Ok, das heißt ein key server hat nichts mit der pgp Verschlüsselung zu tun? Für welche Verschlüsselung sind sie notwendig?
Die haben mit der Verschlüsselung an sich nichts zu tun. Es wäre wirklich sinnvoll, wenn du GnuPG/Web of Trust und GnuPG/Technischer Hintergrund liest und verstehst.
PGP erzeugt ein Schlüsselpaar, einen öffentlichen und einen geheimen Schlüssel. Was mit dem einen Schlüssel verschlüsselt wurde kann mit dem anderen Schlüssel wieder entschlüsselt werden. Den öffentlichen Schlüssel kannst du beliebig an die Öffentlichkeit verteilen. Alle können dann an dich verschlüsseln und sicher sein, das nur du mit dem dazugehörigen geheimen Schlüssel die Nachricht lesen kannst. Umgekehrt kannst du mit deinem geheimen Schlüssel etwas verschlüsseln und jeder kann das mit deinem dazugehörigen öffentlichen Schlüssel entschlüsseln und lesen – das nennt man eine Signatur, weil nur du mit dem geheimen Schlüssel in der Lage warst etwas so zu verschlüsseln, dass es mit deinem öffentlichen Schlüssel gelesen werden kann.
Natürlich muss man dazu Vertrauen aufbauen. Du musst irgendwie Kontakt aufnehmen und dir persönlich bestätigen lassen, dass ein Schlüsselpaar wirklich der Person gehört. Nur weil da ein Name oder eine E-Mail drin steht muss das ja nicht stimmen. Oder andere Personen (mehrere) denen du schon traust haben den Schlüssel signiert und deshalb kannst du wahrscheinlich sicher sein, den richtigen Schlüssel zu haben. (Siehe Web of Trust)
Schlüssel verlieren auch nie ihre Gültigkeit. Solange du deinen geheimen Schlüssel hast kannst du immer alle Nachrichten aus der Vergangenheit entschlüsseln, für die dieser Schlüssel passt. Einen öffentlichen Schlüssel kannst du auch nicht ungültig machen oder zurückziehen (auch wenn das so heißt) – du kannst den höchstens als „Bitte nicht mehr verwenden“ markieren; dazu wird eine entsprechende Notiz mit einer Signatur von deinem geheimen Schlüssel angehängt.
Nichts davon braucht einen Keyserver. Aber wenn dir jemand eine verschlüsselte Nachricht senden will muss der erstmal deinen öffentlichen Schlüssel haben. In diesem Sinne fungieren die Keyserver als Telefonbuch für PGP Schlüssel. Man kann sie nach einer E-Mail durchsuchen und der Server wird mit den Schlüsseln antworten die für diese Adresse hinterlegt sind. usw. Oder wenn man deinen öffentlichen Schlüssel hat und wissen möchte ob der Schlüssel noch gültig ist, oder ob neue E-Mailadressen hinzugefügt wurden usw. dann kann man auf dem Keyserver nach aktualisierungen suchen. So musst du nicht jede Änderung an alle deine Kontakte manuell verteilen.
Der wichtige Punkt hier ist: von einem Keyserver wird nie etwas gelöscht. Du kannst höchstens neue Informationen hinzufügen, zum Beispiel ein Widerrufs-Zertifikat („Bitte nicht mehr verwenden” Notiz), da du aber deinen geheimen Schlüssel gelöscht hast, kannst du diese Notiz nicht mehr erstellen und signieren.
Könntest du signaturen fälschen, oder den geheimen Schlüssel irgendwie auf einfachem Wege wieder herstellen, würde das ganze System zusammenbrechen. Es ist mathematisch möglich einen geheimen Schlüssel wieder zu errechnen, aber mit aktuellen Computern, selbst wenn alle computern weltweit gleichzeitig daran arbeiten würden … du wärst lange Tot, bevor eine Antwort da wäre, das ist ein „Alter des Universums“-Problem.
~jug
