zur Startseitezur Info-Startseite

gute Schlüssel, schlechte Schlüssel

Version 1.6, 14.07.2014

Wie bei fast allem finden sich auch bei OpenPGP-Schlüsseln gute und schlechte Exemplare. Das beantwortet auch die naheliegende Frage, warum Sie sich einen Schlüssel auf einem Schulungstermin erstellen lassen sollten anstatt das selber zu machen, obwohl wohl jedes Schlüsselverwaltungsprogramm einem die Möglichkeit bietet, mit ein paar Klicks einen Schlüssel zu erzeugen. Zum Testen und Rumspielen kann man das gern machen, aber wenn Sie mit anderen kommunizieren, möchten Sie sicherlich einen guten Schlüssel verwenden. Das Wissen, was gute Schlüssel von schlechten unterscheidet, ist nichts, was man OpenPGP-Anfängern sinnvollerweise zu Beginn vermittelt. Sowohl das Verständnis als auch die Erzeugung erfordern erhebliche geistige Anstrengung und (wenn man es per Hand macht) eine Menge Zeit. Beides lenkt ohne großen Nutzen Anfänger von den wichtigen Dingen ab. Deshalb die Empfehlung: Sie haben die Gelegenheit, ohne diese Anstrengungen einen guten Schlüssel zu bekommen – nutzen Sie sie! Sie werden im Lauf der Zeit ganz zwanglos nach und nach verstehen, wie gut Ihr Schlüssel ist.

Wer die folgenden Aspekte überzogen findet, sollte sich klar machen, dass selbst ein Schlüssel, der all dies leistet, noch nicht den Anforderungen des Signaturgesetzes entspricht, also keine qualifizierten Signaturen erstellen kann.

Kriterien

Was sollen die Kriterien für diese Unterscheidung sein?

Aspekte

Fazit

Zusammengefasst: "Ganz normale Schlüssel" sind wenig mehr als Spielkram. Üblicherweise weiß man nicht, was man von ihnen zu halten hat; für wirklich wichtige Dinge ist fast keiner sicher genug. Aber fast keiner regt sich darüber auf, weil sich fast alle daran gewöhnt haben, dass es Besseres in der Praxis eben nicht gibt. So wie sich die Nicht-Kryptonutzer daran gewöhnt haben, dass ihre Mails eben mitgelesen und gefälscht werden können.

Testschlüssel

Spricht etwas dagegen, sich einfach erst mal selber einen – suboptimalen – Schlüssel zu erzeugen und den später, wenn man sich besser auskennt, durch einen besseren zu ersetzen? In der Theorie nichts. In der Praxis macht man genau das dann aber doch nicht. Erstens ist man faul, zweitens haben diverse Leute dann schon den Testschlüssel verifiziert. Das alles noch mal machen? Und wie lange will man warten, bis man sich auskennt? Der Initiator dieser Webseite hat etwa sieben Jahre gebraucht, um aus eigener Kraft dieses Niveau zu erreichen. In aller Regel wird man als Anfänger auch nach einem halben Jahr Training noch keinen guten Schlüssel erzeugen. Es sei denn, man holt sich Hilfe. Warum soll man das dann aber nicht schon beim ersten Mal machen?

[Hier ist die Seite zu Ende.]