Eine Webseite als Lösung für die Datenschutzproblematik im Web of Trust

Deutsch   |   Source

E-Mail Verschlüsselung ist in Zeiten von Überwachung und Industriespionage kein Luxus für Technikbegeisterte Nerds mehr, sondern eine Notwendige Anpassung an die Möglichkeiten der digitalen Welt. Mit GnuPG steht eine hervorragende Software für diese Anforderung jedem zur Verfügung. Wie aber kann die Identität der im Netz verschickten Schlüssel gesichert werden, ohne wiederum die Privatsphäre zu gefährden?

PGP ist für mich die beste Methode meine E-Mails zu verschlüsseln, da mit GnuPG eine hervorragende Open-Source-Software vorliegt, der ich vertraue und die sichere Verschlüsselung bei gleichzeitig großer Bequemlichkeit bietet (Vorausgesetzt man benutzt das richtige Plug-in für Thunderbird). Ein weiterer großer Vorteil von PGP ist, dass keine zentrale Stelle notwendig ist, um den Dienst nutzbar zu machen: Jeder kann sich ein Schlüsselpaar generieren und mit diesen Schlüsseln seine Mails unterschreiben und verschlüsseln, wenn der öffentliche Schlüssel des Empfängers bekannt ist.

Leider ist dieser Vorteil auch der größte Nachteil von PGP . Ich habe keine Garantie, dass ein Schlüssel der realen Person gehört, die im Schlüssel angegeben ist. Diesem Problem wir durch das Web of Trust begegnet. Das Web of Trust wird aufgebaut, indem jeder die Möglichkeit hat, andere Schlüssel zu unterschreiben, um so ganz öffentlich zu bestätigen, dass die angegebene Identität richtig ist. Wenn jedoch immer die Menschen die sich persönlich begegnen in Keysigning-Partys sich gegenseitig ihre Identität bestätigen, kann über die öffentlichen Schlüssel und deren Unterschriften ein sozialer Graph aufgebaut werden, was die Privatsphäre der beteiligten Personen einschränkt. Kurz gesagt: die Idee des Web of Trust enthält ein Datenschutzproblem.

Mit folgender Idee kann das Problem für die Menschen behoben werden, die sich nicht scheuen per e-ID ihres neuen Personalausweises ihren Schlüssel bestätigen zu lassen. Dafür betreibt eine vertrauenswürdige Stelle einen Webserver (z.B. ich), auf den man seinen öffentlichen Schlüssel hochladen kann. Per e-ID wird dann geprüft, ob der Name im öffentlichen Schlüssel mit dem Namen im Personalausweis übereinstimmt. Ist das der Fall, weiß die Webseite, dass die Person, die den Schlüssel hochgeladen hat, auch den Ausweis hat und die Namen stimmen. Wird also kein Personalausweis samt PIN gestohlen, ist ein Identitätsdiebstahl weitgehend ausgeschlossen. Also kann die Webseite mit ihrem Schlüssel den hochgeldenen Schlüssel unterschreiben und die Identität bestätigen. Wer also Angst vor falschen Identitäten hat, muss nur dieser einen Webseite vertrauen. Wer seine sozialen Kontakte nicht veröffentlichen will, kann sich darauf beschränken seinen Schlüssel nur von dieser Seite unterschreiben zu lassen.