6.3. Importieren von Schlüsseln

Wenn Sie einen Schlüssel in einer Datei erhalten (beispielsweise als E-Mail-Anlage), integrieren Sie ihn mit Import Key (Schlüssel importieren) in Ihren Schlüsselring und verwenden Sie ihn für verschlüsselte Kommunikation mit dem Sender. Das Verfahren ähnelt dem bereits beschriebenen Verfahren zum Exportieren von Schlüsseln.

6.3.1. Signieren von Schlüsseln

Schlüssel können wie jede andere Datei signiert werden, um ihre Authentizität und Integrität zu gewährleisten. Wenn Sie absolut sicher sind, dass ein importierter Schlüssel zu der als Eigentümer angegebenen Person gehört, können Sie mit Ihrer Signatur Ihr Vertrauen in die Authentizität des Schlüssels angeben.

[Important]Erstellen eines Netzes des Vertrauens (Web of Trust)

Verschlüsselte Kommunikation ist nur so sicher, wie Sie die im Umlauf befindlichen öffentlichen Schlüssel zweifelsfrei dem angegebenen Benutzer zuordnen können. Durch Gegenproben und Signieren dieser Schlüssel tragen Sie zum Aufbau eines Verbürgungsnetzes bei.

Wählen Sie den zu signierenden Schlüssel in der Schlüsselliste aus. Wählen Sie Keys (Schlüssel)+Sign Keys (Schlüssel signieren). Geben Sie im folgenden Dialogfeld den für die Signatur zu verwendenden privaten Schlüssel an. Eine Warnmeldung erinnert Sie daran, vor dem Signieren die Authentizität dieses Schlüssels zu überprüfen. Wenn Sie diesen Schritt durchgeführt haben, klicken Sie auf Continue (Fortfahren) und geben Sie im nächsten Schritt das Passwort für den ausgewählten privaten Schlüssel ein. Andere Benutzer können nun die Signatur mithilfe Ihres öffentlichen Schlüssels überprüfen.

6.3.2. Vertrauen von Schlüsseln

Normalerweise werden Sie vom betreffenden Programm gefragt, ob Sie den Schlüssel vertrauen möchten (bzw. ob Sie annehmen, dass er tatsächlich von seinem autorisierten Eigentümer verwendet wird). Dies geschieht jedes Mal, wenn eine Nachricht entschlüsselt oder eine Signatur überprüft werden muss. Um dies zu vermeiden, müssen Sie die Stufe der Vertrauenswürdigkeit des neu importierten Schlüssels bearbeiten.

Klicken Sie mit der rechten Maustaste auf den neu importierten Schlüssel, um ein kleines Kontextmenü für die Schlüsselverwaltung aufzurufen. Wählen Sie daraus die Option Edit Key in Terminal (Schlüssel in Terminal bearbeiten). KGpg öffnet eine Textkonsole, in der die Stufe der Vertrauenswürdigkeit mit einigen wenigen Befehlen festgelegt werden kann.

Geben Sie an der Eingabeaufforderung der Textkonsole (Command >) trust (Verbürgung) ein. Schätzen Sie auf einer Skala von 1 (unsicher) und 5 (absolutes Vertrauen) ein, wie sicher Sie sich sind, dass die Signierenden der importierten Schlüssel die wahre Identität des Schlüsselinhabers überprüft haben. Geben Sie den gewünschten Wert an der Eingabeaufforderung (Your decision? (Ihre Entscheidung?)) ein. Wenn Sie absolut von der Vertrauenswürdigkeit des Signierenden überzeugt sind, geben Sie 5 ein. Antworten Sie auf die folgende Frage durch Eingabe von y (j). Geben Sie schließlich quit (Beenden) ein, um die Konsole zu beenden und zur Liste der Schlüssel zurückzukehren. Der Schlüssel hat nun die Stufe der Vertrauenswürdigkeit Ultimate (Unbedingt).

Die Stufe der Vertrauenswürdigkeit des Schlüssels in Ihrem Schlüsselring wird durch einen farbigen Balken neben dem Schlüsselnamen angezeigt. Je niedriger diese Stufe, desto weniger vertrauen Sie darauf, dass der Signierende des Schlüssels die wahre Identität der signierten Schlüssel überprüft hat. Sie können sich beispielsweise in Bezug auf die Identität des Signierenden völlig sicher sein, aber er kann dennoch nachlässig die Überprüfung der Identität der Eigentümer vor der Signierung vernachlässigen. Daher könnten Sie ihm und seinem eigenen Schlüssel vertrauen, den Schlüsseln anderer, die von ihm signiert wurden, jedoch niedrigere Stufe der Vertrauenswürdigkeit zuweisen. Die Stufe der Vertrauenswürdigkeit dient lediglich als Erinnerung. Sie löst keine automatischen Aktionen von KGpg aus.