Schritt 1: Einleitung, oder: Wenn der "Man in the Middle" zuschlägt

Leider ist das PGP-System in einem Punkt verwundbar: trotz aller Schritte, die Sie bisher getan haben, um Ihre Nachrichten sicher und anonym zu versenden, können Sie dennoch nicht vollkommen sicher sein, dass Sie den echten öffentlichen Schlüssel Ihres Kommunikationspartners besitzen.

Wie ist das überhaupt möglich?

Es könnte beispielsweise sein, dass ein Fälscher einen öffentlichen Schlüssel unter einer sehr ähnlichen Adresse auf dem Schlüsselserver hochgeladen hat.

Selbst wenn Sie Ihren öffentlichen Schlüssel als Mailanhang an Ihren Kommunikationspartner senden, besteht die Gefahr, dass Ihre E-Mail auf dem Weg von einer Person (oder in den meisten Fällen einem Programm - in der Fachsprache auch als "Man in the Middle" bezeichnet) abgefangen wird. Dieser tauscht heimlich Ihren Schlüssel, nennen wir ihn "S1", gegen einen anderen Schlüssel "S2" aus. Ihr Kommunikationspartner erhält die E-Mail mit dem falschen Schlüssel S2, geht aber natürlich davon aus, dass dies Ihr tatsächlicher Schlüssel ist. Folglich wird er auch S2 benutzen, um eine Nachricht an Sie zu chiffrieren. Die mit S2 verschlüsselte Nachricht wird dann wiederum vom "Man in the Middle" abgefangen und der ist nun in der Lage, diese bequem zu entschlüsseln und mitzulesen. Damit Sie jedoch von dem Prozess nichts merken, tauscht er S2 wieder gegen S1 um, bevor er die E-Mail an Sie weiterleitet. So können vermeintlich verschlüsselte Konversationen von einem Dritten mitverfolgt werden, ohne dass einer der Kommunikationspartner etwas davon mitbekommt.

Was kann man dagegen tun?