Einen öffentlichen Schlüssel importieren und verifizieren

Einen öffentlichen Schlüssel zu importieren ist trivial — füge ihn in den Schlüssel-Inspektor ein, und du hast ihn. Die Verifizierung ist die Stelle, an der die meisten Menschen aufhören und an der die meisten Fehler passieren. Eine signierte Nachricht an den falschen Empfänger ist nicht besser als gar keine Verschlüsselung.

Dieser Artikel geht beide Hälften durch: den Schlüssel beschaffen, seine Echtheit bestätigen und ihn dann benutzen.

Was ein öffentlicher Schlüssel wirklich ist

Ein öffentlicher Schlüssel ist ein langer Block aus armored ASCII, den jeder besitzen darf. Er enthält den Algorithmus, den Fingerabdruck, Identitäten (Namen + E-Mails) und Erstellungs-/Ablaufzeitpunkte. Der Fingerabdruck — eine 40-stellige Hex-Zeichenfolge — ist der einzige Teil, den du als kanonische Kennung behandeln solltest. Namen und E-Mails kann der Ersteller des Schlüssels beliebig setzen.

Schritt 1 — Schlüssel beschaffen

• Über einen Keyserver: keys.openpgp.org ist der moderne Keyserver. Suche per E-Mail oder Fingerabdruck und kopiere den armored Block.
• Über die Website des Empfängers: viele Personen veröffentlichen ihren öffentlichen Schlüssel auf einer privaten Seite oder unter /.well-known/openpgpkey/.
• Über eine E-Mail-Signatur: manche Leute betten ihren öffentlichen Schlüssel in den Footer ihrer E-Mails ein.
• Persönlich: wenn ihr euch trefft, tauscht Fingerabdrücke per USB-Stick oder QR-Code aus und vermeidet das Netzwerk komplett.

Schritt 2 — Inspizieren

1. Öffne das Werkzeug Schlüssel-Inspektor.
2. Füge den armored Schlüsselblock ein.
3. Lies Fingerabdruck, Ablaufdatum, Schlüsseltyp und Identitäten.
4. Notiere den Fingerabdruck — diese 40 Hex-Zeichen — an einem sicheren Ort.

Schritt 3 — Fingerabdruck verifizieren

Das ist der Schritt, der aus "Ich habe einen Schlüssel, der angeblich Alice gehört" "Ich habe Alice' Schlüssel" macht. Vergleiche den Fingerabdruck, den du siehst, mit einem aus einem anderen Kanal — eine gedruckte Visitenkarte, eine veröffentlichte Bio, ein Transparenzlog, ein Telefonat, in dem Alice ihn vorliest. Stimmen sie überein, ist der Schlüssel echt.

Wenn die Fingerabdrücke nicht übereinstimmen, verschlüssele nicht mit diesem Schlüssel. Entweder ist die importierte Version gefälscht, oder die im anderen Kanal. Untersuche es, bevor du etwas Sensibles sendest.

Schritt 4 — Verwenden

Einmal verifiziert, ist der Schlüssel sicher in Verschlüsseln, JSON-Verschlüsseler, Datei verschlüsseln und jedem anderen Werkzeug einsetzbar, das einen öffentlichen Schlüssel akzeptiert. Speichere den Fingerabdruck zusammen mit dem Schlüssel in deinen Notizen, damit du die Verifizierung nicht jedes Mal wiederholen musst.