Mail-Verschlüsselung: Mittwochs PGP-Schlüssel zertifizieren bei Heise

Im Rahmen der Krypto-Kampagne zertifiziert Heise seit vielen Jahren kostenlos PGP-Schlüssel, mit denen jederman E-Mails verschlüsseln und signieren kann. Dabei geht es darum, dass eine vertrauenswürdige Instanz die Identität des Schlüsselinhabers beglaubigt. Bislang war dies nur auf Messen wie der CeBIT möglich. Wer ohnehin in Hannover ist, kann ab sofort Mittwochs zwischen 16:30 und 17:30 direkt im Verlagsgebäude vorbeischauen, um seinen PGP-Schlüssel von der Heise-Zertifizierungsstelle unterschreiben lassen. Mitzubringen ist lediglich ein ausgefüllter Antrag und der Personalausweis.

Das größte Problem bei der Verschlüsselung mit PGP ist es, bei Personen, die man nicht kennt, den richtigen Schlüssel zu finden. Sie können natürlich einen der öffentlichen Key-Server nach dem Schlüssel für "Jürgen Schmidt" befragen – aber allein dass der antwortet, garantiert Ihnen nicht, dass der Schlüssel auch echt ist. Schließlich kann jeder Schlüssel für beliebige Namen dort hochladen. Deshalb gibt es bei PGP die Möglichkeit, die Echtheit eines Schlüssel mit seiner digitalen Unterschrift zu beglaubigen. Die bestätigt dann all Ihren Freunden – und vielleicht sogar deren Freunden – dass Sie diesen Schlüssel geprüft und für echt befunden haben.

Die vom c't magazin bereits 1997 ins Leben gerufene Krypto-Kampagne überprüft und zertifiziert kostenlos die Echtheit von PGP-Schlüsseln. Dabei prüft ein Heise-Mitarbeiter Bild und Namen auf einem offiziellen Ausweisdokument und vergleicht letzteren mit den Angaben des vorgelegten Zertifizierungsantrags. Die Heise Zertifizierungsstelle bestätigt dann mit ihrer Unterschrift, dass der dort aufgeführte Schlüssel tatsächlich dieser Person gehört. In den letzten 16 Jahren hat die Heise-CA auf diese Art bereits weit über 25.000 Schlüssel zertifiziert und dürfte damit einer der größten PGP-Zertifizierungsgeber weltweit sein. Die Echtheit des pgpCA-Schlüssels erkennen Sie übrigens an dem Fingerprint A3B5 24C2 01A0 D0F2 355E 5D1F 2BAE 3CF6 DAFF B000, der sich auch im Impressum jeder c't-Ausgabe findet. Wer dessen Unterschrift vertraut, kann direkt mit vielen tausenden Personen vertrauliche E-Mails austauschen.

Aus der Notwendigkeit den Personalausweis zu prüfen, ergibt sich, dass für die Zertifizierung ein persönlicher Kontakt notwendig ist (eine Identitätsfeststellung auf anderem Weg – etwa via Postident – lässt sich aus verschiedenen Gründen leider nicht realisieren). Bisher war dies lediglich auf prominenten Messen wie der CeBIT und einigen Heise-Veranstaltungen möglich. Ab sofort kann man auch einfach Mittwochs zwischen 16:30 und 17:30 seinen unterschriebenen Antrag direkt beim Heise-Verlag in Hannover prüfen lassen. Dieser Service ist kostenlos - und natürlich nicht an einen Abo-Abschluss gekoppelt ;-) Sie müssen lediglich vorher einen Schlüssel erstellen und dann den Zertifizierungsantrag ausfüllen – Details dazu finden Sie bei: Wie kann ich mitmachen?. Eine vorherige Anmeldung mit einer kurzen Mail an pgpCA@ct.heise.de hilft uns bei der Ressourcenplanung, ist aber nicht erforderlich. (ju)