Aus den fal­schen Grün­den gera­de wie­der in der Dis­kus­si­on ist die Fra­ge, wie man eigent­lich sicher­stel­len kön­ne, dass jemand der ist, der er irgend­wo im Inter­net zu sein behaup­tet. Dafür könn­te man sicher­lich irgend­was mit dem „elek­tro­ni­schen Per­so­nal­aus­weis“ nut­zen, den aller­dings nie­mand, der noch bei Trost ist, akti­viert haben soll­te; statt­des­sen scheint mir Key­oxi­de eine brauch­ba­re Lösung zu sein.

Key­oxi­de exi­stiert öffent­lich seit 2020 und wird in Nerd­krei­sen der­zeit als Alter­na­ti­ve zum ein­sti­gen Mono­po­li­sten Key­ba­se her­um­ge­reicht, das im glei­chen Jahr von Zoom über­nom­men wor­den ist und seit­dem – auch auf­grund des Leu­munds des neu­en Besit­zers – bestän­dig Nut­zer an die Kon­kur­renz ver­liert, zum Bei­spiel mich.

Dabei funk­tio­nie­ren Key­ba­se und Key­oxi­de unge­fähr gleich: Man legt eine „vir­tu­el­le Iden­ti­tät“ an und ver­weist an ande­ren Stel­len auf die­se Iden­ti­tät sowie von die­ser Iden­ti­tät zurück. Das stellt, sofern die Zugangs­da­ten sicher ver­wahrt wer­den, sicher, dass die­ses Netz­werk gesamt der Per­son hin­ter der „vir­tu­el­len Iden­ti­tät“ gehört. Wäh­rend Key­ba­se, auf das im Fol­gen­den nicht wei­ter ein­ge­gan­gen wer­den soll, hier­für auf klas­si­sche Web­pro­fi­le setzt, ist Key­oxi­de aus jeden­falls Daten­schutz­sicht ele­gan­ter kon­zi­piert: Die „vir­tu­el­le Iden­ti­tät“ ist der eige­ne GnuPG-Schlüs­sel (die eige­ne Pro­fil­adres­se ist also https://keyoxide.org/[Fingerabdruck], wobei man die­se sicher­lich auch als Wei­ter­lei­tung einer eige­nen Sub­do­main ver­ein­fa­chen könnte).

Das hat den Vor­teil, dass es einen wei­te­ren Anlass gibt, end­lich einen GnuPG-Schlüs­sel zur eige­nen Mail­adres­se zu haben, damit man theo­re­tisch ver­schlüs­sel­te und/oder signier­te E‑Mails sen­den und emp­fan­gen kann, ohne irgend­je­man­dem grö­ße­re Pro­ble­me zu berei­ten als unbe­dingt not­wen­dig. Um bei Key­oxi­de mit­zu­ma­chen, sind also drei Schrit­te notwendig:

1. Einen GnuPG-Schlüs­sel haben (oder anlegen),
2. die­sem Schlüs­sel im Rein­text in einer eige­nen Datei oder als „Nota­tio­nen“ direkt im Schlüs­sel alle Onlin­ei­den­ti­tä­ten hin­zu­fü­gen, die man in der „vir­tu­el­len Iden­ti­tät“ zusam­men­füh­ren möch­te (spä­te­re Ände­run­gen sind recht ein­fach möglich),
3. den Schlüs­sel auf einem Schlüs­sel­ser­ver oder in einem eige­nen Web Key Direc­to­ry und, falls in Schritt 2 aus­ge­wählt, die mit ihm ver­schlüs­sel­te Rein­text­da­tei irgend­wo anders veröffentlichen.

Weil ich faul, aber auch sicher­heits­be­wusst bin, habe ich mich für Nota­tio­nen (bei Key­oxi­de habe ich dann ein „OpenPGP-Pro­fil“) und einen Schlüs­sel­ser­ver ent­schie­den. Das geht so:

1. Schlüs­sel haben (oder anlegen)

Man neh­me Platz und anschlie­ßend eine GnuPG-Instal­la­ti­on (unter Win­dows etwa Gpg4win, unter ande­ren Syste­men ist GnuPG oft bereits instal­liert oder im system­ei­ge­nen Paket­ma­na­ger zu fin­den). Mit Kleo­pa­tra gibt es eine ver­nünf­ti­ge gra­fi­sche Ober­flä­che für GnuPG-Schlüs­sel­ver­wal­tung, aber da die „Nota­tio­nen“ ziem­lich leicht per Kom­man­do­zei­le ver­wal­tet wer­den kön­nen, ergibt es durch­aus Sinn, kon­se­quent bei Text­be­feh­len zu blei­ben. GnuPG ist eines die­ser Pro­gram­me, die ohne gra­fi­sche Ober­flä­che irgend­wie effi­zi­en­ter zu nut­zen zu sein schei­nen. Das Anle­gen eines neu­en Schlüs­sels funk­tio­niert so mit dem Befehl gpg:

gpg --gen-key

Der erzeug­te Schlüs­sel (öffent­lich und pri­vat – mit dem öffent­li­chen Schlüs­sel wird ver­schlüs­selt, mit dem pri­va­ten ent­schlüs­selt) soll­te danach unbe­dingt irgend­wo gesi­chert wer­den, bevor­zugt außer­halb des erzeu­gen­den Com­pu­ters. GnuPG-fähi­ge Mail­pro­gram­me kön­nen den neu­en Schlüs­sel im Übri­gen auch nut­zen, um mit ihm Mails zu ver­schlüs­seln. Die Ein­rich­tung von Key­oxi­de ist inso­fern auch eine gute Aus­re­de für digi­ta­le Selbst­ver­tei­di­gung: Wenn’s halt schon mal da ist.

2. Iden­ti­tä­ten als Nota­tio­nen hinzufügen

Der neu erstell­te Schlüs­sel hat einen Fin­ger­ab­druck, den ich sich zu mer­ken emp­feh­le, denn er ist – im For­mat openpgp4fpr:[Fingerabdruck] – der URI der neu­en Key­oxi­de-Iden­ti­tät. Es han­delt sich um eine alpha­num­me­ri­sche Zei­chen­ket­te, zu fin­den ist sie in Kleo­pa­tra per Dop­pel­klick auf den neu­en Schlüs­sel, auf der Kom­man­do­zei­le hin­ge­gen eben­falls per gpg:

gpg --list-keys

Die­ser Schlüs­sel muss nun edi­tiert und um Nota­tio­nen ergänzt werden:

gpg --edit-key [Fingerabdruck]
gpg>

Soll­te es sich um einen bereits vor­han­de­nen (kom­ple­xen) Schlüs­sel han­deln, so soll­te hier noch die Stan­dar­diden­ti­tät aus­ge­wählt wer­den (anson­sten kann die­ser Teil über­sprun­gen werden):

gpg> list
gpg> uid 1    # oder 2, 3, ...

Nun kön­nen belie­big vie­le Iden­ti­tä­ten hin­zu­ge­fügt wer­den. Der Ablauf ist jeweils wie folgt: Zunächst wird der Fin­ger­ab­druck, am ein­fach­sten im URI-For­mat openpgp4fpr:[Fingerabdruck], den jewei­li­gen Platt­for­men (Key­oxi­de unter­stützt neben Twit­ter und Mast­o­don unter ande­rem auch die Veri­fi­ka­ti­on von Domains, IRC und Tele­gram) bekannt gemacht. Auf Twit­ter geht das zum Bei­spiel, indem man ihn als Tweet ver­öf­fent­licht. Die Adres­se die­ses Tweets wird dann als Nota­ti­on dem GnuPG-Schlüs­sel angehängt:

gpg> notation
proof@ariadne.id=https://twitter.com/tux0r/status/1592221990970167296

Der Ablauf für Mast­o­don ist so ähn­lich, aller­dings genügt dort das Aus­fül­len eines Pro­fil­fel­des. Wenn alle Nota­tio­nen hin­zu­ge­fügt wor­den sind (Edi­tie­ren und Löschen geht auch spä­ter noch), muss der Schlüs­sel gespei­chert werden:

gpg> save

3. Ver­öf­fent­li­chen = Pro­fil anlegen

Als öffent­li­chen Ort für den neu­en Schlüs­sel emp­fiehlt der Key­oxi­de-Ent­wick­ler momen­tan keys.openpgp.org, also ist er nun dort hochzuladen:

gpg --keyserver hkps://keys.openpgp.org --send-keys [Fingerabdruck]

Falls dies das erste Mal ist, dass der Schlüs­sel auf die­sen Schlüs­sel­ser­ver hoch­ge­la­den wird, wird die beim Anle­gen des Schlüs­sels ange­ge­be­ne E‑Mail-Adres­se (die dafür natür­lich stim­men soll­te) nun eine E‑Mail zur Bestä­ti­gung erhal­ten. Den Anwei­sun­gen in die­ser E‑Mail emp­feh­le ich Fol­ge zu lei­sten, sonst wird der Schlüs­sel nicht gefun­den wer­den und das wäre natür­lich albern. War alles erfolg­reich, so kann das Key­oxi­de-Pro­fil schon über den Web­brow­ser auf­ge­ru­fen und irgend­wo ver­linkt wer­den. Mei­nes ist zum Bei­spiel hier.

All das ver­schafft zwar kei­nen Edi­tier­knopf auf Twit­ter, kostet dafür aber auch kei­ne 8 US-Dol­lar; eine, wie ich fin­de, ange­mes­se­ne Ein­schrän­kung. Viel­leicht ist all das ja für irgend­wen von Nutzen.