Auf Key-Servern unterschiedliche Schlüssel

  • Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:

    • Thunderbird-Version: 60.7.1
    • Betriebssystem + Version: Linux
    • Kontenart (POP / IMAP): IMAP
    • Postfachanbieter (z.B. GMX):t-online
    • PGP-Software / PGP-Version:
    • Eingesetzte Antivirensoftware:
    • Firewall (Betriebssystem-intern/Externe Software):

    Hallo,

    ich stelle fest, daß ich bei der Suche mit meiner e-Mai Adresse nach meinem Schlüssel auf pool.sks-keyservers.net bzw. dem Export meines öffentlichen Schlüssels in die Zwischenablage

    und der Angabe im Browser http://pool.sks-keyservers.net…search=0x6C4877A5E53DF487

    unterschiedliche Schlüssel erhalte.

    a) Mein Schlüssel aus der Zwischenablage:

    b) der Schlüssel angezeigt von http://pool.sks-keyservers.net…search=0x6C4877A5E53DF487


    Wie kann man sich das erklären?


    Gruß

    Ch. Hanisch

  • Hi,

    sind die IDs der Schlüssel gleich?

    Keyserver bieten keinerlei Garantie oder auch nur Plausibilität, daß die dort abgelegten Schlüssel das sind, was sie vorgeben.

    Jeder kann dort alles hochladen.

    Gruß, muzel

  • Hallo,

    sind die IDs der Schlüssel gleich?

    Ja identisch.

    Mir ist das Verhalten völlig unverständlich, zumal ich bei der Suche mit meiner e-Mail Adresse den richtigen Schlüssel angeboten bekomme.

    Das ist ja wohl auch der Sinn der Key Server?

    Da habe ich einen ernüchternden Beitrag gefunden:

    GnuPG: Das Dilemma mit den Schlüsselservern


    Wenn ich einen fremden Schlüssel unterschreibe und hochlade, wo kann ich dann sehen, welcher Schlüssel von wem unterschrieben worden ist?


    Geht das nur mit:

    Code
    1. gpg --list-signatures 0x<Schlüssel-ID>

    oder gemäß der Seite https://www.heise.de/security/dienste/Keyserver-474468.html


    Gruß

    Ch. Hanisch

    Edited 4 times, last by Hanisch ().

  • Moin,


    jetzt muß ich doch nochmal fragen: Was ist eigentlich dein Problem?

    2 Schlüssel mit gleicher ID kannst du getrost als identisch betrachten, der "Inhalt" kann sich durchaus unterscheiden, schon durch unterschiedliche Signaturen.

    Der einzig sichere Weg, die Echtheit eines Schlüssels zu überprüfen, ist der Vergleich des Fingerprints (also der "langen" ID) auf einem vertrauenswürdigen Kanal, wie persönlicher Kontakt oder vielleicht auch ein verschlüsselter Messenger wie Signal, Jabbber mit OTR ...

    Das Web of Trust hat noch nie so recht funktioniert.


    Quote

    Wenn ich einen fremden Schlüssel unterschreibe und hochlade, wo kann ich dann sehen, welcher Schlüssel von wem unterschrieben worden ist?


    Die Frage verstehe ich nicht ganz. Auf dem Schlüsselserver oder bei dir lokal? Das kann sich ja stark unterscheiden.


    Gruß, muzel

  • Moin,


    jetzt muß ich doch nochmal fragen: Was ist eigentlich dein Problem?

    2 Schlüssel mit gleicher ID kannst du getrost als identisch betrachten, der "Inhalt" kann sich durchaus unterscheiden, schon durch unterschiedliche Signaturen.

    Letzteres beantwortet meine Frage - Danke.

    Quote

    Wenn ich einen fremden Schlüssel unterschreibe und hochlade, wo kann ich dann sehen, welcher Schlüssel von wem unterschrieben worden ist?


    Die Frage verstehe ich nicht ganz. Auf dem Schlüsselserver oder bei dir lokal? Das kann sich ja stark unterscheiden.

    Für den Schlüsselsever habe ich ja die Lösung angegeben, aber wie sieht es local aus?


    Gruß

    Ch. Hanisch

  • Da gibt es viele Möglichkeiten, z.B. Enigmail, Schlüssel verwalten, Schlüsseleigenschaften, Zertifizierung, oder Kommandozeile:

    Code
    1. gpg --list-keys

    oder...

  • Da gibt es viele Möglichkeiten, z.B. Enigmail, Schlüssel verwalten, Schlüsseleigenschaften, Zertifizierung,

    Ich kann in enigmail keine Unterschriften für Schlüssel in meinem Keyring finden.


    Gruß

    Ch. Hanisch