Public-Key-Infrastrukturen

Die E-Mail-Verschlüsselungs-Software ,,PGP``<sup>10</sup>, die 1991 geschrieben wurde und inzwischen der Quasi-Standard für E-Mail-Verschlüsselung ist und deren freies Pendant ,,GPG``¹¹ verwenden ein Verfahren namens ,,Web of Trust`` um die Identität einer Person sicherzustellen. Das Verfahren geht davon aus, dass jeder Nutzer ein paar anderen ,,vertraut``. Vertrauen wird definiert als die Sicherheit, dass ein public key tatsächlich zu der Person gehört, die quasi auf dem ,,Namensschild`` steht. Es gibt auch Institutionen, die nach Vorlage des Personalausweises ein solches Vertrauen ,,aussprechen``; der Heise-Verlag hat sich in den letzten Jahren als eine solche Institution engagiert¹². Ein Nutzer, der einem anderen vertraut, signiert dessen public key mit seinem eigenen private key. Digitale Signaturen wurden im Kapitel 8 behandelt.

Bekommt nun ein Nutzer, der einigen anderen sein Vertrauen ausgesprochen hat, einen ihm unbekannten public key, kann er überprüfen, ob dieser vielleicht mit einem Schlüssel seines Vertrauens signiert wurde. Überlicherweise wird bei einem solchen ,,trust check`` über mehrere Ebenen rekursiv nach einem ,,Pfad`` gesucht. Wird auf diese Weise ein Weg zu dem in Frage stehenden Schlüssel gefunden, so kann man zumindest mit begründeter Zuversicht davon ausgehen, dass die Identität der Person mit der auf dem Schlüssel übereinstimmt.