it-swarm.com.de

Senden einer verschlüsselten PGP-E-Mail an jemanden, der meinen öffentlichen Schlüssel noch nicht hat

Angenommen, ich habe den öffentlichen Schlüssel eines Empfängers, an den ich eine E-Mail senden möchte, und ich habe dieser Person noch nie zuvor eine E-Mail gesendet. Ist es sinnvoll, meine erste E-Mail an diesen Empfänger zu verschlüsseln und auch meinen öffentlichen Schlüssel anzuhängen? Können sie meine E-Mail entschlüsseln?

(Dies ist eine Art "Etikette" -Frage.)

vielen Dank

10
Geremia

Sie benötigen Ihren öffentlichen Schlüssel überhaupt nicht zum Entschlüsseln.

Sie benötigen ihren öffentlichen Schlüssel, um die Nachricht zu verschlüsseln, die sie mit ihrem privaten Schlüssel entschlüsseln. Das einzige, wofür sie Ihren öffentlichen Schlüssel benötigen, ist zu überprüfen, ob die Nachricht von Ihnen stammt. In diesem Sinne ist es nicht sinnvoll, Ihren öffentlichen Schlüssel anzuhängen, es sei denn, Sie möchten beispielsweise bald darauf Fingerabdrücke telefonisch bestätigen.

15
Volker

Im asymmetrischen Verschlüsselungsschema können Sie zwei Dinge erreichen:

  • vertraulichkeit von Nachrichten: Hierzu wird der öffentliche Schlüssel einer Person zum Verschlüsseln einer Nachricht verwendet. Nur der Besitzer des privaten Schlüssels kann die Nachricht entschlüsseln
  • nachrichtenauthentifizierung: Dies erfolgt mithilfe Ihres eigenen privaten Schlüssels zum Signieren einer Nachricht. Jeder mit dem öffentlichen Schlüssel kann die Signatur der Nachricht überprüfen.

Dieses Problem wird jedoch durch die Tatsache behindert, dass es irgendwie schwierig ist, den richtigen öffentlichen Schlüssel zu erhalten. Wenn jemand den Kommunikationskanal angreifen sollte, über den Sie den Schlüssel übergeben, könnten Sie sich täuschen lassen, dass der Schlüssel des Angreifers Ihr Empfängerschlüssel ist. Um eine Authentifizierung zu erreichen, müssen Sie zuerst den öffentlichen Schlüssel überprüfen.

Dies geschieht normalerweise über das "Web of Trust". Wenn Sie den Schlüssel nicht von Hand zu Hand bekommen können, suchen Sie nach jemandem, dem Sie bereits vertrauen (und der einen vertrauenswürdigen Schlüssel hat), der für Ihren Empfänger bürgen kann. Wenn diese dritte Person bereits einen Schlüssel für Ihren Empfänger hat, dem sie vertraut, kann sie ihn für Sie unterschreiben. Auf diese Weise können Sie beurteilen, ob der Schlüssel der richtige ist, indem Sie Ihre vertrauenswürdige Unterschrift einer dritten Person überprüfen. Durch die Transitivität kennen Sie einen vertrauenswürdigen Schlüssel für Ihren neuen Empfänger.

In Ihrem speziellen Fall: Wenn Sie Ihren öffentlichen Schlüssel in der E-Mail senden, kann der Empfänger nicht überprüfen, ob Sie der sind, für den Sie sich ausgeben. Soweit er weiß, könnten Sie ein Angreifer sein, der versucht, sich als jemand anderes auszugeben und Schlüsselpaare zu fälschen.

2
M'vy

Ich hatte die gleiche Frage und nach einigem Überlegen halte ich es für richtig, Ihren öffentlichen Schlüssel zu senden, solange Sie auch verschlüsseln.

Verschlüsseln Sie also Folgendes mit dem öffentlichen Schlüssel Ihres Empfängers:

  • deine Nachricht
  • ihr öffentlicher Schlüssel unten

Auf diese Weise sehen sie beim Entschlüsseln Ihre Nachricht und Ihren öffentlichen Schlüssel. Dies war der Empfänger Ihrer Nachricht, der Ihnen auch sicher antworten kann, indem er Ihren öffentlichen Schlüssel verwendet, um die Antwort auf Sie zu verschlüsseln.

2
encryptasourase

Mit dem öffentlichen Schlüssel kann eine E-Mail sicher an den Inhaber des entsprechenden privaten Schlüssels gesendet werden. Der Inhaber des öffentlichen Schlüssels kann jedoch nicht feststellen, dass die Nachricht tatsächlich von Ihnen stammt. Das Anhängen Ihres öffentlichen Schlüssels in die E-Mail kann jedoch problematisch sein, da er nicht überprüfen kann, ob der angehängte öffentliche Schlüssel tatsächlich Ihnen gehört. Wenn er sich nur darum kümmert, dass nachfolgende E-Mails von derselben Person stammen, ist dies möglicherweise in Ordnung. Wenn er sich jedoch darum kümmern muss, dass die Nachricht tatsächlich von Ihnen stammt, muss er Ihren öffentlichen Schlüssel bis zu Ihrem Zeitpunkt als nicht überprüft betrachten eine weitere zuverlässigere Überprüfung haben.

1
Lie Ryan