{"id":20359,"date":"2022-11-14T22:08:51","date_gmt":"2022-11-14T21:08:51","guid":{"rendered":"https:\/\/tuxproject.de\/blog\/?p=20359"},"modified":"2023-04-20T21:46:56","modified_gmt":"2023-04-20T19:46:56","slug":"keyoxide-die-digitale-identitaet","status":"publish","type":"post","link":"https:\/\/tuxproject.de\/blog\/2022\/11\/keyoxide-die-digitale-identitaet\/","title":{"rendered":"Keyoxide: Die digitale Identit\u00e4t"},"content":{"rendered":"<p>Aus den <em>falschen<\/em> Gr\u00fcn\u00adden ger\u00adade wieder in der Diskus\u00adsion ist die Frage, wie man eigentlich sich\u00ader\u00adstellen k\u00f6nne, dass jemand der ist, der er irgend\u00adwo im Inter\u00adnet zu sein behauptet. Daf\u00fcr k\u00f6n\u00adnte man sicher\u00adlich irgend\u00adwas mit dem \u201celek\u00adtro\u00adn\u00adis\u00adchen Per\u00adson\u00adalausweis\u201d nutzen, den allerd\u00adings nie\u00admand, der noch bei Trost ist, aktiviert haben sollte; stattdessen scheint mir <a href=\"https:\/\/keyoxide.org\">Key\u00adox\u00adide<\/a> eine brauch\u00adbare L\u00f6sung zu sein.<\/p>\n<p><!--more-->Key\u00adox\u00adide existiert \u00f6ffentlich seit 2020 und wird in Nerd\u00adkreisen derzeit als Alter\u00adna\u00adtive zum ein\u00adsti\u00adgen Monop\u00ado\u00adlis\u00adten <a href=\"https:\/\/keybase.io\">Key\u00adbase<\/a> herumgere\u00adicht, das im gle\u00adichen Jahr von Zoom \u00fcber\u00adnom\u00admen wor\u00adden ist und seit\u00addem \u2014 auch auf\u00adgrund des Leu\u00admunds des neuen Besitzers \u2014 best\u00e4ndig Nutzer an die Konkur\u00adrenz ver\u00adliert, zum Beispiel mich.<\/p>\n<p>Dabei funk\u00adtion\u00adieren Key\u00adbase und Key\u00adox\u00adide unge\u00adf\u00e4hr gle\u00adich: Man legt eine \u201cvirtuelle Iden\u00adtit\u00e4t\u201d an und ver\u00adweist an anderen Stellen auf diese Iden\u00adtit\u00e4t sowie von dieser Iden\u00adtit\u00e4t zur\u00fcck. Das stellt, sofern die Zugangs\u00addat\u00aden sich\u00ader ver\u00adwahrt wer\u00adden, sich\u00ader, dass dieses Net\u00adzw\u00aderk gesamt der Per\u00adson hin\u00adter der \u201cvirtuellen Iden\u00adtit\u00e4t\u201d geh\u00f6rt. W\u00e4hrend Key\u00adbase, auf das im Fol\u00adgen\u00adden nicht weit\u00ader einge\u00adgan\u00adgen wer\u00adden soll, hier\u00adf\u00fcr auf klas\u00adsis\u00adche Webpro\u00adfile set\u00adzt, ist Key\u00adox\u00adide aus jeden\u00adfalls Daten\u00adschutzsicht ele\u00adgan\u00adter konzip\u00adiert: Die \u201cvirtuelle Iden\u00adtit\u00e4t\u201d ist der eigene GnuPG-Schl\u00fcs\u00adsel (die eigene Pro\u00adfi\u00adladresse ist also <tt>https:\/\/keyoxide.org\/[Fingerabdruck]<\/tt>, wobei man diese sicher\u00adlich auch als Weit\u00ader\u00adleitung ein\u00ader eige\u00adnen Sub\u00addo\u00admain vere\u00adin\u00adfachen k\u00f6n\u00adnte).<\/p>\n<p>Das hat den Vorteil, dass es einen weit\u00aderen Anlass gibt, <em>endlich<\/em> einen GnuPG-Schl\u00fcs\u00adsel zur eige\u00adnen Mailadresse zu haben, damit man the\u00ado\u00adretisch ver\u00adschl\u00fcs\u00adselte und\/oder sig\u00adnierte E\u2011Mails senden und emp\u00adfan\u00adgen kann, ohne irgend\u00adje\u00adman\u00addem gr\u00f6\u00dfere Prob\u00adleme zu bere\u00adit\u00aden als unbe\u00add\u00adingt notwendig. Um bei Key\u00adox\u00adide <em>mitzu\u00admachen<\/em>, sind also drei Schritte notwendig:<\/p>\n<ol>\n<li>Einen GnuPG-Schl\u00fcs\u00adsel haben (oder anle\u00adgen),<\/li>\n<li>diesem Schl\u00fcs\u00adsel im Rein\u00adtext in ein\u00ader eige\u00adnen Datei oder als \u201cNota\u00adtio\u00adnen\u201d direkt im Schl\u00fcs\u00adsel alle Onlinei\u00adden\u00adtit\u00e4ten hinzuf\u00fc\u00adgen, die man in der \u201cvirtuellen Iden\u00adtit\u00e4t\u201d zusam\u00admen\u00adf\u00fchren m\u00f6chte (sp\u00e4tere \u00c4nderun\u00adgen sind recht ein\u00adfach m\u00f6glich),<\/li>\n<li>den Schl\u00fcs\u00adsel auf einem Schl\u00fcs\u00adselserv\u00ader oder in einem eige\u00adnen <a href=\"https:\/\/www.kuketz-blog.de\/gnupg-web-key-directory-wkd-einrichten\/\">Web Key Direc\u00adto\u00adry<\/a> und, falls in Schritt 2 aus\u00adgew\u00e4hlt, die mit ihm ver\u00adschl\u00fcs\u00adselte Rein\u00adtext\u00addatei irgend\u00adwo anders ver\u00f6f\u00adfentlichen.<\/li>\n<\/ol>\n<p>Weil ich faul, aber auch sicher\u00adheits\u00adbe\u00adwusst bin, habe ich mich f\u00fcr Nota\u00adtio\u00adnen (bei Key\u00adox\u00adide habe ich dann ein \u201cOpenPGP-Pro\u00adfil\u201d) und einen Schl\u00fcs\u00adselserv\u00ader entsch\u00adieden. Das geht so:<\/p>\n<p><b>1. <u>Schl\u00fcs\u00adsel haben (oder anle\u00adgen)<\/u><\/b><\/p>\n<p><em>Man nehme<\/em> Platz und anschlie\u00dfend eine GnuPG-Instal\u00adla\u00adtion (unter Win\u00addows etwa <a href=\"https:\/\/www.gpg4win.de\/documentation-de.html\">Gpg4win<\/a>, unter anderen Sys\u00adte\u00admen ist GnuPG oft bere\u00adits instal\u00adliert oder im sys\u00adte\u00admeige\u00adnen Paket\u00adman\u00adag\u00ader zu find\u00aden). Mit Kleopa\u00adtra gibt es eine <em>vern\u00fcn\u00adftige<\/em> grafis\u00adche Ober\u00adfl\u00e4che f\u00fcr GnuPG-Schl\u00fcs\u00adselver\u00adwal\u00adtung, aber da die \u201cNota\u00adtio\u00adnen\u201d ziem\u00adlich leicht per Kom\u00adman\u00addozeile ver\u00adwal\u00adtet wer\u00adden k\u00f6n\u00adnen, ergibt es dur\u00adchaus Sinn, kon\u00adse\u00adquent bei Textbe\u00adfehlen zu bleiben. GnuPG ist eines dieser Pro\u00adgramme, die <em>ohne<\/em> grafis\u00adche Ober\u00adfl\u00e4che irgend\u00adwie <em>effizien\u00adter<\/em> zu nutzen zu sein scheinen. Das Anle\u00adgen eines neuen Schl\u00fcs\u00adsels funk\u00adtion\u00adiert so mit dem Befehl <tt>gpg<\/tt>:<\/p>\n<pre lang=\"shell\">gpg --gen-key<\/pre>\n<p>Der erzeugte Schl\u00fcs\u00adsel (\u00f6ffentlich <em>und<\/em> pri\u00advat \u2014 mit dem \u00f6ffentlichen Schl\u00fcs\u00adsel wird ver\u00adschl\u00fcs\u00adselt, mit dem pri\u00advat\u00aden entschl\u00fcs\u00adselt) sollte danach unbe\u00add\u00adingt irgend\u00adwo gesichert wer\u00adden, bevorzugt au\u00dfer\u00adhalb des erzeu\u00adgen\u00adden Com\u00adput\u00aders. GnuPG-f\u00e4hige Mail\u00adpro\u00adgramme k\u00f6n\u00adnen den neuen Schl\u00fcs\u00adsel im \u00dcbri\u00adgen auch nutzen, um mit ihm Mails zu ver\u00adschl\u00fcs\u00adseln. Die Ein\u00adrich\u00adtung von Key\u00adox\u00adide ist insofern auch eine gute Ausrede f\u00fcr dig\u00adi\u00adtale Selb\u00adstvertei\u00addi\u00adgung: Wenn\u2019s halt schon mal da ist.<\/p>\n<p><b>2. <u>Iden\u00adtit\u00e4ten als Nota\u00adtio\u00adnen hinzuf\u00fc\u00adgen<\/u><\/b><\/p>\n<p>Der neu erstellte Schl\u00fcs\u00adsel hat einen Fin\u00adger\u00adab\u00addruck, den ich sich zu merken empfehle, denn er ist \u2014 im For\u00admat <tt>openpgp4fpr:[Fingerabdruck]<\/tt> \u2014 der URI der neuen Key\u00adox\u00adide-Iden\u00adtit\u00e4t. Es han\u00addelt sich um eine alphanum\u00admerische Zeichen\u00adkette, zu find\u00aden ist sie in Kleopa\u00adtra per Dop\u00adpelk\u00adlick auf den neuen Schl\u00fcs\u00adsel, auf der Kom\u00adman\u00addozeile hinge\u00adgen eben\u00adfalls per <tt>gpg<\/tt>:<\/p>\n<pre lang=\"shell\">gpg --list-keys<\/pre>\n<p>Dieser Schl\u00fcs\u00adsel muss nun edi\u00adtiert und um Nota\u00adtio\u00adnen erg\u00e4nzt wer\u00adden:<\/p>\n<pre lang=\"shell\">gpg --edit-key [Fingerabdruck]\ngpg&gt;<\/pre>\n<p>Sollte es sich um einen bere\u00adits vorhan\u00adde\u00adnen (kom\u00adplex\u00aden) Schl\u00fcs\u00adsel han\u00addeln, so sollte hier noch die Stan\u00addar\u00add\u00adi\u00adden\u00adtit\u00e4t aus\u00adgew\u00e4hlt wer\u00adden (anson\u00adsten kann dieser Teil \u00fcber\u00adsprun\u00adgen wer\u00adden):<\/p>\n<pre lang=\"shell\">gpg&gt; list\ngpg&gt; uid 1    # oder 2, 3, ...<\/pre>\n<p>Nun k\u00f6n\u00adnen beliebig viele Iden\u00adtit\u00e4ten hinzuge\u00adf\u00fcgt wer\u00adden. Der Ablauf ist jew\u00adeils wie fol\u00adgt: Zun\u00e4chst wird der Fin\u00adger\u00adab\u00addruck, am ein\u00adfach\u00adsten im URI-For\u00admat <tt>openpgp4fpr:[Fingerabdruck]<\/tt>, den jew\u00adeili\u00adgen Plat\u00adtfor\u00admen (Key\u00adox\u00adide unter\u00adst\u00fctzt neben Twit\u00adter und Mastodon unter anderem auch die Ver\u00adi\u00adfika\u00adtion von Domains, IRC und Telegram) bekan\u00adnt  gemacht. Auf Twit\u00adter geht das zum Beispiel, indem man ihn <a href=\"https:\/\/twitter.com\/tux0r\/status\/1592221990970167296\">als Tweet ver\u00f6f\u00adfentlicht.<\/a> Die Adresse dieses Tweets wird dann als Nota\u00adtion dem GnuPG-Schl\u00fcs\u00adsel ange\u00adh\u00e4ngt:<\/p>\n<pre lang=\"shell\">gpg&gt; notation\nproof@ariadne.id=https:\/\/twitter.com\/tux0r\/status\/1592221990970167296<\/pre>\n<p>Der Ablauf f\u00fcr Mastodon ist <a href=\"https:\/\/docs.keyoxide.org\/service-providers\/mastodon\/\">so \u00e4hn\u00adlich<\/a>, allerd\u00adings gen\u00fcgt dort das Aus\u00adf\u00fcllen eines Pro\u00adfil\u00adfeldes. Wenn alle Nota\u00adtio\u00adnen hinzuge\u00adf\u00fcgt wor\u00adden sind (Edi\u00adtieren und <a href=\"https:\/\/docs.keyoxide.org\/openpgp-profiles\/using-gnupg\/#Deleting_an_identity_claim\">L\u00f6schen<\/a> geht auch sp\u00e4ter noch), muss der Schl\u00fcs\u00adsel gespe\u00adichert wer\u00adden:<\/p>\n<pre lang=\"shell\">gpg&gt; save<\/pre>\n<p><b>3. <u>Ver\u00f6f\u00adfentlichen = Pro\u00adfil anle\u00adgen<\/u><\/b><\/p>\n<p>Als \u00f6ffentlichen Ort f\u00fcr den neuen Schl\u00fcs\u00adsel <a href=\"https:\/\/docs.keyoxide.org\/using-cryptography\/openpgp-gnupg\/#Distributing_via_keys.openpgp.org\">emp\u00adfiehlt<\/a> der Key\u00adox\u00adide-Entwick\u00adler momen\u00adtan <em>keys.openpgp.org<\/em>, also ist er nun dort hochzu\u00adladen:<\/p>\n<pre lang=\"shell\">gpg --keyserver hkps:\/\/keys.openpgp.org --send-keys [Fingerabdruck]<\/pre>\n<p>Falls dies das erste Mal ist, dass der Schl\u00fcs\u00adsel auf diesen Schl\u00fcs\u00adselserv\u00ader hochge\u00adladen wird, wird die beim Anle\u00adgen des Schl\u00fcs\u00adsels angegebene E\u2011Mail-Adresse (die daf\u00fcr nat\u00fcr\u00adlich stim\u00admen sollte) nun eine E\u2011Mail zur Best\u00e4\u00adti\u00adgung erhal\u00adten. Den Anweisun\u00adgen in dieser E\u2011Mail empfehle ich Folge zu leis\u00adten, son\u00adst wird der Schl\u00fcs\u00adsel nicht gefun\u00adden wer\u00adden und das w\u00e4re <em>nat\u00fcr\u00adlich<\/em> albern. War alles erfol\u00adgre\u00adich, so kann das Key\u00adox\u00adide-Pro\u00adfil schon \u00fcber den Web\u00adbrows\u00ader aufgerufen und irgend\u00adwo ver\u00adlinkt wer\u00adden. Meines ist zum Beispiel <a href=\"https:\/\/keyoxide.org\/tux0r@rosaelefanten.org\">hier.<\/a><\/p>\n<p><em>All das<\/em> ver\u00adschafft zwar keinen Edi\u00adtier\u00adknopf auf Twit\u00adter, kostet daf\u00fcr aber auch <a href=\"https:\/\/www.rnd.de\/medien\/elon-musk-blauer-haken-auf-twitter-kostet-acht-dollar-F4BFJI3HCRAMBESM4WUX7APHZQ.html\">keine 8 US-Dol\u00adlar<\/a>; eine, wie ich finde, angemessene Ein\u00adschr\u00e4nkung. Vielle\u00adicht ist <em>all das<\/em> ja f\u00fcr irgendwen von Nutzen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Aus den falschen Gr\u00fcn\u00adden ger\u00adade wieder in der Diskus\u00adsion ist die Frage, wie man eigentlich sich\u00ader\u00adstellen k\u00f6nne, dass jemand der ist, der er irgend\u00adwo im Inter\u00adnet zu sein behauptet. Daf\u00fcr k\u00f6n\u00adnte man sicher\u00adlich irgend\u00adwas mit dem \u201celek\u00adtro\u00adn\u00adis\u00adchen Per\u00adson\u00adalausweis\u201d nutzen, den allerd\u00adings nie\u00admand, der noch bei Trost ist, aktiviert haben sollte; stattdessen scheint mir Key\u00adox\u00adide eine \u2026<\/p>\n<p><a href=\"https:\/\/tuxproject.de\/blog\/2022\/11\/keyoxide-die-digitale-identitaet\/\" class=\"more-link\">\u2018Key\u00adox\u00adide: Die dig\u00adi\u00adtale Iden\u00adtit\u00e4t\u2019 weit\u00ader\u00adlesen \u00bb<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"wp_typography_post_enhancements_disabled":false,"footnotes":""},"categories":[19],"tags":[],"series":[],"class_list":["post-20359","post","type-post","status-publish","format-standard","hentry","category-nerdkrams"],"share_on_mastodon":{"url":"https:\/\/social.tchncs.de\/@hirnfick_20\/110232863815176196","error":""},"wp-worthy-pixel":{"ignored":false,"public":"466eb86d5edf4aed8a68d817fc30f656","server":"vg07.met.vgwort.de","url":"https:\/\/vg07.met.vgwort.de\/na\/466eb86d5edf4aed8a68d817fc30f656"},"wp-worthy-type":"normal","_links":{"self":[{"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/posts\/20359","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/comments?post=20359"}],"version-history":[{"count":0,"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/posts\/20359\/revisions"}],"wp:attachment":[{"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/media?parent=20359"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/categories?post=20359"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/tags?post=20359"},{"taxonomy":"series","embeddable":true,"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/series?post=20359"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}