Schlüssel unterschreiben

Wenn Alice weiß, dass die eMail-Adressen, die ihr Bob im Schlüssel angeben hat, tatsächlich ihm gehören, dann kann sie den Schlüssel inklusive der User-IDs von Bob beglaubigen.

Überprüfen kann sie das, indem sie Bob mit seinem Schlüssel verschlüsselte Nachrichten an die entsprechenden Adressen schickt. Will sie dagegen den Schlüssel eines anderen Menschens signieren, so überzeugt sie sich durch Einsicht in Personalausweis oder eines ähnlich amtlichen Dokument mit Lichtbild, dass der in UserID angegebene Name übereinstimmt. Zum Austausch und Signieren von Keys eignen sich ganz besonders Key-Signing-Parties.

Die Signierung erfolgt dann mit dem GnuPG-Editor.

Zuerst wird der Schlüssel vom Keyserver in den eigenen Key-Ring importiert, sofern er noch nicht drin ist:

gpg --keyserver subkeys.pgp.net --recv-keys Key-ID

Dann wird der interaktive Modus von GnuPG gestartet:

gpg --edit-key 10A465E2

gpg (GnuPG) 1.4.6; Copyright (C) 2006 Free Software Foundation, Inc.
This program comes with ABSOLUTELY NO WARRANTY.
This is free software, and you are welcome to redistribute it
under certain conditions. See the file COPYING for details.

Secret key is available.

pub  1024D/10A465E2  created: 2007-12-01  expires: 2007-12-11  usage: SC
                     trust: ultimate      validity: ultimate
sub  2048g/96F30816  created: 2007-12-01  expires: 2007-12-11  usage: E
[ultimate] (1). Bob Mustermann (Private) <Bob.Mustermann@linuxmaker.com>
[ultimate] (2)  Max Mustermann (Business) <Max.Mustermann@linuxmaker.com>

Alice hat von Bob seinen Fingerabdruck "64F6 D182 762C A3BA 2AC2  B93D 65AA 01A2 10A4 65E2" erhalten. Den und die Schlüsselinformationen kann sie jetzt überprüfen:

Command> fpr
pub   1024D/10A465E2 2007-12-01 Bob Mustermann (Private) <Bob.Mustermann@linuxmaker.com>
 Primary key fingerprint: 64F6 D182 762C A3BA 2AC2  B93D 65AA 01A2 10A4 65E2

Stimmt der ausgewiesene Fingerabdruck des Schlüssels mit dem überein, den sie von Bob erhalten hat, dann kann sie den Schüssel signieren:

Command> sign
Really sign all user IDs? (y/N) y

pub  1024D/10A465E2  created: 2007-12-01  expires: 2007-12-11  usage: SC
                     trust: ultimate      validity: ultimate
 Primary key fingerprint: 64F6 D182 762C A3BA 2AC2  B93D 65AA 01A2 10A4 65E2

     Bob Mustermann (Private) <Bob.Mustermann@linuxmaker.com>
     Max Mustermann (Business) <Max.Mustermann@linuxmaker.com>

This key is due to expire on 2007-12-11.
Are you sure that you want to sign this key with your
key "Alice <alice@wunderland.com>" (A4144083)

Really sign? (y/N) y

Nach der Passworteingabe ist Bobs Schlüssel lokal signiert. Alice kann ihm jetzt noch ein Vertrauen aussprechen, bevor sie den Schlüssel exportiert.

Command> trust
pub  1024D/10A465E2  created: 2007-12-01  expires: 2007-12-11  usage: SC
                     trust: ultimate      validity: ultimate
sub  2048g/96F30816  created: 2007-12-01  expires: 2007-12-11  usage: E
[ultimate] (1). Bob Mustermann (Private) <Bob.Mustermann@linuxmaker.com>
[ultimate] (2)  Max Mustermann (Business) <Max.Mustermann@linuxmaker.com>

Please decide how far you trust this user to correctly verify other users' keys
(by looking at passports, checking fingerprints from different sources, etc.)

  1 = I don't know or won't say
  2 = I do NOT trust
  3 = I trust marginally
  4 = I trust fully
  5 = I trust ultimately
  m = back to the main menu

Your decision? 4

pub  1024D/10A465E2  created: 2007-12-01  expires: 2007-12-11  usage: SC
                     trust: full          validity: ultimate
sub  2048g/96F30816  created: 2007-12-01  expires: 2007-12-11  usage: E
[ultimate] (1). Bob Mustermann (Private) <Bob.Mustermann@linuxmaker.com>
[ultimate] (2)  Max Mustermann (Business) <Max.Mustermann@linuxmaker.com>
Please note that the shown key validity is not necessarily correct
unless you restart the program.

Der Wert "Ultimately" ist eigentlich nur für die eigenen Schlüssel als ultimatives Vertrauen gedacht, wenn man diese signiert.

Jetzt verlässt Alice den Interaktivmodus, speichert die Änderungen und kehrt zur Shell zurück:

Command> save

Letztenendes muss Alice die Signatur noch veröffentlichen. Dazu hat sie die Möglichkeit zum direkten Laden auf einen Keyserver oder zum Versand via eMail an den Schlüsseleigentümer Bob, was wesentlich besser ist.

Direkter Versand

gpg --keyserver subkeys.pgp.net --send-keys 10A465E2

Persönlicher Versand

gpg --armor --export 10A465E2 > BobMustermann.asc

Die so erzeugte asc-Datei kann Alice dann als Anhang in einer eMail an Bob - idealerweise auch verschlüsselt - versenden.