Aus den falschen Grün­den ger­ade wieder in der Diskus­sion ist die Frage, wie man eigentlich sich­er­stellen könne, dass jemand der ist, der er irgend­wo im Inter­net zu sein behauptet. Dafür kön­nte man sicher­lich irgend­was mit dem “elek­tro­n­is­chen Per­son­alausweis” nutzen, den allerd­ings nie­mand, der noch bei Trost ist, aktiviert haben sollte; stattdessen scheint mir Key­ox­ide eine brauch­bare Lösung zu sein.

Key­ox­ide existiert öffentlich seit 2020 und wird in Nerd­kreisen derzeit als Alter­na­tive zum ein­sti­gen Monop­o­lis­ten Key­base herumgere­icht, das im gle­ichen Jahr von Zoom über­nom­men wor­den ist und seit­dem — auch auf­grund des Leu­munds des neuen Besitzers — beständig Nutzer an die Konkur­renz ver­liert, zum Beispiel mich.

Dabei funk­tion­ieren Key­base und Key­ox­ide unge­fähr gle­ich: Man legt eine “virtuelle Iden­tität” an und ver­weist an anderen Stellen auf diese Iden­tität sowie von dieser Iden­tität zurück. Das stellt, sofern die Zugangs­dat­en sich­er ver­wahrt wer­den, sich­er, dass dieses Net­zw­erk gesamt der Per­son hin­ter der “virtuellen Iden­tität” gehört. Während Key­base, auf das im Fol­gen­den nicht weit­er einge­gan­gen wer­den soll, hier­für auf klas­sis­che Webpro­file set­zt, ist Key­ox­ide aus jeden­falls Daten­schutzsicht ele­gan­ter konzip­iert: Die “virtuelle Iden­tität” ist der eigene GnuPG-Schlüs­sel (die eigene Pro­fi­ladresse ist also https://keyoxide.org/[Fingerabdruck], wobei man diese sicher­lich auch als Weit­er­leitung ein­er eige­nen Sub­do­main vere­in­fachen kön­nte).

Das hat den Vorteil, dass es einen weit­eren Anlass gibt, endlich einen GnuPG-Schlüs­sel zur eige­nen Mailadresse zu haben, damit man the­o­retisch ver­schlüs­selte und/oder sig­nierte E‑Mails senden und emp­fan­gen kann, ohne irgend­je­man­dem größere Prob­leme zu bere­it­en als unbe­d­ingt notwendig. Um bei Key­ox­ide mitzu­machen, sind also drei Schritte notwendig:

1. Einen GnuPG-Schlüs­sel haben (oder anle­gen),
2. diesem Schlüs­sel im Rein­text in ein­er eige­nen Datei oder als “Nota­tio­nen” direkt im Schlüs­sel alle Onlinei­den­titäten hinzufü­gen, die man in der “virtuellen Iden­tität” zusam­men­führen möchte (spätere Änderun­gen sind recht ein­fach möglich),
3. den Schlüs­sel auf einem Schlüs­selserv­er oder in einem eige­nen Web Key Direc­to­ry und, falls in Schritt 2 aus­gewählt, die mit ihm ver­schlüs­selte Rein­text­datei irgend­wo anders veröf­fentlichen.

Weil ich faul, aber auch sicher­heits­be­wusst bin, habe ich mich für Nota­tio­nen (bei Key­ox­ide habe ich dann ein “OpenPGP-Pro­fil”) und einen Schlüs­selserv­er entsch­ieden. Das geht so:

1. Schlüs­sel haben (oder anle­gen)

Man nehme Platz und anschließend eine GnuPG-Instal­la­tion (unter Win­dows etwa Gpg4win, unter anderen Sys­te­men ist GnuPG oft bere­its instal­liert oder im sys­te­meige­nen Paket­man­ag­er zu find­en). Mit Kleopa­tra gibt es eine vernün­ftige grafis­che Ober­fläche für GnuPG-Schlüs­selver­wal­tung, aber da die “Nota­tio­nen” ziem­lich leicht per Kom­man­dozeile ver­wal­tet wer­den kön­nen, ergibt es dur­chaus Sinn, kon­se­quent bei Textbe­fehlen zu bleiben. GnuPG ist eines dieser Pro­gramme, die ohne grafis­che Ober­fläche irgend­wie effizien­ter zu nutzen zu sein scheinen. Das Anle­gen eines neuen Schlüs­sels funk­tion­iert so mit dem Befehl gpg:

gpg --gen-key

Der erzeugte Schlüs­sel (öffentlich und pri­vat — mit dem öffentlichen Schlüs­sel wird ver­schlüs­selt, mit dem pri­vat­en entschlüs­selt) sollte danach unbe­d­ingt irgend­wo gesichert wer­den, bevorzugt außer­halb des erzeu­gen­den Com­put­ers. GnuPG-fähige Mail­pro­gramme kön­nen den neuen Schlüs­sel im Übri­gen auch nutzen, um mit ihm Mails zu ver­schlüs­seln. Die Ein­rich­tung von Key­ox­ide ist insofern auch eine gute Ausrede für dig­i­tale Selb­stvertei­di­gung: Wenn’s halt schon mal da ist.

2. Iden­titäten als Nota­tio­nen hinzufü­gen

Der neu erstellte Schlüs­sel hat einen Fin­ger­ab­druck, den ich sich zu merken empfehle, denn er ist — im For­mat openpgp4fpr:[Fingerabdruck] — der URI der neuen Key­ox­ide-Iden­tität. Es han­delt sich um eine alphanum­merische Zeichen­kette, zu find­en ist sie in Kleopa­tra per Dop­pelk­lick auf den neuen Schlüs­sel, auf der Kom­man­dozeile hinge­gen eben­falls per gpg:

gpg --list-keys

Dieser Schlüs­sel muss nun edi­tiert und um Nota­tio­nen ergänzt wer­den:

gpg --edit-key [Fingerabdruck]
gpg>

Sollte es sich um einen bere­its vorhan­de­nen (kom­plex­en) Schlüs­sel han­deln, so sollte hier noch die Stan­dar­d­i­den­tität aus­gewählt wer­den (anson­sten kann dieser Teil über­sprun­gen wer­den):

gpg> list
gpg> uid 1    # oder 2, 3, ...

Nun kön­nen beliebig viele Iden­titäten hinzuge­fügt wer­den. Der Ablauf ist jew­eils wie fol­gt: Zunächst wird der Fin­ger­ab­druck, am ein­fach­sten im URI-For­mat openpgp4fpr:[Fingerabdruck], den jew­eili­gen Plat­tfor­men (Key­ox­ide unter­stützt neben Twit­ter und Mastodon unter anderem auch die Ver­i­fika­tion von Domains, IRC und Telegram) bekan­nt gemacht. Auf Twit­ter geht das zum Beispiel, indem man ihn als Tweet veröf­fentlicht. Die Adresse dieses Tweets wird dann als Nota­tion dem GnuPG-Schlüs­sel ange­hängt:

gpg> notation
proof@ariadne.id=https://twitter.com/tux0r/status/1592221990970167296

Der Ablauf für Mastodon ist so ähn­lich, allerd­ings genügt dort das Aus­füllen eines Pro­fil­feldes. Wenn alle Nota­tio­nen hinzuge­fügt wor­den sind (Edi­tieren und Löschen geht auch später noch), muss der Schlüs­sel gespe­ichert wer­den:

gpg> save

3. Veröf­fentlichen = Pro­fil anle­gen

Als öffentlichen Ort für den neuen Schlüs­sel emp­fiehlt der Key­ox­ide-Entwick­ler momen­tan keys.openpgp.org, also ist er nun dort hochzu­laden:

gpg --keyserver hkps://keys.openpgp.org --send-keys [Fingerabdruck]

Falls dies das erste Mal ist, dass der Schlüs­sel auf diesen Schlüs­selserv­er hochge­laden wird, wird die beim Anle­gen des Schlüs­sels angegebene E‑Mail-Adresse (die dafür natür­lich stim­men sollte) nun eine E‑Mail zur Bestä­ti­gung erhal­ten. Den Anweisun­gen in dieser E‑Mail empfehle ich Folge zu leis­ten, son­st wird der Schlüs­sel nicht gefun­den wer­den und das wäre natür­lich albern. War alles erfol­gre­ich, so kann das Key­ox­ide-Pro­fil schon über den Web­brows­er aufgerufen und irgend­wo ver­linkt wer­den. Meines ist zum Beispiel hier.

All das ver­schafft zwar keinen Edi­tier­knopf auf Twit­ter, kostet dafür aber auch keine 8 US-Dol­lar; eine, wie ich finde, angemessene Ein­schränkung. Vielle­icht ist all das ja für irgendwen von Nutzen.