Schlüssel-Integrität ist der Dreh- und Angelpunkt!

Wir hoffen, du bist gedanklich einigermaßen mitgekommen.

Es kommt alles darauf an, dass die beiden zuallererst überprüfen, ob der Schlüssel, den sie vom anderen erhalten haben, auch wirklich der ist, den der andere erzeugt hat.

Dass man diese Prüfung nicht per eBrief, sondern auf einem anderen Kommunikationskanal vornimmt, sollte klar, sein, oder? Sonst kann der Man-in-the-middle ja wieder dazwischenfunken ...

Das musst du natürlich nicht jedes Mal machen; es genügt, einen per eBrief empfangenen Schlüssel einmalig auf seine Echtheit zu prüfen. Denn dass der Man-in-the-middle direkt auf Anjas Rechner einen bereits überprüften Schlüssel austauschen kann, ist sehr unwahrscheinlich.

Wie oft ein Man-in-the-middle-Angriff vorkommt, weiss ich nicht. Aber darauf kommt es überhaupt nicht an - dieser Angriff ist die bei weitem leichteste und billigste Methode, ein public-key-Verfahren auszuhebeln. Es ist systembedingt der größte Schwachpunkt von PGP, doch wenn du das Thema ernst nimmst, dann hast du dieses Loch schon gestopft. PGP ist sicher, wenn man richtig damit umgeht.

Die Echtheit von Schlüsseln spielt bei PGP also eine (genauer: die) entscheidende Rolle. Gewöhn dir an, niemals einen Schlüssel zu benutzen, von dessen Echtheit du nicht überzeugt bist!

Davon überzeugt sein kannst du auf verschiedenen Wegen, der beste ist die persönliche Überprüfung. Und jetzt willst du bestimmt wissen, wie man das machen kann.