Auf Key-Servern unterschiedliche Schlüssel

    Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:

    • Thunderbird-Version: 60.7.1
    • Betriebssystem + Version: Linux
    • Kontenart (POP / IMAP): IMAP
    • Postfachanbieter (z.B. GMX):t-online
    • PGP-Software / PGP-Version:
    • Eingesetzte Antivirensoftware:
    • Firewall (Betriebssystem-intern/Externe Software):

    Hallo,

    ich stelle fest, daß ich bei der Suche mit meiner e-Mai Adresse nach meinem Schlüssel auf pool.sks-keyservers.net bzw. dem Export meines öffentlichen Schlüssels in die Zwischenablage

    und der Angabe im Browser http://pool.sks-keyservers.net/pks/lookup?op=…C4877A5E53DF487

    unterschiedliche Schlüssel erhalte.

    a) Mein Schlüssel aus der Zwischenablage:

    b) der Schlüssel angezeigt von http://pool.sks-keyservers.net/pks/lookup?op=…C4877A5E53DF487

    Wie kann man sich das erklären?

    Gruß

    Ch. Hanisch

    Hi,

    sind die IDs der Schlüssel gleich?

    Keyserver bieten keinerlei Garantie oder auch nur Plausibilität, daß die dort abgelegten Schlüssel das sind, was sie vorgeben.

    Jeder kann dort alles hochladen.

    Gruß, muzel

    Hallo,

    Zitat von muzel

    sind die IDs der Schlüssel gleich?

    Ja identisch.

    Mir ist das Verhalten völlig unverständlich, zumal ich bei der Suche mit meiner e-Mail Adresse den richtigen Schlüssel angeboten bekomme.

    Das ist ja wohl auch der Sinn der Key Server?

    Da habe ich einen ernüchternden Beitrag gefunden:

    GnuPG: Das Dilemma mit den Schlüsselservern

    Wenn ich einen fremden Schlüssel unterschreibe und hochlade, wo kann ich dann sehen, welcher Schlüssel von wem unterschrieben worden ist?

    Geht das nur mit:

    Code
    gpg --list-signatures 0x<Schlüssel-ID>

    oder gemäß der Seite https://www.heise.de/security/dienste/Keyserver-474468.html

    Gruß

    Ch. Hanisch

    4 Mal editiert, zuletzt von Hanisch (29. Juni 2019 um 17:40)

    Moin,

    jetzt muß ich doch nochmal fragen: Was ist eigentlich dein Problem?

    2 Schlüssel mit gleicher ID kannst du getrost als identisch betrachten, der "Inhalt" kann sich durchaus unterscheiden, schon durch unterschiedliche Signaturen.

    Der einzig sichere Weg, die Echtheit eines Schlüssels zu überprüfen, ist der Vergleich des Fingerprints (also der "langen" ID) auf einem vertrauenswürdigen Kanal, wie persönlicher Kontakt oder vielleicht auch ein verschlüsselter Messenger wie Signal, Jabbber mit OTR ...

    Das Web of Trust hat noch nie so recht funktioniert.

    Zitat

    Wenn ich einen fremden Schlüssel unterschreibe und hochlade, wo kann ich dann sehen, welcher Schlüssel von wem unterschrieben worden ist?

    Die Frage verstehe ich nicht ganz. Auf dem Schlüsselserver oder bei dir lokal? Das kann sich ja stark unterscheiden.

    Gruß, muzel

    Zitat von muzel

    Moin,

    jetzt muß ich doch nochmal fragen: Was ist eigentlich dein Problem?

    2 Schlüssel mit gleicher ID kannst du getrost als identisch betrachten, der "Inhalt" kann sich durchaus unterscheiden, schon durch unterschiedliche Signaturen.

    Letzteres beantwortet meine Frage - Danke.

    Zitat von muzel
    Zitat

    Wenn ich einen fremden Schlüssel unterschreibe und hochlade, wo kann ich dann sehen, welcher Schlüssel von wem unterschrieben worden ist?

    Die Frage verstehe ich nicht ganz. Auf dem Schlüsselserver oder bei dir lokal? Das kann sich ja stark unterscheiden.

    Für den Schlüsselsever habe ich ja die Lösung angegeben, aber wie sieht es local aus?

    Gruß

    Ch. Hanisch

    Da gibt es viele Möglichkeiten, z.B. Enigmail, Schlüssel verwalten, Schlüsseleigenschaften, Zertifizierung, oder Kommandozeile:

    Code
    gpg --list-keys

    oder...

  • Community-Bot 3. September 2024 um 20:40

    Hat das Thema geschlossen.