PGP Schlüssel von Partner importieren?
Hallo Leute, ich habe mich mit OpenPGP und Nachrichten ver- bzw. entschlüsseln befasst.
Ich weiß, dass ich zum Entschlüsseln von Nachrichten meinen privaten Schlüssel brauche und um verschlüsselte Nachrichten an meinen Partner zu verschicken seinen Schlüssel dafür benötige.
Meine Frage ist nun:
wie komme ich an seinen Schlüssel bzw. wie mache ich ihn darauf aufmerksam, dass ich diesen von ihm brauche und ich mit ihm kommunizieren möchte und wie schicke ich ihm meinen Schlüssel? Kann man das über eine E-Mail Adresse machen, wenn eine bekannt ist?
Ich hoffe ihr könnt mir weiterhelfen!
Danke im Voraus!
MfG
Mich94
3 Antworten
Pgp verwendet asymmetrische Verschlüsselung, daher gibt es immer zwei Schlüssel. Einen öffentlichen und einen privaten Schlüssel. Du schickst deinem Partner deinen öffentlichen Schlüssel, dieser nutzt diesen zur Verschlüsselung der Nachricht und du kannst diese Nachricht dann mit deinem privaten Schlüssel entschlüsseln.
Ich habe z.b. in meiner Email Signatur einen Link zu meinem öffentlichen Schlüssel stehen.
Grundsätzlich ist niemand verpflichtet einen Key zu veröffentlichen. Es gibt aber ein großes Verzeichnis wo es sinnvoll ist sich einzutragen. Das findest du hier:
Es gibt Schlüsselserver. Dort legt man seinen Schlüssel ab, auffindbar für jedermann über die Mailadresse.
Du kannst ihm auf beliebigen Wege mitteilen, dass du gerne Schlüssel austauschen möchtest.
Das Problem, vor dem du dann stehst, ist, dass jemand (MITM) den Schlüssel austauschen könnte, wenn du ihn über eine ungesicherte Verbindung verschickst.
Also brauchst du entweder eine Gesicherte Verbindung zu ihm, über die du den Schlüssel verschickst, oder aber du musst auf eine andere Art und Weise überprüfen, dass der Schlüssel echt ist. Hierfür würde man normalerweise ein Zertifikat mitschicken - womit wir aber wieder beim eigentlichen Problem wären.
Kurz: Entweder du triffst dich mit dem, und tauschst USB-Sticks aus, oder aber du müsstest irgendwie einen Hash per Telefon abgleichen (also auf eine Art und Weise wo du verifizieren kannst, dass du den Hash-Wert unverfälscht erhältst. Telefon, weil a) anderer Kanal als Internet, und b) du kannst die Stimme erkennen. Theoretisch wären zwar Angriffe denkbar, aber die dafür benötigten Ressourcen sind doch ein bisschen hoch.). Dabei solltest du darauf achten einen Sicheren Cryptographischen Hash wie z.B. SHA-3 zu verwenden.
Danke für deine Antwort, ich sehe schon, das ist nicht so einfach
Danke für deine Antwort, aber wie kann ich herausfinden wo ich mir den Schlüssel holen kann? Oder besser gesagt ob derjenige überhaupt einen bestitzt