Öffentliche Schlüssel vom Keyserver

Auf einem Keyserver kannst du anderen deinen eigenen Schlüssel zur Verfügung stellen und die Schlüssel von anderen ziehen – das erleichtert den Schlüsselaustausch immens. Mit dem neuen Keyserver keys.openpgp.org wird es obendrein auch noch sicherer. Im Unterschied zu den alten Keyservern prüft keys.openpgp.org die E-Mailadresse der Schlüsseleigentümer und entfernt zudem unnötige Metadaten.

Um einen Schlüssel zu suchen gehst du einfach auf die Webseite keys.openpgp.org und gibst die E-Mailadresse des Empfängers ein. Wurde der gesuchte Schlüssel gefunden kannst du ihn einfach mit einm Rechtsklick auf den Link und einem weiteren Klick auf “Speichern unter“ herunterladen. Anschließend kannst du ihn beispielsweise in den Thunderbird mit Enigmail importieren. Dazu musst du im Menü auf “Enigmail“ und dann auf “Schlüssel verwalten klicken“. In dem sich nun öffnenden Fenster kannst du den Schlüssel mit einem Klick auf “Datei“ und dann auf “Importieren“ zu deinen Schlüsseln hinzufügen. Ab sofort kannst du verschlüsselte Mails an die E-Mailadresse schicken.

Alternativ kannst du auch direkt im Thunderbird nach schlüsseln suchen. Hierzu musst du wieder über “Enigmail“ zu dem “Schlüssel verwalten“-Fenster. In dem Menü Schlüsselserver kannst du auf “Schlüssel suchen“ klicken und dort die gesuchte E-Mailadresse eintragen. Wird ein Schlüssel gefunden kannst du ihn direkt importieren.

Den eigenen Schlüssel auf dem Keyserver veröffentlichen

Damit einem auch verschlüsselte Mails geschickt werden können, muss man seinem gegenüber den öffentlichen Schlüssel zur Verfügung stellen – das geht recht einfach über den Keyserver. Achtung: Immer nur den öffentlichen Schlüssel veröffentlichen – nicht den privaten.

Wieder öffnet man im Thunderbird unter “Enigmail“ das “Schlüssel verwalten“-Fenster. Hier sucht man nach der eigenen E-Mailadresse/dem eigenen Schlüssel. Mit einem Rechtsklick auf den Schlüssel kann der Schlüssel “In eine Datei exportiert“ werden. Diese Datei läd man auf keys.openpgp.org hoch. Anschließend bekommt man eine E-Mail vom Keyserver zugesendet, die einen Link enthält, mit dem man bestätigen muss, dass man zugriff auf die E-Mailadresse hat: Fertig! Der Schlüssel liegt nun auf dem Keyserver.

Enthält der Schlüssel mehrere E-Mailadressen, wird an jede Mailadresse eine Bestätigungsmail geschickt, die man einzeln bestätigen muss – der Schlüssel wird dann für jede bestätigte E-Mailadresse veröffentlicht.

Alte Schlüsselserver

Die alten Schlüsselserver funktionierten anders als keys.openpgp.org: Statt einem gab es dutzende Schlüsselserver, die die Schlüssel synchronisierten und vorrätig hielten. Allerdings wurde nicht geprüft wer einen Schlüssel hochgeladen hatte: So konnte jeder für jede E-Mail-Adresse Schlüssel erstellen und hochladen – ob er nun im Besitz der E-Mailadresse war oder nicht. Kurz: Man konnte sich nie sicher sein, ob man den passenden Schlüssel gefunden hatte oder nicht.

Auf die Keyserver konnte zudem oft unverschlüsselt zugegriffen werden und Datenschleudern waren sie obendrein, weil sich die Schlüssel nie wieder löschen ließen. Um ein Teil der Probleme zu beheben veröffentlichten wir damals unsere Schlüssel auf einem selbstprogrammierten Mini-Keyserver – geprüft und per https abgesichert. Mit keys.openpgp.org wurde diese arbeit obsolet.

Ab und an benötigt man aber dennoch die alten Keyserver weil noch nicht alle Nutzer_innen ihre Schlüssel auf dem neuen Keyserver veröffentlicht haben. Von den alten Schlüsselservern empfehlen wir den Keyserver des Mayfirst-Kollektivs: zimmermann.mayfirst.org