Web of Trust

Bei einem Web of Trust, wörtlich: "Netz des Vertrauens", geht man davon aus, daß es nicht möglich ist, mit jedem Beteiligten die Digitalen Schlüssel auszutauschen. Entweder weil kein persönlicher Kontakt möglich ist oder weil sich die Gruppe der Beteiligten laufend ändert. Ein Beispiel sind die Entwickler des Debian-Projektes. Es handelt sich hier um mehrere Tausend Personen, die über die gesamte Welt verstreut leben.

Diese Gruppe möchte auf sicherer Weise miteinander kommunizieren und die Emails signieren oder verschlüsseln. Um dies zu erreichen tauschen die Entwickler bei jedem persönlichen Treffen ihre öffentlichen Schlüssel aus und signieren den Schlüssel des anderen.

So hat Person A einen öffentlichen Schlüssel, der von B und C und D signiert ist. E ist ein neuer Entwickler, der nur einen Schlüssel hat, der von B und D signiert ist.

Nun erhält A eine signierte Email von E.
A kann nun anhand des ihm noch unbekannten Schlüssels nicht definitiv sagen, daß die Email wirklich von E kommt, da es noch nicht zu einem persönlichen Treffen gekommen ist und jeder einen Schlüssel mit E's Namen erstellen und verteilen kann.
A sieht aber, daß der Schlüssel von B und D signiert wurde und kann nun davon ausgehen, daß die Email zumindest wirklich von E stammt, da mindestens 2 weitere Mitglieder des Web of Trust die Authentizität bestätigen. A wird den öffentlichen Schlüssel von E jedoch trotzdem erst bei einer persönlichen Begegnung unterzeichnen und damit für seine Echtheit (Authentizität) bürgen.

Der Kern dieses 'Web of Trust' ist die Vertauenswürdigkeit der beteiligten Personen. Jeder Teilnehmer muß sich sicher sein, daß die anderen nicht leichtfertig mit dem Signieren fremder Schlüssel umgehen sondern gewissenhaft prüfen, ob der andere derjenige ist, für den er sich ausgibt.

Links:

• Keysigning Party
• PGP