SchlüsselverwaltungIn PGP kommt der Schlüsselverwaltung eine zentrale Rolle zu, da PGP in der Regel nicht von einer zentralen Zertifizierungsinstanz ausgeht, welche öffentliche Schlüssel vertrauensvoll an den Absender (zum Verschlüsseln) oder Empfänger (zum Zertifizieren) einer Nachricht übermittelt. Statt dessen werden öffentliche Schlüssel in PGP mit Hilfe eines "Web of Trust" verbreitet. Ein Anwender von PGP besitzt (mindestens) einen privaten und einen dazugehören öffentlichen Schlüssel. PGP stellt Werkzeuge zur Verfügung, um solche
Dazu werden verschiedene "Schlüsselbunde" oder Keyrings verwendet, in denen private und öffentliche Schlüssel gespeichert werden können. Diese Dateien sind selbst verschlüsselt und werden durch eine "Passphrase" mittels eines Passworts geschützt. In dem Secrete/key-Ring werden geheime Schlüssel gespeichert. Sie enthalten als Information:
In dem Public/key-Ring werden öffentliche Schlüssel gespeichert. Sie enthalten als Information:
Wird ein öffentlicher Schlüssel von einer anderen Person bezogen, so muss der Empfänger anhand des Vertrauensverhältnisses zu dieser Person (Trust-Feld) entscheiden, ob dieser Schlüssel ausreichend zertifiziert ist. Teilweise kann das Maß des Vertrauens durch einen geeigneten Wert angegeben werden. Die Gültigkeit (Validity) eines Schlüssels wird entsprechend in einem Gültigkeitsfeld angegeben. In der Regel bleibt die Entscheidung, ob einem öffentlichen Schlüssel vertraut wird, dem Anwender überlassen. |