Wozu Schlüssel signieren?

Im Rahmen der c't-Kryptokampagne bieten Sie immer wieder an, PGP-Schlüssel zu signieren. Welchen Sinn hat das eigentlich?

Beim Verschlüsseln mit PGP oder GPG ist es wichtig, sich von der Echtheit des verwendeten Schlüssels zu überzeugen. Dazu könnte man den Adressaten beispielsweise anrufen und sich den so genannten Fingerprint vorlesen lassen, eine bis zu 20 Byte lange Zahl. Stimmt der Fingerprint überein, ist der Schlüssel mit an Sicherheit grenzender Wahrscheinlichkeit echt.

Damit nicht jeder GPG-Nutzer umständlich jeden Schlüssel prüfen muss, kann man mit einer Signatur die Echtheit eines Schlüssels bestätigen. Wenn nun ein frisch vom Keyserver geholter Schlüssel die Signatur einer vertrauenswürdigen Instanz trägt, etwa der c't-Kryptokampagne (siehe www.ctmagazin.de/pgpCA) oder eines Bekannten, so kann man seine Echtheit anerkennen, ohne ihn selbst überprüfen zu müssen. Durch das gegenseitige Signieren von Schlüsseln entsteht ein Netz von Vertrauensbeziehungen (web of trust). (cr)