{"id":20359,"date":"2022-11-14T22:08:51","date_gmt":"2022-11-14T21:08:51","guid":{"rendered":"https:\/\/tuxproject.de\/blog\/?p=20359"},"modified":"2023-04-20T21:46:56","modified_gmt":"2023-04-20T19:46:56","slug":"keyoxide-die-digitale-identitaet","status":"publish","type":"post","link":"https:\/\/tuxproject.de\/blog\/2022\/11\/keyoxide-die-digitale-identitaet\/","title":{"rendered":"Key\u00adoxi\u00adde: Die digi\u00adta\u00adle Iden\u00adti\u00adt\u00e4t"},"content":{"rendered":"

Aus den fal\u00adschen<\/em> Gr\u00fcn\u00adden gera\u00adde wie\u00adder in der Dis\u00adkus\u00adsi\u00adon ist die Fra\u00adge, wie man eigent\u00adlich sicher\u00adstel\u00adlen k\u00f6n\u00adne, dass jemand der ist, der er irgend\u00adwo im Inter\u00adnet zu sein behaup\u00adtet. Daf\u00fcr k\u00f6nn\u00adte man sicher\u00adlich irgend\u00adwas mit dem \u201eelek\u00adtro\u00adni\u00adschen Per\u00adso\u00adnal\u00adaus\u00adweis\u201c nut\u00adzen, den aller\u00addings nie\u00admand, der noch bei Trost ist, akti\u00adviert haben soll\u00adte; statt\u00addes\u00adsen scheint mir Key\u00adoxi\u00adde<\/a> eine brauch\u00adba\u00adre L\u00f6sung zu sein.<\/p>\n

Key\u00adoxi\u00adde exi\u00adstiert \u00f6ffent\u00adlich seit 2020 und wird in Nerd\u00adkrei\u00adsen der\u00adzeit als Alter\u00adna\u00adti\u00adve zum ein\u00adsti\u00adgen Mono\u00adpo\u00adli\u00adsten Key\u00adba\u00adse<\/a> her\u00adum\u00adge\u00adreicht, das im glei\u00adchen Jahr von Zoom \u00fcber\u00adnom\u00admen wor\u00adden ist und seit\u00addem \u2013 auch auf\u00adgrund des Leu\u00admunds des neu\u00aden Besit\u00adzers \u2013 best\u00e4n\u00addig Nut\u00adzer an die Kon\u00adkur\u00adrenz ver\u00adliert, zum Bei\u00adspiel mich.<\/p>\n

Dabei funk\u00adtio\u00adnie\u00adren Key\u00adba\u00adse und Key\u00adoxi\u00adde unge\u00adf\u00e4hr gleich: Man legt eine \u201evir\u00adtu\u00adel\u00adle Iden\u00adti\u00adt\u00e4t\u201c an und ver\u00adweist an ande\u00adren Stel\u00adlen auf die\u00adse Iden\u00adti\u00adt\u00e4t sowie von die\u00adser Iden\u00adti\u00adt\u00e4t zur\u00fcck. Das stellt, sofern die Zugangs\u00adda\u00adten sicher ver\u00adwahrt wer\u00adden, sicher, dass die\u00adses Netz\u00adwerk gesamt der Per\u00adson hin\u00adter der \u201evir\u00adtu\u00adel\u00adlen Iden\u00adti\u00adt\u00e4t\u201c geh\u00f6rt. W\u00e4h\u00adrend Key\u00adba\u00adse, auf das im Fol\u00adgen\u00adden nicht wei\u00adter ein\u00adge\u00adgan\u00adgen wer\u00adden soll, hier\u00adf\u00fcr auf klas\u00adsi\u00adsche Web\u00adpro\u00adfi\u00adle setzt, ist Key\u00adoxi\u00adde aus jeden\u00adfalls Daten\u00adschutz\u00adsicht ele\u00adgan\u00adter kon\u00adzi\u00adpiert: Die \u201evir\u00adtu\u00adel\u00adle Iden\u00adti\u00adt\u00e4t\u201c ist der eige\u00adne GnuPG-Schl\u00fcs\u00adsel (die eige\u00adne Pro\u00adfil\u00adadres\u00adse ist also https:\/\/keyoxide.org\/[Fingerabdruck]<\/tt>, wobei man die\u00adse sicher\u00adlich auch als Wei\u00adter\u00adlei\u00adtung einer eige\u00adnen Sub\u00addo\u00admain ver\u00adein\u00adfa\u00adchen k\u00f6nn\u00adte).<\/p>\n

Das hat den Vor\u00adteil, dass es einen wei\u00adte\u00adren Anlass gibt, end\u00adlich<\/em> einen GnuPG-Schl\u00fcs\u00adsel zur eige\u00adnen Mail\u00adadres\u00adse zu haben, damit man theo\u00adre\u00adtisch ver\u00adschl\u00fcs\u00adsel\u00adte und\/oder signier\u00adte E\u2011Mails sen\u00adden und emp\u00adfan\u00adgen kann, ohne irgend\u00adje\u00adman\u00addem gr\u00f6\u00ad\u00dfe\u00adre Pro\u00adble\u00adme zu berei\u00adten als unbe\u00addingt not\u00adwen\u00addig. Um bei Key\u00adoxi\u00adde mit\u00adzu\u00adma\u00adchen<\/em>, sind also drei Schrit\u00adte not\u00adwen\u00addig:<\/p>\n

    \n
  1. Einen GnuPG-Schl\u00fcs\u00adsel haben (oder anle\u00adgen),<\/li>\n
  2. die\u00adsem Schl\u00fcs\u00adsel im Rein\u00adtext in einer eige\u00adnen Datei oder als \u201eNota\u00adtio\u00adnen\u201c direkt im Schl\u00fcs\u00adsel alle Onlin\u00adei\u00adden\u00adti\u00adt\u00e4\u00adten hin\u00adzu\u00adf\u00fc\u00adgen, die man in der \u201evir\u00adtu\u00adel\u00adlen Iden\u00adti\u00adt\u00e4t\u201c zusam\u00admen\u00adf\u00fch\u00adren m\u00f6ch\u00adte (sp\u00e4\u00adte\u00adre \u00c4nde\u00adrun\u00adgen sind recht ein\u00adfach m\u00f6g\u00adlich),<\/li>\n
  3. den Schl\u00fcs\u00adsel auf einem Schl\u00fcs\u00adsel\u00adser\u00adver oder in einem eige\u00adnen Web Key Direc\u00adto\u00adry<\/a> und, falls in Schritt 2 aus\u00adge\u00adw\u00e4hlt, die mit ihm ver\u00adschl\u00fcs\u00adsel\u00adte Rein\u00adtext\u00adda\u00adtei irgend\u00adwo anders ver\u00ad\u00f6f\u00adfent\u00adli\u00adchen.<\/li>\n<\/ol>\n

    Weil ich faul, aber auch sicher\u00adheits\u00adbe\u00adwusst bin, habe ich mich f\u00fcr Nota\u00adtio\u00adnen (bei Key\u00adoxi\u00adde habe ich dann ein \u201eOpenPGP-Pro\u00adfil\u201c) und einen Schl\u00fcs\u00adsel\u00adser\u00adver ent\u00adschie\u00adden. Das geht so:<\/p>\n

    1. Schl\u00fcs\u00adsel haben (oder anle\u00adgen)<\/u><\/b><\/p>\n

    Man neh\u00adme<\/em> Platz und anschlie\u00ad\u00dfend eine GnuPG-Instal\u00adla\u00adti\u00adon (unter Win\u00addows etwa Gpg4win<\/a>, unter ande\u00adren Syste\u00admen ist GnuPG oft bereits instal\u00adliert oder im system\u00adei\u00adge\u00adnen Paket\u00adma\u00adna\u00adger zu fin\u00adden). Mit Kleo\u00adpa\u00adtra gibt es eine ver\u00adn\u00fcnf\u00adti\u00adge<\/em> gra\u00adfi\u00adsche Ober\u00adfl\u00e4\u00adche f\u00fcr GnuPG-Schl\u00fcs\u00adsel\u00adver\u00adwal\u00adtung, aber da die \u201eNota\u00adtio\u00adnen\u201c ziem\u00adlich leicht per Kom\u00adman\u00addo\u00adzei\u00adle ver\u00adwal\u00adtet wer\u00adden k\u00f6n\u00adnen, ergibt es durch\u00adaus Sinn, kon\u00adse\u00adquent bei Text\u00adbe\u00adfeh\u00adlen zu blei\u00adben. GnuPG ist eines die\u00adser Pro\u00adgram\u00adme, die ohne<\/em> gra\u00adfi\u00adsche Ober\u00adfl\u00e4\u00adche irgend\u00adwie effi\u00adzi\u00aden\u00adter<\/em> zu nut\u00adzen zu sein schei\u00adnen. Das Anle\u00adgen eines neu\u00aden Schl\u00fcs\u00adsels funk\u00adtio\u00adniert so mit dem Befehl gpg<\/tt>:<\/p>\n

    gpg --gen-key<\/pre>\n
    Der erzeug\u00adte Schl\u00fcs\u00adsel (\u00f6ffent\u00adlich und<\/em> pri\u00advat \u2013 mit dem \u00f6ffent\u00adli\u00adchen Schl\u00fcs\u00adsel wird ver\u00adschl\u00fcs\u00adselt, mit dem pri\u00adva\u00adten ent\u00adschl\u00fcs\u00adselt) soll\u00adte danach unbe\u00addingt irgend\u00adwo gesi\u00adchert wer\u00adden, bevor\u00adzugt au\u00dfer\u00adhalb des erzeu\u00adgen\u00adden Com\u00adpu\u00adters. GnuPG-f\u00e4hi\u00adge Mail\u00adpro\u00adgram\u00adme k\u00f6n\u00adnen den neu\u00aden Schl\u00fcs\u00adsel im \u00dcbri\u00adgen auch nut\u00adzen, um mit ihm Mails zu ver\u00adschl\u00fcs\u00adseln. Die Ein\u00adrich\u00adtung von Key\u00adoxi\u00adde ist inso\u00adfern auch eine gute Aus\u00adre\u00adde f\u00fcr digi\u00adta\u00adle Selbst\u00adver\u00adtei\u00addi\u00adgung: Wenn\u2019s halt schon mal da ist.<\/p>\n
    2. Iden\u00adti\u00adt\u00e4\u00adten als Nota\u00adtio\u00adnen hin\u00adzu\u00adf\u00fc\u00adgen<\/u><\/b><\/p>\n
    Der neu erstell\u00adte Schl\u00fcs\u00adsel hat einen Fin\u00adger\u00adab\u00addruck, den ich sich zu mer\u00adken emp\u00adfeh\u00adle, denn er ist \u2013 im For\u00admat openpgp4fpr:[Fingerabdruck]<\/tt> \u2013 der URI der neu\u00aden Key\u00adoxi\u00adde-Iden\u00adti\u00adt\u00e4t. Es han\u00addelt sich um eine alpha\u00adnum\u00adme\u00adri\u00adsche Zei\u00adchen\u00adket\u00adte, zu fin\u00adden ist sie in Kleo\u00adpa\u00adtra per Dop\u00adpel\u00adklick auf den neu\u00aden Schl\u00fcs\u00adsel, auf der Kom\u00adman\u00addo\u00adzei\u00adle hin\u00adge\u00adgen eben\u00adfalls per gpg<\/tt>:<\/p>\n
    gpg --list-keys<\/pre>\n
    Die\u00adser Schl\u00fcs\u00adsel muss nun edi\u00adtiert und um Nota\u00adtio\u00adnen erg\u00e4nzt wer\u00adden:<\/p>\n
    gpg --edit-key [Fingerabdruck]\ngpg><\/pre>\n
    Soll\u00adte es sich um einen bereits vor\u00adhan\u00adde\u00adnen (kom\u00adple\u00adxen) Schl\u00fcs\u00adsel han\u00addeln, so soll\u00adte hier noch die Stan\u00addar\u00addiden\u00adti\u00adt\u00e4t aus\u00adge\u00adw\u00e4hlt wer\u00adden (anson\u00adsten kann die\u00adser Teil \u00fcber\u00adsprun\u00adgen wer\u00adden):<\/p>\n
    gpg> list\ngpg> uid 1    # oder 2, 3, ...<\/pre>\n
    Nun k\u00f6n\u00adnen belie\u00adbig vie\u00adle Iden\u00adti\u00adt\u00e4\u00adten hin\u00adzu\u00adge\u00adf\u00fcgt wer\u00adden. Der Ablauf ist jeweils wie folgt: Zun\u00e4chst wird der Fin\u00adger\u00adab\u00addruck, am ein\u00adfach\u00adsten im URI-For\u00admat openpgp4fpr:[Fingerabdruck]<\/tt>, den jewei\u00adli\u00adgen Platt\u00adfor\u00admen (Key\u00adoxi\u00adde unter\u00adst\u00fctzt neben Twit\u00adter und Mast\u00ado\u00addon unter ande\u00adrem auch die Veri\u00adfi\u00adka\u00adti\u00adon von Domains, IRC und Tele\u00adgram) bekannt  gemacht. Auf Twit\u00adter geht das zum Bei\u00adspiel, indem man ihn als Tweet ver\u00ad\u00f6f\u00adfent\u00adlicht.<\/a> Die Adres\u00adse die\u00adses Tweets wird dann als Nota\u00adti\u00adon dem GnuPG-Schl\u00fcs\u00adsel ange\u00adh\u00e4ngt:<\/p>\n
    gpg> notation\nproof@ariadne.id=https:\/\/twitter.com\/tux0r\/status\/1592221990970167296<\/pre>\n
    Der Ablauf f\u00fcr Mast\u00ado\u00addon ist so \u00e4hn\u00adlich<\/a>, aller\u00addings gen\u00fcgt dort das Aus\u00adf\u00fcl\u00adlen eines Pro\u00adfil\u00adfel\u00addes. Wenn alle Nota\u00adtio\u00adnen hin\u00adzu\u00adge\u00adf\u00fcgt wor\u00adden sind (Edi\u00adtie\u00adren und L\u00f6schen<\/a> geht auch sp\u00e4\u00adter noch), muss der Schl\u00fcs\u00adsel gespei\u00adchert wer\u00adden:<\/p>\n
    gpg> save<\/pre>\n
    3. Ver\u00ad\u00f6f\u00adfent\u00adli\u00adchen = Pro\u00adfil anle\u00adgen<\/u><\/b><\/p>\n
    Als \u00f6ffent\u00adli\u00adchen Ort f\u00fcr den neu\u00aden Schl\u00fcs\u00adsel emp\u00adfiehlt<\/a> der Key\u00adoxi\u00adde-Ent\u00adwick\u00adler momen\u00adtan keys.openpgp.org<\/em>, also ist er nun dort hoch\u00adzu\u00adla\u00adden:<\/p>\n
    gpg --keyserver hkps:\/\/keys.openpgp.org --send-keys [Fingerabdruck]<\/pre>\n
    Falls dies das erste Mal ist, dass der Schl\u00fcs\u00adsel auf die\u00adsen Schl\u00fcs\u00adsel\u00adser\u00adver hoch\u00adge\u00adla\u00adden wird, wird die beim Anle\u00adgen des Schl\u00fcs\u00adsels ange\u00adge\u00adbe\u00adne E\u2011Mail-Adres\u00adse (die daf\u00fcr nat\u00fcr\u00adlich stim\u00admen soll\u00adte) nun eine E\u2011Mail zur Best\u00e4\u00adti\u00adgung erhal\u00adten. Den Anwei\u00adsun\u00adgen in die\u00adser E\u2011Mail emp\u00adfeh\u00adle ich Fol\u00adge zu lei\u00adsten, sonst wird der Schl\u00fcs\u00adsel nicht gefun\u00adden wer\u00adden und das w\u00e4re nat\u00fcr\u00adlich<\/em> albern. War alles erfolg\u00adreich, so kann das Key\u00adoxi\u00adde-Pro\u00adfil schon \u00fcber den Web\u00adbrow\u00adser auf\u00adge\u00adru\u00adfen und irgend\u00adwo ver\u00adlinkt wer\u00adden. Mei\u00adnes ist zum Bei\u00adspiel hier.<\/a><\/p>\n
    All das<\/em> ver\u00adschafft zwar kei\u00adnen Edi\u00adtier\u00adknopf auf Twit\u00adter, kostet daf\u00fcr aber auch kei\u00adne 8 US-Dol\u00adlar<\/a>; eine, wie ich fin\u00adde, ange\u00admes\u00adse\u00adne Ein\u00adschr\u00e4n\u00adkung. Viel\u00adleicht ist all das<\/em> ja f\u00fcr irgend\u00adwen von Nut\u00adzen.<\/p>\n","protected":false},"excerpt":{"rendered":"
    Aus den fal\u00adschen Gr\u00fcn\u00adden gera\u00adde wie\u00adder in der Dis\u00adkus\u00adsi\u00adon ist die Fra\u00adge, wie man eigent\u00adlich sicher\u00adstel\u00adlen k\u00f6n\u00adne, dass jemand der ist, der er irgend\u00adwo im Inter\u00adnet zu sein behaup\u00adtet. Daf\u00fcr k\u00f6nn\u00adte man sicher\u00adlich irgend\u00adwas mit dem \u201eelek\u00adtro\u00adni\u00adschen Per\u00adso\u00adnal\u00adaus\u00adweis\u201c nut\u00adzen, den aller\u00addings nie\u00admand, der noch bei Trost ist, akti\u00adviert haben soll\u00adte; statt\u00addes\u00adsen scheint mir Key\u00adoxi\u00adde eine \u2026<\/p>\n
    \u2018Key\u00adoxi\u00adde: Die digi\u00adta\u00adle Iden\u00adti\u00adt\u00e4t\u2019 wei\u00adter\u00adle\u00adsen \u00bb<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"wp_typography_post_enhancements_disabled":false,"activitypub_content_warning":"","activitypub_content_visibility":"","activitypub_max_image_attachments":3,"activitypub_interaction_policy_quote":"anyone","activitypub_status":"","footnotes":""},"categories":[19],"tags":[],"series":[],"class_list":["post-20359","post","type-post","status-publish","format-standard","hentry","category-nerdkrams"],"share_on_mastodon":{"url":"https:\/\/social.tchncs.de\/@hirnfick_20\/110232863815176196","error":""},"wp-worthy-pixel":{"ignored":false,"public":"466eb86d5edf4aed8a68d817fc30f656","server":"vg07.met.vgwort.de","url":"https:\/\/vg07.met.vgwort.de\/na\/466eb86d5edf4aed8a68d817fc30f656"},"wp-worthy-type":"normal","_links":{"self":[{"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/posts\/20359","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/comments?post=20359"}],"version-history":[{"count":0,"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/posts\/20359\/revisions"}],"wp:attachment":[{"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/media?parent=20359"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/categories?post=20359"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/tags?post=20359"},{"taxonomy":"series","embeddable":true,"href":"https:\/\/tuxproject.de\/blog\/wp-json\/wp\/v2\/series?post=20359"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}