Um sicher zu gehen, dass man auch wirklich den richtigen öffentlichen Schlüssel hat macht man einen sogenannten Fingerprintcheck. So weiß man, dass der Schlüssel nicht ausgetauscht wurde und man auch wirklich die richtige, aktuelle Version des Schlüssels hat. Um dies zu überprüfen vergleicht man den eindeutigen “Fingerabdruck“ des Schlüssels – eine kleine Zahlen- und Buchstaben-Reihe.
Wie geht das?
Im Beispiel wollen wir überprüfen ob Alice den richtigen öffentlichen Schlüssel von uns (support ät mtmedia.org) hat. Dazu müssen wir zuerst einmal den Fingerprint des Schlüsselts heraussuchen. Im Thunderbird klickt man dazu auf “OpenPGP“ und dann auf “Schlüssel verwalten“ und klickt den entsprechenden Schlüssel an. Wenn es sich um den eigenen Schlüssel handelt sieht das ungefähr so aus:
Oder wenn man statt Thunderbird die Kommandozeile verwenden will:
Nun muss ich diesen Fingerperprint (C8CA 3105 5701 E2F8 6AA7 34F8 FC61 D83F A53C 2700) mit dem Fingerprint von dem öffentlichen Schlüssel den Alice von support ät mtmedia.org hat vergleichen. Dazu muss ich diesen mit Alice austauschen. Wichtig dabei ist, dass ich mir sicher bin, dass ich mit Alice und nicht mit jemand anderem kommuniziere, der sich dazwischen schalten und unsere Fingerprints abfangen könnte. Am besten eignet sich hierzu das Telefon, da ich Alice und Alice mich an der Stimme erkennen wird. Der Fingerprint kann dann einfach vorgelesen und bestätigt werden. Eine weitere Möglichkeit besteht darin, den Fingerprint auf einen Zettel zu schreiben und der Person zu geben oder eine bereits bestehende gecheckte Verbindung zu nutzen (verschlüsselter und fingerprintgecheckter Chat (z.B: mit OTR und Jabber) oder eine schon gecheckte GnuPG Mailadresse).
Stimmen die Fingerprints überein ist alles in Butter – wenn nicht: tauscht die Schlüssel erneut aus und fingerprintcheckt sie noch mal.
Was ist, wenn ich den Anderen gar nicht kenne?
Wenn du den Key aus einer vertrauenswürdigen Quelle bezogen hast: Beispielsweise von der verschlüsselten Webseite des Schlüsseleigentümers oder dem Keyserver keys.openpgp.org, der die Schlüssel vor der Veröffentlichung prüft, hast du immerhin eine Basissicherheit – auch ohne Fingerprintcheck.
Ansonsten kann dir noch das Web of Trust weiterhelfen. Was das ist und wie das Funktioniert wird auf Wikipedia beschrieben: de.wikipedia.org/wiki/Web_of_trust