Austausch von GPG-Schlüsseln

von Thomas Lange

Ein Problem beim Austausch von öffentlichen GPG-Schlüsseln über das Internet ist, dass man nicht weiß, ob der Gegenüber auch der ist, für den man ihn hält. Und nicht vielleicht ein Angreifer, der nur vorgibt die Person zu sein, mit der man eigentlich kommunizieren möchte. Eine Lösung für dieses Problem versucht die Webseite Keybase.IO bereitzustellen. Man erstellt sich dort einen Account, lädt seinen öffentlichen GPG-Schlüssel hoch und bestätigt dann seine Identität zum Beispiel durch das Absetzen eines Tweets bei Twitter, einem Public Gist bei GitHub oder einem TXT-Eintrag im DNS der eigenen Domain.

Wenn also jemand mit mir verschlüsselt kommunizieren möchte und sichergehen will, dass er den richtigen öffentlichen Schlüssel benutzt, dann kann er anhand dieser Verifizierungen feststellen, ob das wirklich mein öffentlicher Schlüssel ist und nicht der von einem Angreifer. Auf meinem Keybase-Account habe ich meine Domains mit einem TXT-Eintrag im DNS und einer Datei auf dem Webserver verifiziert. Außerdem habe ich noch einen Public Gist bei GitHub erstellt. Da es sehr unwahrscheinlich ist, dass die Zugangsdaten zu den DNS-Einstellungen meiner Domain, zum Webserver und zum GitHub-Account kompromittiert wurden, kann man sich sehr sicher sein, dass das wirklich mein öffentlicher Schlüssel ist.

Leider kann man sich bei Keybase derzeit nur mit einer Einladung registrieren. Ich habe aber noch ein paar davon auf Lager. Falls jemand Interesse an einer Einladung hat: schreibt mir einfach eine Mail.

Der Verfasser

Hi. Mein Name ist Thomas und ich bin nicht gut im Schreiben von Vorstellungen. Ich mag die IT und liebe es mit GNU\Linux zu arbeiten. Auf diesem Blog gibt es Beiträge über die verschiedensten Dinge, die mich beschäftigen oder interessieren (dieses Blogsystem ist eine Eigenentwicklung). Deine Fragen, Ergänzungen und Korrekturen zu Inhalten kannst du mir gerne per Mail mitteilen. 😊