EMail-Adresse in PGP-Schlüsseln

Ich will einen Schlüssel für die Verschlüsselungssoftware Pretty Good Privacy (PGP) erzeugen. Ich frage mich nur, ob ich besser für jede meiner EMail-Adressen einen eigenen Schlüssel generiere oder einen einzelnen Public Key mit zusätzlichen Benutzerkennungen verwende.

Beides hat Vor- und Nachteile. Ein einzelner Schlüssel läßt sich erheblich leichter verwalten und verteilen; außerdem dokumentiert er die Zusammengehörigkeit der verschiedenen EMail-Anschriften. Falls aber eine der Adressen ungültig wird, ist es nicht möglich, diese einzelne Anschrift aus dem Schlüssel zu entfernen - zumindest nicht aus der Version, die über Keyserver verteilt wird. Den gesamten Schlüssel für ungültig zu erklären würde aber bedeuten, auch alle selbst geleisteten digitalen Signaturen und Zertifikate zurückzuziehen - eine ungültige Adresse scheint da noch das kleinere Übel zu sein.

Auch ein persönlicher `EMail-freier´ Root-Key, mit dem man lediglich seine EMail signiert und andere Schlüssel - einschließlich der eigenen mit EMail-Adressen - zertifiziert, erfordert ein gehöriges Maß an Mitdenken bei den Kommunikationspartnern, weil diese dann immer über einen Zwischenschritt die Gültigkeit der EMail-bezogenen Schlüssel prüfen und außerdem zur Signaturprüfung und Verschlüsselung verschiedene Public Keys verwenden müssen. Für den Empfang chiffrierter Nachrichten ist ein solcher Schlüssel sehr unhandlich, weil die PGP-Mailer-Plug-ins ihn keiner Adresse zuordnen können; daher müßte der Absender einen solchen Schlüssel jedesmal von Hand auswählen.

Der einfachste Weg führt vermutlich über eine dauerhafte EMail-Adresse, die viele sogenannte FreeMailer kostenlos anbieten (vgl. c't 15/98, S. 144): Bei einem Provider-Wechsel muß man dann nur die Weiterleitungsadresse im FreeMailer korrigieren, der PGP-Schlüssel bleibt aber unangetastet, die darin enthaltene Anschrift und alle geleisteten Signaturen sind weiterhin gültig. (nl) (nl)