[the english version]

Die Bedeutung eines PGP/GPG-Schlüsselzertifikates

Die Aussage, die mit einer Unterschrift eines anderen Schlüssels gemacht wird, ist nicht eindeutig festgelegt. Je nach Interpretation kann eine solche Unterschrift z.B. heissen:

1. Ich bestätige, dass dieser Schlüssel der angegebenen Person gehört.
   Diese Aussage ist sehr ungenau. Denn oft ist die angegebenen Person (z.B Hans Meier) mehrdeutig, d.h. es ist nicht eindeutig definiert welcher Hans Meier gemeint ist.
2. Ich bestätige, dass die Person mit dem angegebenen Namen gehört behauptet, dass dieser Schlüssel ihr gehört.
   Diese Aussage entsteht, wenn Hans Meier sich ausweist und sagt: Hier sind meine Schlüsseldaten, bitte unterschreibe meinen Schlüssel.
3. Ich bestätige, dass dieser Schlüssel einer Person mit dem angegebenen Namen gehört. Diese Aussage kann gemacht werden, wenn Hans Meier:
   • sich ausweist.
   • seine Schlüsseldaten angibt.
   • eine mit dem angegebenen öffentlichen Schlüssel verschlüsselte Mail entschlüsseln kann.
   Durch das entschlüsseln der Mail beweist Hans Meier, dass er den zum angegebenen öffentlichen Schlüssel gehörenden privaten Schlüssel besitzt.

Selbst wenn bei einem Schlüsselzertifikat angegeben würde, welche dieser Aussagen zutrifft, bleiben weitere Fragen offen:

1. Mit was für einem Ausweis hat sich Hans Meier ausgewiesen?
2. Wie sicher ist, dass der Ausweis echt ist?
3. Wie sicher ist, dass der Ausweis auch zu der Person gehört, die den Ausweis vorzeigt?
4. Wie sicher ist, dass der Schlüssel nicht gestohlen wurde?

Darunter sind Fragen, die generell bei der Identifikation von Personen auftreten...

Wer sich mit solchen Fragen beschäftigt, soll sich mal überlgen, was eine Unterschrift auf einem Stück Papier denn bedeutet...

Das führt alles zur wichtigen Vertrauensverwaltung im web of trust. Siehe auch die Erklärung des Web of trust (Vertrauensnetz)