das
stimmt! Und jetzt geht's rückwärts los:

Klaus will ich ja noch glauben, dass er Jens Hansen aus Bremen korrekt
identifiziert hat, aber hat Jens sorgfältig gearbeitet, als er Hans Jensen
aus Hamburg besucht hat? Und was ist mit den 20 anderen Leuten in der Kette
bis zu Bill?


Sehe ich das richtig oder übersehe ich Hilfsmittel, die mich schneller zum
Ziel führen?

Gruß, Christian