Schlüsselfrage

Schlüssel bearbeiten

Manchmal kommt es vor, dass Sie das Passwort eines Schlüssels zu einfach oder zu kompliziert gewählt haben und es deshalb ändern möchten. Unter Seahorse wählen Sie dazu im Kontextmenü Eigenschaften und klicken auf dem Reiter Eigentümer auf den Schalter Kennwort ändern. Im gleichen Dialog fügen Sie bei Bedarf dem Schlüssel über das Pluszeichen ein Foto hinzu.

Benutzen Sie KGPG, dann wählen Sie zum Ändern der Passphrase Schlüsseleigenschaften | Kennsatz ändern. Ein Bild für den öffentlichen Schlüssel importieren Sie über Foto hinzufügen aus dem Kontextmenü. Seahorse verkleinert zu große Bilder automatisch auf 120 x 150 Bildpunkte. KGPG weist zwar in einem Fenster darauf hin, dass zu große Bilder den öffentlichen Schlüssel unnötig groß machen, erlaubt aber beliebige Fotos im JPEG-Format.

Aktuelle Versionen von GPG unterstützen mehrere Mailadressen pro Schlüssel. Aus Gründen der Abwärtskompatibilität empfiehlt es sich zwar, pro Schlüssel nur einen Account einzurichten, die meisten aktuellen Programme kommen aber mit mehrfachen Accounts gut klar. Möchten Sie nicht für jede Mailadresse einen separaten Schlüssel anlegen, sondern dem bestehenden Schlüssel einen weiteren Benutzer hinzufügen, markieren Sie in Seahorse den gewünschten Key und wählen Eigenschaften im Kontextmenü. Auf dem Reiter Namen und Signaturen klicken Sie auf Name hinzufügen (Abbildung 4). Über das Symbol mit dem grünen Pfeil legen Sie den Hauptnutzer fest.

Abbildung 4: Sie dürfen einem Schlüssel mehrere E-Mail-Adressen zuordnen, wie hier am Beispiel von Seahorse zu sehen.

In KGPG klicken Sie mit der rechten Maustaste auf den zu bearbeitenden Schlüssel und wählen Benutzerkennung hinzufügen aus dem Kontextmenü. Den primären Account legen Sie ebenfalls über das Kontextmenü fest. Dazu klappen Sie den Schlüssel über einen Klick auf das Pluszeichen vor dem Eintrag zunächst aus. Anschließend klicken Sie mit der rechten Maustaste auf die gewünschte Mailadresse und wählen Benutzerkennung als primäre Kennung festlegen.

Sammeln und verteilen

Arbeiten Sie mit KMail, haben Sie vielleicht schon einmal eine Mail bekommen, die das KDE-Programm mit einem gelben Rahmen markiert hat. Dieser bedeutet, dass KMail nicht in der Lage war, die Signatur zu überprüfen. Ein Klick auf Details anzeigen liefert weitere Informationen zur E-Mail, darunter auch die ID des Schlüssels, mit dem der Kommunikationspartner die E-Mail signiert hat (Abbildung 5). Evolution zeigt bei entsprechenden Mails die Nachricht Signatur existiert, jedoch wird der öffentliche Schlüssel benötigt an. In beiden Fällen fehlt der öffentliche Schlüssel des Absenders, um die Signatur zu verifizieren.

Abbildung 5: Mangels öffentlichen Schlüssels schafft es KMail nicht, die Echtheit der Signatur zu überprüfen.

Seahorse und KGPG unterstützen Sie beim Sammeln öffentlicher Schlüssel und helfen beim Verteilen des eigenen öffentlichen Keys. Um einen gültigen, aber unbekannten Schlüssel in den öffentlichen Schlüsselbund (in die Datei pubring.gpg) aufzunehmen, wählen Sie in KGPG Datei | Schlüsselserver und geben die gesuchte ID, Mailadresse oder den Namen des Absenders in das Textfeld ein. Benutzer von Seahorse wählen Entfernt | Entfernte Schlüssel suchen und finden hier ebenfalls ein Textfeld vor. Beide Programme suchen danach auf einem oder mehreren öffentlichen GPG-Servern nach passenden Schlüsseln.

Geben Sie zum Beispiel Marcel Hilzinger ein, finden Sie zwei Schlüssel: Einen, der zur Mailadresse marcel@hilzinger.hu passt und einen zur Adresse mhilzinger@linuxnewmedia.de (Abbildung 6). Möchten Sie einen der beiden Schlüssel in Ihren öffentlichen Schlüsselbund importieren, stehen Sie vor dem Problem, dass Sie nicht wissen, wer den Schlüssel auf den GPG-Server exportiert hat. Mit hundertprozentiger Sicherheit könnten Sie das nur überprüfen, wenn Sie den Kontakt persönlich treffen und befragen.

Abbildung 6: Über den Schlüsselserver-Dialog von KGPG importieren Sie öffentliche Schlüssel.

Da diese Vorgehensweise in der Praxis relativ umständlich ist, gibt es für jeden Schlüssel einen digitalen Fingerabdruck, den Sie zum Beispiel per Post oder SMS zum Prüfen an den Besitzer des öffentlichen Schlüssels verschicken. Die bekannte Handschrift (Brief) oder Handynummer (SMS) bietet zusätzliche Sicherheit. Der Fingerabdruck ist 40 Stellen lang, die letzten acht Stellen dienen als Kurz-ID. Zudem tragen sämtliche Nutzer von GPG durch das Signieren von bekannten und überprüften Schlüsseln zur Sicherheit des Systems bei.

Um den eigenen öffentlichen Schlüssel der ganzen Welt vertraut zu machen, gehen Sie ähnlich vor. Markieren Sie dazu den gewünschten Key und wählen Sie in KGPG Öffentliche Schlüssel exportieren. Im folgenden Dialog markieren Sie die Checkbox Schlüsselserver und wählen einen der Server aus der Liste aus.

In Seahorse markieren Sie den Schlüssel und wählen Entfernt | Synchronisiere und veröffentliche Schlüssel. Je öfter Sie Ihren öffentlichen Schlüssel einsetzen und je mehr sich dieser verbreitet, desto schwieriger fällt es einem Angreifer, eine falsche Version ins System einzuschleusen. So, wie Sie Freunde und Familie über eine neue Adresse oder eine neue Handynummer informieren, sollten Sie dies auch bei Änderungen am GPG-Schlüssel tun.