Schlüsselverbreitung, oder "Wie gelangen die Leute an meinen Public Key ?"
Um einen Public Key per E-Mail oder über eine Webpage zu verbreiten oder per E-Mail an einen Keyserver zu senden, muss der Public Key zunächst aus dem Pubring (Schlüsselbund) herausgelöst und als Datei abgelegt werden.
Der Export eines Public Keys
- PGPkeys aufrufen
- Public Key auswählen mit 1xMKlT auf den Eintrag des eigenen
Keys
(also "Name <user@E-Mailadresse>") - 1xMKrT Kontextmenü
- Menüpunkt "Export"
- Verzeichnis und Dateiname wählen, wobei wegen DOS
nur 8 Zeichen für den Dateinamen gewählt werden sollten - soll auch der Secret Key exportiert werden, die Checkbox
"Include Private Keys" aktivieren
- Vorsicht: der Secret Key darf unter keinen Umständen an Keyserver oder Mailpartner versendet werden - bei Aktivierung der Checkbox "Include 6.0 Extensions"
werden auch die zusätzlichen PGP 6 Formate zur Foto User-ID
und Designated Revokers exportiert
- deshalb nur aktivieren, wenn der Mailpartner ebenfalls PGP 6 benutzt oder der Key an einen PGP 6 kompatiblen Keyserver versendet wird - Public Key liegt als "MeinRSAPublicKey.asc" oder "MeinDSS/DHPublicKey.asc" vor
Export eines Public Keys bei PGP 2.6.3:
PGP 2.6.3> pgp -kxa Eigene-User-ID Dateiname LW:\pubring.pgp |
Der Public Key kann und sollte veröffentlicht werden, damit
jeder, der mit dem Keybesitzer eine verschlüsselte Kommunikation
pflegen möchte, sich dessen Public Key besorgen kann.
Um den Public Key zu veröffentlichen, gibt es mehrere Möglichkeiten:
Keyserver
Auf den Keyservern liegen alle öffentlichen Schlüssel aller
PGP-User weltweit, die ihren Public Key an diese Keyserver gesendet
haben.
Keyserver
RSA-Keys
Sende eine E-Mail an einen PGP Keyserver, z. B. pgp-public-keys@informatik.uni.hamburg.de
mit dem Subject: ADD
In den Body füge nur die Datei "MeinRSAPublicKey.asc"
ein, die ja bereits vorliegt.
DSS/DH-Keys
Suche einen der PGP 5/6 kompatiblen WWW-Keyserver auf, wähle die Seite aus, wo Keys an den Server versendet werden können, und füge in das Formularfenster die Datei "MeinDSS/DH.asc" ein.
Versand eines Keys aus PGPkeys heraus
bei PGP 5- PGPkeys aufrufen
- Public Key markieren
- im Menü "Keys" den Eintrag "Keyserver" auswählen
- "Send Selected Keys"
- oder markiere den Public Key
- mit 1xMKrT Kontextmenü aufrufen
- Eintrag "Keyserver"
- "Send Selected Keys" wählen
- PGPkeys aufrufen
- Public Key markieren
- im Menü "Server" den Eintrag "Send to" auswählen
- gewünschten Keyserver anklicken
- oder markiere den Public Key
- mit 1xMKrT Kontextmenü aufrufen
- Eintrag "Send to"
- gewünschten Keyserver anklicken
direkte Eingabe in ein WWW-Keyserverinterface
Homepage
Der exportierte Public Key liegt als "MeinRSA(DSS/DH)PublicKey.asc"
im Homepageverzeichnis.
Mit einem Link in der Form "http://Verzeichnis/Dateiname.asc"
kann sich jeder, der die Homepage besucht, den Schlüssel direkt
herunterladen.
Newsgroup
Der exportierte Public Key ("Dateiname.asc") kann
in ein Posting gesetzt und in die newsgroup "z-netz.alt.pgp.schluessel"
gesendet werden.
Entweder lässt man sich "Dateiname.asc" in einem Dateibetrachter
oder Editor anzeigen, markiert den kompletten Inhalt zwischen
-----BEGIN PGP PUBLIC KEY BLOCK--- und ---END PGP PUBLIC KEY
BLOCK--- und fügst in dann in den Body des Postings ein oder
man importierst die Datei direkt über das Mail/Newsprogramm
in den Body des Postings.
E-Mail Signatur
In der Signatur, die man in Postings oder E-Mails verwendet kann ein Hinweis auf die Existenz des Public Keys eingefügt werden. Hinweis
Die Netiquette empfielt eine Länge von 4 Zeilen mit XY Zeichen
vor, die für eine Signatur verwendet werden soll.
Beispiele
- (RSA/DH)PGP-Key unter http://Verzeichnis/Dateiname.asc
- (RSA/DH)PGP-Key auf Anfrage, PGP-Key on request
- (RSA/DH)PGP-Key Server ID: 0xXXXXXXXX
Anmerkung
Es ist sinnvoll immer kenntlich zu machen, um welchen Keytyp
es sich handelt: RSA-Key oder Diffie-Hellmann-Key.
Es ist nicht sinnvoll, in einem eher öffentlichen Raum wie einer
Newsgroup oder einer Mailingliste den Public Key als Fileattachement
anzuhängen, da so auch alle, die nicht an dem Public Key interessiert
sind, ungewollt in den "Genuss" des Public Keys kommen
würden. Man braucht auch nicht den gesamten öffentlichen Schlüsselbund
(pubring.pkr) zu versenden ! Darüber wird sich der Empfänger
freuen, wenn das nicht passiert.
Ausserdem braucht niemand zu wissen, mit wem man per E-Mail
und PGP korrespondiert.
Achtung: Ein einmal auf einem Keyserver hinterlegter Public Key kann nicht mehr als ungültig/zurückgezogen erklärt werden, wenn keine Rückzugsurkunde (Revocation) für diesen Key erstellt wurde, bzw. verfügbar ist oder die Passphrase in Vergessenheit geraten ist !
Schlüsselanforderung oder "Wie gelange ich an die Public Keys anderer Personen ?
In dem vorherigen Kapitel wurden ja schon alle Quellen genannt,
über die ebenso die Public Keys anderer Personen zu beziehen
sind.
Per E-Mailanforderung bei der Person, über dessen Homepage,
in der Newsgroup oder über die Keyserver.
An dieser Stelle soll das Holen eines Public Keys per Keyserver
im Vordergrund stehen.
Als Voraussetzung zum Einholen eines Keys muss mindestens
einer der unten aufgeführten Bestandteile des Keys bekannt
sein, der benötigt wird:
Das kann die User-ID (oder ein Bestandteil) des Keybesitzers,
die Key-ID des Schlüssels oder die E-Mailadresse sein.
Anforderung eines Public Keys per E-Mail oder über ein WWW-Interface
per E-MailZu einem Keyserver (z. B. pgp-public-keys@informatik.uni-hamburg.de) kann eine E-Mail mit den folgenden Subjects gesendet werden, um einen Key anzufordern, ohne noch etwas zusätlich in den Body zu schreiben:
GET (User-ID) oder (E-Mail Adresse) oder (Key-ID mit Syntax "OxXXXXXXXX"), wenn die genauen Daten vorliegen
oder
MGET (einem Bestandteil von User-ID/E-Mail Adresse), wenn nur ungefähre Angaben bekannt sind
über ein WWW-Interface
Wenn zum Beispiel der WWW-Keyserver der Universität Paderborn angewählt wird, kann über ein bequemes WWW-Interface nach Public Keys gesucht und die gefundenen Keys angezeigt werden lassen ("Extract A Key"). Über das gleiche Interface können auch Keys an den Keyserver versenden werden ("Submit A Key"). Formulareingabefelder zur Eingabe eines Suchstrings und Optionen zur Ausführlichkeit der Anzeige stehen dort bereit.
Anforderung eines Keys aus PGPkeys heraus
bei PGP 5- Aufruf von PGPkeys
- Menü "Keys"
- Eintrag "Keyserver - Find a new key"
- E-Mail Adresse oder User-ID des gewünschten Keys eintragen
- Aufruf von PGPkeys
- Menü "Server"
- Eintrag "Search"
- im Dropdownmenü gewünschten Keyserver auswählen
- Suchkriterien über "More Choices" festlegen und erweitern
- bekannte Daten eingeben
Über die PGP 5/6 WWW-Keyserver
Die PGP 5/6 WWW-Interfaces bedient man genauso wie die WWW-Interfaces
der RSA-Keyserver.
Keyserver
direkte Eingabe in ein WWW-Keyserverinterface
Keyimport in den Pubring
Möglichkeitena) wenn ein Public Key über das Keyservermenü von PGP 5/6 angefordert wurde, wird er von PGP selbst in den Pubring aufgenommen.
b) bei Zusendung per E-Mail durch den Besitzer oder durch
einen Keyserver kann der Body des Textes, der den Key enthält,
kopiert werden, anschliessend klickt man auf PGPtray und wählt
die Option "Add Key from Clipboard".
Genauso kann man verfahren, wenn der Key Bestandteil einer
Webpage ist.
Wird der Key als Fileattachement mitgeschickt, liegt er
als Datei "PublicKey.asc" in einem Verzeichnis.
In diesem Fall PGPkey aufrufen und den Key über das "Keys"-Menü
importieren.
Ebenso wird verfahren, wenn man sich den Public Key von einer
Homepage des WWW holt, sobald der Key als Datei auf der heimischen
Festplatte abgespeichert ist.
Aufnahme eines neuen Public Keys bei PGP 2.6.3
PGP 2.6.3> pgp -ka Datei-mit-Public-Key |