Web of Trust

Mit dem Netz des Vertrauens kann überprüft werden, wie vertrauenswürdig ein Public Key ist. Das ist wichtig, da sich sonst irgendjemand als eine andere Person ausgeben kann.

Bei PGP gibt es die Möglichkeit, öffentliche Schlüssel auf Schlüsselservern zu verbreiten. Allerdings kann dort jeder einen Schlüssel hochladen. Die Schlüssel werden von keiner zentralen Stelle überprüft.

Wenn du also eine verschlüsselte E-Mail an den Rechtsmediziner Karl-Friedrich Boerne schreiben möchtest, kannst du auf einem Schlüsselserver nach seinem Namen suchen. Allerdings kannst du nicht wissen, ob der Schlüssel „Prof. Dr. Karl-Friedrich Boerne <kf.boerne@muenster.de>“ auch wirklich zu Herrn Boerne gehört.

Hier kommt das Web of Trust ins Spiel. Wenn andere Leute schon vor dir mit Herrn Boerne verschlüsselte E-Mails ausgetauscht haben, dann werden sie auch überprüft haben, ob der Schlüssel korrekt ist. Sie können den Schlüssel dann mit einer Unterschrift bestätigen.

Noch besser ist es, wenn du einen der Unterschreiber kennst. Weißt du zum Beispiel, dass Frank Thiel der Nachbar von Boerne ist und du siehst seine Unterschrift bei dem Public Key, dann kannst du davon ausgehen, dass der Schlüssel echt ist.