Spam durch öffentliche PGP-Key-Server?

Amin

Well-Known Member
Ich habe mich endlich durchgerungen bzw. den inneren Schweinehund überwunden und Enigmail installiert und mir ein Schlüsselpaar generiert.

Nun kann ich meinen Public Key auf öffentlich Key-Server einstellen (lassen), z.B. durch die c't-Krypto-Kampagne auf der Cebit.

Was ich mich frage ist, ob man dann nicht wieder von Spam-Mails überschüttet wird? Ich würde jetzt erstmal den Key nur an meine direkten Kommunikationspartner senden. Und natürlich kann da immer einer bei sein, der es dann zum Spammen benutzt (auch unfreiwillig, z.B. durch Trojaner).

Aber auf öffentlichen Servern, ist doch das Risiko doch am höchsten.
Weiß jemand, ob diese öffentlichen Server Schutzmassnahmen gegen EMail-Adressen-Sammler haben? Welche könnt ihr empfehlen? Und lohnt sich das ganze überhaupt?

Ich bin nämlich froh, mit meiner neuen EMail-Adresse bisher Spamfrei zu sein.
 
Ich weiss nicht genau, ob die Server Vorsichtsmassnahmen gegen Spammer treffen. Bei einer Suche nach meinem Key tauchen zumindest die Adressen auf, ohne dass diese irgendwie veraendert wurden, um es Robots schwer zu machen.

Jedenfalls habe ich schon seit ein paar Jahren meine Keys auf einem Server und bisher bekomme auf den Adressen erst seit diesem Jahr Spam. Das muss aber nicht unbedingt an den GPG Servern liegen.

Aber fuer den Anfang ist das manuelle Verteilen vermutlich besser. Die Leute, die meinen Key zum Verschluesseln nehmen, haben den Key auch immer vor mir bekommen.
 
Du müsstest dann jedem, der deine Schlüssel benutzen soll (sei es, Mails an dich zu verschlüsseln oder deine Signaturen zu überprüfen), die Schlüssel erst mal übermitteln. Das übers internet zu senden ist fragwürdig. Also müsstest du sie ihnen auf Diskette/CD/USB-Stick am Besten persönlich überreichen.
 
Naja, man kann auch den Key via Mail schicken und anschliessend via Telefon den Fingerprint vergleichen. ;)
Und wenn jemand in der Uni neben mir sitzt, ist die USB Stick Variante am einfachsten.

@oneone: Nach Deiner Aussage bzgl des Internets ist auch der Einsatz des Keyservers fragwuerdig. Wer weiss, wie sicher der ist.
 
Hier kommt das "Web of Trust" ins Spiel, auf das die ganze PGP/GPG-Idee basiert. Die Schlüssel werden von Dritten signiert, die deine Identität bestätigen können und somit die Echtheit der Schlüssel. Wie sicher das angesehen wird bzw. wie sehr den Signaturen vertraut wird, muss jeder Anwender selbst entscheiden.
 
Danke für die bisherigen Hinweise. Über die Echtheit und Vertrauen in einen Key, habe ich mich schon informiert und bin mir der Sensibilität bewusst.

Aber das Thema Spam durch Key-Server interessiert mich speziell. Da ich darüber leider erstmal nirgends was finden konnte. Was ich doch in der heutigen Spamzeit sehr komisch finde...
 
Oh. :( Das hatte ich total verdraengt.

Aber in dem Fall muessten idealerweise auch die Fingerprints verglichen werden, bevor der Schluessel als vertrauenswuerdig signiert wird.
 
Hier kommt das "Web of Trust" ins Spiel, auf das die ganze PGP/GPG-Idee basiert. Die Schlüssel werden von Dritten signiert, die deine Identität bestätigen können und somit die Echtheit der Schlüssel. Wie sicher das angesehen wird bzw. wie sehr den Signaturen vertraut wird, muss jeder Anwender selbst entscheiden.

http://www.rubin.ch/pgp/weboftrust.de.html
Sieht für den Normalbürger nicht gerade einfach aus.:D
 
Du müsstest dann jedem, der deine Schlüssel benutzen soll (sei es, Mails an dich zu verschlüsseln oder deine Signaturen zu überprüfen), die Schlüssel erst mal übermitteln. Das übers internet zu senden ist fragwürdig. Also müsstest du sie ihnen auf Diskette/CD/USB-Stick am Besten persönlich überreichen.

öhm, wieso ist es fragwürdig, den öffentlichen key übers internet zu verteilen? der vorteil davon ist doch eben, dass es zwei schlüssel gibt, die nur miteinander funktionieren (also das verschlüsselte nur mit dem privaten key zu entschlüsseln ist und die signatur mit dem öffentlichen überprüft werden kann).
und der private key sollte natürlich nicht in anderer leute hände gelangen. der wird auch nicht auf den öffentlichen keyserver übertragen. außerdem kann man diesen widerrufen, falls man sich nicht sicher ist, dass der nicht doch öffentlich geworden ist.
 
OK, Frage hat sich von selbst beantwortet. Bin mal auf http://wwwkeys.de.pgp.net/#submit drauf, und was steht weiter unten:
Please note: The email addresses contained in your keys will also be published and are accessible to anybody through the worldwide network of keyservers. It is therefore possible that keys and their user IDs are used for malicious purposes, e.g. SPAM.

It is impossible to remove a published key from the keyserver network.

By submitting your key you confirm that these facts are known to you.
Da kommt ja echt Freude auf. :mad:
 
Amin: also ich hab seit anfang des jahres oder ende letzten jahres oder so mit enigmail nen key erstellt und auf den voreingestellten keyserver-pool geladen. spam ist nicht mehr geworden (relativ strikte mailserver-einstellungen natürlich vorausgesetzt ;)).
 
öhm, wieso ist es fragwürdig, den öffentlichen key übers internet zu verteilen? der vorteil davon ist doch eben, dass es zwei schlüssel gibt, die nur miteinander funktionieren (also das verschlüsselte nur mit dem privaten key zu entschlüsseln ist und die signatur mit dem öffentlichen überprüft werden kann).
und der private key sollte natürlich nicht in anderer leute hände gelangen. der wird auch nicht auf den öffentlichen keyserver übertragen. außerdem kann man diesen widerrufen, falls man sich nicht sicher ist, dass der nicht doch öffentlich geworden ist.

Nehmen wir an, du schickst jemandem deinen öffentlichen Schlüssel per Email. Ein Angreifer könnte jetzt deine Email abfangen, den Schlüssel mit seinem austauschen und weiterschicken. Der Empfänger verschlüsselt jetzt damit eine Mail für dich. Der Angreifer entschlüsselt diese mit seinem privaten Schlüssel (kann ja sonst keiner), verändert den Inhalt zu seinen Gunsten und verschlüsselt sie mit deinem richtigen öffentlichen Schlüssel, den er ja schon abgefangen hatte...

Genauso denkbar wäre ein Szenario, in dem du deinen öffentlichen Schlüssel auf eine Webseite veröffentlichst.


Zurück zur Ursprungsfrage des Spams: Ich habe einige Email-Adressen auf Keyserver gespeichert (über 10) und davon erhält der großteil gar keinen Spam. Die Adressen, die Spam erhalten, sind sowieso schon sehr oft veröffentlicht. Spricht also eher nicht dafür, dass Keyserver zu mehr Spam führen.
 
Wenn Du nun aber ueber einen vertrauenswuerdigen Kanal (zB Telefon) den Fingerprint vergleichst, kannst Du feststellen, wenn der Public Key veraendert wurde.
 
Wenn Du nun aber ueber einen vertrauenswuerdigen Kanal (zB Telefon) den Fingerprint vergleichst, kannst Du feststellen, wenn der Public Key veraendert wurde.
Telefon wirklich vertrauenswürdig? Ich sage nur "Stimmenemitation"! :D ;)

@Topic: Mir ist bewusst, das es keinen 100% Schutz gegen Adressensammler gibt. Aber mir scheint, das Web of trust (wenn ich es richtig verstanden habe) eine gute Alternative zu den Key-Servern ist. Zumindest ist die Verbreitung der email-Adresse nicht so extrem.
 
aeh, mal ne doofe frage: ich dachte immer, man bekommt bloss den key, wenn man nach namen sucht. sicher gibts natürlich dann auch viele andere Treffer, aber ist eine komplette liste denn überhaupt ohne suche so online?
 
@Topic: Mir ist bewusst, das es keinen 100% Schutz gegen Adressensammler gibt. Aber mir scheint, das Web of trust (wenn ich es richtig verstanden habe) eine gute Alternative zu den Key-Servern ist. Zumindest ist die Verbreitung der email-Adresse nicht so extrem.

Web of Trust ohne Keyserver wäre sehr mühselig... eigentlich gehört das zusammen.
 
Hem, dann habe ich das mit dem web of trust doch nicht richtig verstanden. ;'(

Ist ja jetzt echt ernüchternd für mich, das mit dem Verschlüsseln von Mails. :(
 
aeh, mal ne doofe frage: ich dachte immer, man bekommt bloss den key, wenn man nach namen sucht. sicher gibts natürlich dann auch viele andere Treffer, aber ist eine komplette liste denn überhaupt ohne suche so online?
Ich selber kenne niemanden, nach dem ich da jetzt auf so einem Server suchen könnte. Habe also keine praktische Erfahrung damit.
Ich habe aber mal nach dem ct Magazine auf dem dfn-Server gesucht. Und was mir das als Ergebnis offenbarte, war nicht schön. Lass mich lügen, aber es waren so tausend Email-Adressen die da ausgespuckt wurden. Ich weiß nicht mal, ob diese Herrschaften etwas mit dem ct Magazin Schlüssel zu tun haben. Und wenn ich auf eine EMail-Adresse geklickt habe, wurden mir wieder tausend adressen aufgelistet. Sowas kann ein Adressen-Sammler ruckzuck automatisiert abspeichern, selbst wenn er eine einzige Person erstmal suchen muß.

Ich selber habe mit dem ganzen Zeug absolut keine praktische Erfahrung. Erst gestern bin ich mit alle dem in Berührung gekommen. Deshalb kann ich nur sagen, was ich bisher gesehen habe.
 
Hmm... wahrscheinlich hast Du ganz viele Leute gekriegt, die vom c't Magazin signiert worden sind. Die haben ja eine PGP-Kampagne gestartet, die schon ganz alt ist. Man konnte Ihnen seine Daten aufschreiben, den Ausweis vorzeigen und dann wurde man in das Vertrauensnetz aufgenommen. Sozusagen "ich wurde vom c't Magazin geprüft und zertifiziert". Ich kenne einige in meinem Umfeld, die das gemacht haben.

Den Heise-Schlüssel kriegst Du bei Heise:
http://www.heise.de/security/dienste/pgp/keys.shtml

Den Schlüssel sollte man aber erst dann als vertrauenswürdig markieren, wenn man ihn geprüft hat (es gibt ja Leute die so Schäuble-mäßig sind und Dir einen falschen Schlüssel unterjubeln könnten). In der gedruckten Ausgabe der c't steht der Fingerabdruck (so als Minimalvorschlag).
 
Also mir wird bei diesem ganzen OpenPGP und dem Web of Trust und Keyservern ganz mulmig. Das folgende stimmt mich nicht gerade positiv:
http://de.wikipedia.org/wiki/Web_of_Trust#Probleme_mit_dem_Datenschutz

Ich versuche mich höchstens in Foren aufzuhalten und halte mich von Netzwerken a la Xin, Facebook fern. Aber das Web of Trust ist ja sowas wie Facebook, StudiVz und Co. Und die Kritik aus dem Wikipedia muß ich wirklich zustimmen:
Dem Schlüsselinhaber sind somit jegliche Möglichkeiten verwehrt, Einfluss auf die Verbreitung seiner Daten zu nehmen. Dies steht im Widerspruch zu dem inhärenten Zweck von Verschlüsselungsprogrammen, persönliche Daten zu schützen.
Das GnuPG bzw. OpenPGP hat mich erst begeistert, weil es kostenlos ist und ich es ebend mal "machen" kann. Aber das scheint dann wohl die Schattenseite zu sein.

So wie ich es sehe, ist nur ein kostenpflichtiges X.590-Zertifikat für S/MIME eine Alternative, wenn man vom Web of Trust weg kommen will?
 
Ich verstehe einen sehr großen Teil der Kritik nicht.

  • Niemand zwingt Dich Schlüssel hochzuladen.
  • Niemand zwingt Dich Deine echten Daten zu benutzen.
  • Wie soll ich jemanden daran hindern, zu publizieren, dass er mich kennt?
  • Die Tatsache, dass jemand eine Fake-Schlüssel über mich hochladen kann, zwingt mich doch eher Gegenmaßnahmen zu unternehmen und so schnell wie möglich einen vertrauenswürdigen Schlüssel zu publizieren.

Außerdem gilt, dass wenn Du Dich in ein Netz einklinken willst, dann brauchst Du den Namen nachdem Du suchen willst. Dann schaust Du ob Deine Bekannte den Namen signiert haben, irgendjemand den Du vertraust.
 
Nehmen wir an, du schickst jemandem deinen öffentlichen Schlüssel per Email. Ein Angreifer könnte jetzt deine Email abfangen, den Schlüssel mit seinem austauschen und weiterschicken. Der Empfänger verschlüsselt jetzt damit eine Mail für dich. Der Angreifer entschlüsselt diese mit seinem privaten Schlüssel (kann ja sonst keiner), verändert den Inhalt zu seinen Gunsten und verschlüsselt sie mit deinem richtigen öffentlichen Schlüssel, den er ja schon abgefangen hatte...

Genauso denkbar wäre ein Szenario, in dem du deinen öffentlichen Schlüssel auf eine Webseite veröffentlichst.
Und genau das ist der Grund, warum man Mails nicht nur verschlüsseln, sondern auch signieren sollte. Ein man-in-the-middle wird dadurch unmöglich, da die Signatur per privatem Schlüssel erfolgt, über den der Angreifer ja nicht verfügt. Damit kann der Empfänger (man selbst) dann problemlos nachprüfen, von wem die Nachricht tatsächlich geschrieben wurde.

Kurz gesagt: Verschlüsselung ohne Identitätsbestätigung bringt nicht viel. Sich nur auf die nicht-Verbreitung seines öffentlichen Schlüssels zu verlassen ist geradezu eine Einladung für MitM-Angriffe...

P. S.
Amin schrieb:
Das GnuPG bzw. OpenPGP hat mich erst begeistert, weil es kostenlos ist und ich es ebend mal "machen" kann. Aber das scheint dann wohl die Schattenseite zu sein.
Bitte überlege Dir noch mal, welchen Zweck ein asymmetrisches Verfahren erfüllen soll: Es soll den Inhalt der Mail schützen (Vertraulichkeit) und sicherstellen, dass unterwegs nicht dran rumgefummelt wurde (Integrität). Wenn Du nur die Vertraulichkeit haben willst, kannst Du auf den Identitätskram (WoT) verzichten. Wenn Du aber auch man-in-the-middle Angriffe ausschließen möchtest, kommst Du um eine Identitätsbestätigung nicht herum. Im einfachsten Fall genügt es, wenn deine Gegenstelle bei sich den Schlüssel als vertrauenswürdig einstuft. Das WoT und die Keyserver sind nur eine Hilfe, um schnell an öffentliche Schlüssel zu gelangen und zu prüfen, wie andere dessen Vertrauenswürdigkeit einstufen.
Amin schrieb:
So wie ich es sehe, ist nur ein kostenpflichtiges X.590-Zertifikat für S/MIME eine Alternative, wenn man vom Web of Trust weg kommen will?
Jein. S/MIME ist die einzige funktionierende und auch einigermaßen verbreitete Alternative zum OpenPGP-Standard. Das Konzept ist hier einfach ein wenig anders. Bei OpenPGP musst Du Dich selbst davon überzeugen, dass ein öffentlicher Schlüssel zu Person XY gehört. Die Keyserver und das WoT stellen eine Hilfe dar, nehmen Dir aber die Einschätzung nicht ab. Bei S/MIME wird mit Zertifikaten gearbeitet. Hier gibt es immer eine ausstellende Instanz, die für die Identität eines Zertifikatinhabers gradesteht. Und die Legitimierung (sprich: Offenlegung personenbezogener Daten) gegenüber einer CA geht oft sehr viel weiter, als dies bei OpenPGP nötig ist. Im Gegenzug musst Du nur darauf vertrauen, dass eine bestimmte CA (von denen es mittlerweile auch unübersichtlich viele gibt) ordentlich gearbeitet hat. Browser- und Mailclient-Hersteller nehmen einem hier einen Teil der Arbeit ab, indem bestimmte CAs in ihren Produkten als vertrauenswürdig voreingestellt sind.

Im übrigen enthalten auch X.509-Zertifikate in ihrem öffentlichen Teil die Email-Adresse des Eigentümers. Wenn ein Zertifikat für S/MIME vorgesehen ist, muss diese im Feld CN ("common name") angegeben sein. Darüber hinaus enthalten Zertifikate i. d. R. noch weitere Angaben wie Name, Organisation (Firma, Abteilung) etc. und sind damit sehr viel gesprächiger als GPG-Schlüssel.

Zum Thema kostenpflichtig: Zum experimentieren kannst Du Dir auch selbst ein Zertifikat erstellen und signieren (dazu braucht's nur OpenSSL). Ansonsten gibt es auch generell kostenlose CAs (z. B. http://www.cacert.org), und viele CAs bieten für die private Nutzung kostenlose Zertifikate an, die dann allerdings nur der niedrigsten Vertrauensstufe entsprechen.

Zusammenfassung: OpenPGP ist dezentral, jeder kann an der Bestätigung einer Schlüsselidentität mitwirken. S/MIME ist zentral, es wird immer eine zentrale CA benötigt, die für die Bestätigung der Identität zuständig ist.
 
Zuletzt bearbeitet:
Zusammenfassung: OpenPGP ist dezentral, jeder kann an der Bestätigung einer Schlüsselidentität mitwirken.
Genau das ist es ja worauf ich hinaus wollte, und was in dem von mir verlinkten Artikelteil steht (hat aber anscheinend keiner von euch gelesen?). Konkret geht es ja ebend darum:
Wikipedia schrieb:
Durch die Signaturen anderer Personen, dem wichtigsten Element des Web of Trust, beinhaltet der Schlüssel eine Liste der Personen, mit denen der Schlüsselinhaber Umgang hatte und wann.
Was ist wenn kriminelle Personen mich als Vertarunswürdig einstufen, obwohl ich diese überhaupt nicht kenne? Denn ich kann diese Personen ja nicht abweisen, nach dem Motto "Ich kenne dich doch überhaupt nicht!". Und man bekommt das auch nie wieder weg, oder? D.h. es wird mir immer etwas "anhaften" bleiben, was für mich ein nachteil ist. "Einmal im Netz, immer im Netz".

Das mein Name- und EMail-Adresse z.B. bekannt wird, das habe ich ja mitbekommen, und habe da "nur" wegen Spam bedenken. Aber diese Verknüpfung zwischen Personen, und das man es nicht kontrollieren kann, ist das, was in dem Artikel steht.

Im einfachsten Fall genügt es, wenn deine Gegenstelle bei sich den Schlüssel als vertrauenswürdig einstuft. Das WoT und die Keyserver sind nur eine Hilfe, um schnell an öffentliche Schlüssel zu gelangen und zu prüfen, wie andere dessen Vertrauenswürdigkeit einstufen.
Das hört sich so an, das wenn ich das nicht mache (auf einen Server hochladen), wird das auch so bleiben. Aus dem Wikipedia-Artikel hört sich das aber anders an:
Wikipedia schrieb:
Ein grundsätzliches Problem besteht darin, dass der Inhaber eines Schlüssels bei den derzeit gebräuchlichen Implementierungen technisch keinen Einfluss darauf nehmen kann,

* wer seinen öffentlichen Schlüssel signiert und
* ob jemand seinen öffentlichen Schlüssel auf einen öffentlichen Schlüsselserver hochlädt (oder mit neuen Signaturen erneut hochlädt).
Also, selbst wenn ich den nicht hochlade, kann ihn jeder hochladen. Und ich bekomme ihn da ja auch nie wieder weg. Außer für "ungültig" erklären. Eigentlich müsste doch nur der Inhaber ihn hochladen können? So rein von der Lehre des pers. Datenschutzes. Ich muß für eine sichere Kommunikation, dafür an einer anderen Stelle Nachteile einkaufen. Weiß nicht, ob das Sinn der Sache sein sollte? Finde ich sehr treffend, und hat mir das ganze erstmal bewusst gemacht:
Wikipedia schrieb:
Dem Schlüsselinhaber sind somit jegliche Möglichkeiten verwehrt, Einfluss auf die Verbreitung seiner Daten zu nehmen. Dies steht im Widerspruch zu dem inhärenten Zweck von Verschlüsselungsprogrammen, persönliche Daten zu schützen.
 
Was ist wenn kriminelle Personen mich als Vertarunswürdig einstufen,

Ist das jetzt schlimm, wenn Dich ein Krimineller kennt? Umgekehrt sogar auch. Ist es vielleicht schlimm einen Kriminellen zu kennen und seine Schlüssel zu unterschreiben? Ich weiß doch, dass dies SEIN Schlüssel ist. Das sagt doch überhaupt nichts über meine Gesinnung aus. Die Prämisse, dass jeder JEDEN über 6 Ecken kennt ist noch nicht widerlegt worden, dann müssten wir alle auf der Welt Verbrecher sein.

nach dem Motto "Ich kenne dich doch überhaupt nicht!"

"Kennen" ist eine Relation die nicht symmetrisch ist. Jeder kennt einen Promi, der wiederum einen nicht kennt. q.e.d.

Welche Relation ist interessanter ist für Untersuchungen "ich kenne ..." oder "ich werde gekannt von ..."? Und alleine "ich kenne ..." ist schon herumstochern. Denn wie gesagt "ich kenne ..." ist eine andere Relation wie "ich handle wie ...".

(Ich glaube, dass wenigstens Informatiker das verstehen sollten was ich hiermit auszudrücken versuche.)

Das mein Name- und EMail-Adresse z.B. bekannt wird, das habe ich ja mitbekommen, und habe da "nur" wegen Spam bedenken.

Das ist berechtigt. Nimm aber bitte an, dass Massenanfragen an Key-Server nicht erlaubt sind.

Also, selbst wenn ich den nicht hochlade, kann ihn jeder hochladen.

Klar. Er kann auch einen eigenen Schlüssel hochladen, wenn er Dich kennt und keinen Schlüssel von DIR hat. Und dann unterschreibt er ihn und alle Freunde glauben es ihm und unterschreiben den Schlüssel auch. Dann hat ein unbekannter Schlüssel der mit Deinen Daten läuft prinzipiell mehr Vertrauen als Du, wenn Du zu spät einen erstellst.

Und ich bekomme ihn da ja auch nie wieder weg. Außer für "ungültig" erklären.

Das halte ich für unpraktisch, weil man manchmal mit der Identität aufräumen möchte. Aber nimm mal an, dass jemand Deinen Schlüssel entfernt und sich das bis auf die Clients verteilt. Dann kann jemand Deine E-Mails evtl. nicht mehr entschlüsseln und Deine ganzen gesendeten E-Mails verlieren rückwirkend an Bedeutung (Signatur nicht mehr verifizierbar) anstatt nur ab dem Widerruf-Datum. Das ist einfach unhaltbar. Alle Verträge und Zusicherungen, die Du früher (mit damals gültigem Schlüssel) gemacht hast, wären damit ungültig. Soll das wirklich der Sinn sein?

Eigentlich müsste doch nur der Inhaber ihn hochladen können?

Der Inhaber des Schlüssels kann auch Namen (und sonstige Angaben) fälschen. Wichtig ist hierbei das Vertrauen. Es gibt zwei Optionen. Du erlangst öffentliches/verteiltes Vertrauen ("Trust") durch Deine Freunde (und auch öffentliche Einrichtungen und Firmen unterschreiben Deine Schlüssel) oder Du lässt die Kontrolle bei einer einzigen zentralen Einrichtung, die Deinen Schlüssel erstellt und signiert. Das Vertrauen ist hier essentiell, denn es kann jeder einfach irgendwelche Schlüssel hochladen. Und niemand hindert einen, Deine Daten zu benutzen, um einen Schlüssel zu erstellen.

So rein von der Lehre des pers. Datenschutzes. Ich muß für eine sichere Kommunikation, dafür an einer anderen Stelle Nachteile einkaufen. Weiß nicht, ob das Sinn der Sache sein sollte? Finde ich sehr treffend, und hat mir das ganze erstmal bewusst gemacht:

Es gibt immer Nachteile. Alleine, dass der Versuch gemacht wird, die Authentizität zu gewährleisten, bringt Nachteile. Und das auch für Leute, die damit nichts zu tun haben wollen.
 
Zuletzt bearbeitet:
Zum Thema sicherer Schlüsselaustausch:
Keyserver sind an und für sich eine gute, sichere Quelle.
Um keinen falschen Schlüssel zu bekommen sollte man einige Dinge beachten.
Um sicherzugehen sollte man signierte Daten (Mails, Texte, ...) von verschiedenen Quellen gegen den Schlüssel checken bzw. den Schlüssel über mehrere Quellen bekommen (Mail, Homepage, Chat). Man sollte unbedingt auf Fingerprints achten. Man sollte, wenn möglich immer den Offlineaustausch vorziehen.
Was auch noch zu beachten ist, ist das WoT. Signierte Keys werden dadurch sehr vertrauenwürdig.

Man könnte auch einen privaten Keyserver, den niemand kennt mit Spamschutz aufsetzen.

Was mir sonst noch einfällt:
Einen anständigen Spamschutz zu installieren/konfigurieren
auf eine Alternative zu Mails zu wechseln
Einfach keine Mailadresse im Key angeben!
 
Zurück
Oben