03.06.2015
Fremde OpenPGP-Zertifikate werden gültig gemacht, indem man sie (hoffentlich nach Verifikation) unterschreibt. Diese Signaturen werden der fraglichen User-ID genauso hinzugefügt wie Eigenbeglaugigungen. Sie landen genauso im Keyring wie alle anderen Komponenten eines Zertifikats. Standardmäßig werden alle diese Komponenten exportiert, wenn ein Zertifikat auf einen Keyserver kopiert (oder in eine Datei geschrieben) wird.
Es gibt ein subpacket, mit dem (nur bei Zertifizierungen) eine Signatur als lokal definiert werden kann. Das heißt, dass sie bei normalen Exportvorgängen ignoriert wird.
lokaler Zertifizierungsschlüssel Zertifikat Web of Trust (WoT)
Es ist nicht automatisch sinnvoll, sich am Web of Trust zu beteiligen; das gilt insbesondere für Anfänger. Es ist nicht sinnvoll, sich darauf zu verlassen, dass man ein Zertifikat, das man signiert hat, nie exportieren wird. Einerseits kann das nötig sein, andererseits versehentlich passieren. Dennoch muss man Zertifikate signieren, weil das – jedenfalls bei GnuPG derzeit – die einzige (sinnvolle) Möglichkeit ist, eine Unterscheidung zwischen verifizierten und nicht verifizierten Zertifikaten zu schaffen.
In der Konsole erzeugt man mit --sign-key normale (exportierbare) und mit --lsign-key lokale Signaturen (bzw. mit sign und lsign als Kommandos für --edit-key). Mehrere GUIs bieten die Erzeugung lokaler Signaturen an; kleopatra macht das sogar standardmäßig.
Wenn man einen lokalen Zertifizierungsschlüssel verwendet, sollte man (mit dem) erst recht nur lokale Signaturen erstellen, weil der Rest der Welt mit diesen Signaturen gar nichts anfangen (sie nicht einmal prüfen) könnte.
In der Ausgabe von gpg --list-sigs werden lokale Signaturen mit L markiert:
start cmd:> gpg --list-sigs 0xDAFFB000 pub 1024D/0xDAFFB000 2006-02-27 uid [ vollst.] ct magazine CERTIFICATE <pgpCA@ct.heise.de> sig 3 0xDAFFB000 2006-02-27 niemals ct magazine CERTIFICATE <pgpCA@ct.heise.de> sig 3 L 0x2D6AAED6 2011-05-16 niemals lokaler Signaturschlüssel <lsign@hauke-laging>