Diskussion:GnuPG: Erste Schritte
Ist wohl alles in "Erste Schritte unter GNU/Linux" untergekommen. Löschen???
GPG-Key ohne E-Mail-Adresse?[Bearbeiten]
Was spricht gegen die Erstellung eines Schlüssels ohne Angabe einer E-Mail-Adresse? Schlüssel können ohne E-Mail-Adresse angelegt werden und man würde so dem Missbrauch der Adresse durch Spammer vorbeugen, die die Adresse von den Keyservern laden können. Auch die c't CA zertifiziert Schlüssel ohne E-Mail-Adresse. Siehe die Frage "Kann ich Schlüssel ohne EMail-Adresse in der Benutzerkennung zertifizieren lassen?" in den Heise Security - Krypto Kampagne FAQ --Edward Montgomery Harrington 22:27, 14. Aug. 2008 (CEST)
Recherchen zum Schlüssel ohne E-Mail-Adresse[Bearbeiten]
Meine Recherchen zu diesem Thema haben ergeben, dass die Erstellung eines Schlüssels ohne E-Mail-Adresse unbedenklich ist. Die entstehenden "Nachteile" sind, dass
- logischerweise der Schlüssel von E-Mail-Programmen nicht automatisch einer E-Mail-Adresse zugeordnet werden kann. Wenn mir jemand eine verschlüsselte E-Mail schicken möchte (und in keinem anderen Fall braucht diese Person meinen öffentlichen Schlüssel beim Versenden einer E-Mail), muss diese Person den Schlüssel für die Verschlüsselung manuell auswählen bzw. eine Regel, also Zuordnung von Mail-Adresse zu Schlüssel, definieren.
- der Schlüssel auf dem Keyserver schlecht zu meiner Person zugeordnet werden kann, weil es in den meisten Fällen weltweit mehrere Leute mit dem gleichen bürgerlichen Namen geben wird. Die mögliche Identifizierung des Schlüssels über die E-Mail-Adresse ist ohne deren Angabe natürlich nicht möglich. Allerdings halte ich auch diese Einschränkung für kaum relevant, da die Person auch nach meinem Schlüssel fragen kann, wenn sie meine E-Mail-Adresse sowieso schon hat.
- einige Benutzer Vorurteile gegen Schlüssel ohne E-Mail-Adresse haben und diese nicht signieren würden. Rationale Gründe dafür habe ich nicht gefunden. Ich vermute es liegt daran, dass es nicht der gängigen Praxis entspricht und man in einem Web of Trust natürlich schnell misstrauisch wird. Andernfalls wäre das Web of Trust ohnehin hinfällig. Allerdings denke ich, dass Vertrauensbedenken aufgrund einer fehlenden E-Mail-Adresse aus Unwissenheit resultieren und nicht begründet sind. Wie oben bereits erwähnt, zertifiziert die Heise CA auch Schlüssel ohne E-Mail-Adresse. Die Signatur der Heise CA sagt damit aus, dass der Eigentümer des Schlüssels per gültigem Ausweis geprüft, den im Schlüssel angegebenen bürgerlichen Namen trägt. Die E-Mail-Adresse ist dabei irrelevant.
In einem Fall wurde vorgeschlagen, statt der E-Mail-Adresse zur Unterscheidung von gleichnamigen Menschen, Details wie Geburtsdatum oder -ort in das Kommentar-Feld des Schlüssels einzutragen. Davor kann ich aus datenschutzrechtlichen Gründen nur warnen!!!
Quellen:
- gnupg-users Mailing-Liste auf gnupg.org
- debian-uk Mailing-Liste auf greenend.org.uk
- encryption.gpg.user Mailing Liste auf osdir.com