Option888 – keine Auszahlung


Ich wollte eigentlich auch einen Gegencheck, weil es natürlich auch interessant ist, einen steuereinfachen ETF als Sparplan zu wählen, um nicht unnötig viel Papierkram durch Doppelbesteuerungen, Rückforderungen mit Einkommenssteuererklärung auf Kapitalerträge usw. Eine Gefahr besteht jedoch darin, dass der Anbieter pleitegeht, in welchem Fall man sein Geld verliert. So weist Sie der Compiler darauf hin, dass Sie etwas unschön geschrieben haben oder mehr als nötig, dass er etwas anders auffasst, als Sie es vermutlich gemeint haben, und so weiter.

2.Führungspersönlichkeit


Richtig skrupellos und hinterlistig. Damit alle, die vielleicht damit spekulieren, hier mal Geld zu investieren kurz zusammengefasst die Tricks: Dann folgt der nächste Anruf des nächsten skrupellosen Betrügers, der auf den ersten Trader schimpft und mit Ihnen die Verluste wieder wettmachen will.

Dieses Szenario kann sich je nach Leichtgläubigkeit auch mit mehreren Personen wiederholen. Besonders warnen möchte ich vor folgenden Personen: Bonus — bitte ja nie einen Bonus von jemanden anderen annehmen oder sogar selbst annehmen.

In den AGB steht zwar, dass der Bonus 40mal umgesetzt werden muss. Was aber in den AGB nie steht es wird immer auf die Bonusbedingungen verwiesen, diese sind aber nirgends zu finden ist die Tatsache, dass kein Geld ausgezahlt wird, wenn der Bonus nicht umgesetzt wurde. Was aber nie möglich ist, da jeder Verlust vom eingezahlten Geld weggerechnet wurde, jeder Gewinn aber als Gewinn des Bonus definiert wurde. Mein Konto war einmal auf Effektives Geld davon waren aber nur lediglich Euro. Alles andere war Gewinn des Bonus und das zahlen die nie aus.

Einen Trade gesetzt und im gleichen Moment ohne einen Mausklick wurde der Trade abgebrochen mit einem Minus von 6. Die Beschwerde endete mit der Aussage: Seit Wochen kein Anruf mehr gekommen. Natürlich Support nichts erreicht und alle Berater waren plötzlich nicht mehr da.

Wenn man gut tradet finden die immer eine Möglichkeit, dir das Geld abzunehmen. Also bitte an alle: Ich werde auf jeden Fall an alle Behörden und Kontrollorgane nun Beschwerdebriefe schicken, denn es kann doch nicht sein, dass so eine skrupellose Gaunerbande länger am Markt ihr Unwesen treibt. Wenn wer noch eine gute Idee hat oder vielleicht schon Erfolg in einer Anzeige oder ähnliches hat, bitte hier posten.

Ich habe eine Rückzahlung beantragt, dann keinen Zugriff mehrNach mehreren Mails hat letzte Woche mich der Support angeschrieben, dass die Rückzahlung schon erfolgt sein sollte. Ich werde vermutlich nächste Woche eine Rückmeldung meiner Bank bekommen. Was ich vielleicht beitragen kann ist ,man hat das Geld zu denen doch über eine Bank in Deutschland geschickt in meinem Fall sogar über die Sparkasse.

Es kann doch nicht sein das seriöse deutsche Bankhäuser solchen Betrügern helfen und wir ohnmächtig zusehen. Vielleicht muss man versuchen über diesen Weg den Sumpf trockenzulegen und diesen Betrügern das Handwerk zu legen. Bei Anzeigen oder anderswie hat man doch einen Ermittlungsansatz mit diesen Adressen der Banken und diese angebenen Firmen sind laut google zumindestens existent also wir müssen angreifen ,wir leben in Deutschland nicht in Samoa.

Habe sehr viel Geld verloren und mich inzwischen damit abgefunden, dass auf dem normalen Weg kein Geld von Option zu holen ist. Oder kennt jemand eine Kanzlei, die im Bank- u. Kapitalmarktrecht profiliert ist u. Bitte meldet Euch, denn diesen Betrüger muss das Handwerk gelegt werden. Über den vorhandenen Verbraucherschutz könnte evtl. Also bleibt nur die Menschen zu warnen vor Option, und darüber auf zu klären wie die mit Kunden verfahren…. Für Sammelklagen bin ich gerne mit dabei….!!! Es geht nicht nur um mögliche Verluste die sind in diesem Finanzsegment sehr schnell und hoch möglich , sondern um die Betreuung durch die Mitarbeiter.

Kaum Angemeldet und den ersten Betrag überwiesen, kann das Handeln losgehen. Investitionen wurden nur mit Halbwissen getätigt. Ich will mindestens Da begann der Kampf erst richtig. Jedes mal wurde eine andere mit Rechtschreibfehlern gespickte Mail geschickt. Heute nun kann ich mich gar nicht mehr anmelden. Ist nicht das erste Mal!!! Lassen Sie die Finger von diesem Anbieter! Suchen Sie sich niedergelassene Anbieter und handeln Sie spekulativ, aber vertrauenswürdig. Hallo Horst, ebenso habe ich viel Geld durch die Betrugsmasche verloren.

Ich habe gegen die Figuren Strafanzeige gestellt — das darf nicht ungestraft weitergehen. Das investierte Kapital wird regelrecht gegen die Grundsätze und Bestimmungen der Geschäftsbedingungen für die Kunden vernichtet. Die Geschäftsleitung ohne Namen reagiert nicht und gibt keine Antwort. In Frankfurt gibt es keine bekannte Adresse. Sollte jemand dieses Büro benennen können so wäre das hilfreich für die Ermittlungen. Die Anzeige wird deutschlandweit, so der Strafermittler verbreitet.

Auch ich bin zwischen Okt. Habe mich gleich an die Staatsanwaltschalft gewandt ……. Untersuchungen seien zwecklos, würden nicht zum Erfolg führen. Ich nehme selbstverständlich an einer Sammelklage teil.

Was schreibt Ihr denn da für einen unglaublich verleumderischen Stuss!? Macht Euch mal schlau, die ihr das schreibt! Google nutzen hilft vielleicht! Es stürmen wohl nun sehr viele Übervorteilte auf einmal hinzu…. Normal sollte es eine Sammelklagemöglichkeit wie in den USA auch hier geben! Das ist aber nicht annähernd so möglich, oder? Reklamationen bleiben bei Option negiert! Ich bin Frühpensionist schon in jungen Jahren u habe nur sehr geringe Einnahmen, das ist so unerhört, ich hätte es ahnen müssen, mein Bauchgefühl stimmte, aber ich achtete nicht drauf!

Hier mein Fall, den ich dort hinterlegte, nachdem die online-Institution Reclabox den Fall gar nicht veröffentlichte mal wieder führte ich es darüber aus, publik zu machen:. Natürlich sind alle unsere Rechtsanwälte bei den zuständigen Rechtsanwaltskammern in Hamburg oder München zugelassen. Die Zulassung bei der Rechtsanwaltskammer ist in Deutschland Voraussetzung, um sich als Rechtsanwalt bezeichnen zu dürfen und als solcher tätig werden zu können.

Hallo, Ich schreibe hier als Freund betroffener Freunde die bei diesem System auch eine Mengen an Federn gelassen haben. Ich möchte mich hier nicht ausheulen und jammern. Ich habe immer noch ein Bonuskonto von über EUR doch da wird nichts ausbezahlt. Ich bin nervlich am Ende und habe nichts mehr.

Hat jemand einen Rat? Jetzt wollen Sie ab Dan wollte ich etwas auszahlen lassen aber das war nicht möglich, denn man hat mir nach wochenlangem hin und her schreiben mitgeteilt, dass durch mein Bonus, welchen ich weder wollte noch mir gesagt wurde, keine Auszahlung haben könnte da der Betrag 30 mal umgedreht werden müsste.

Nun versucht ein gewisser Herr Gambini mich zu überreden weitere 5. Es ist ganz sicher, dass es sich hier um Betrug handelt und das Geld wahrscheinlich nicht verwendet wurde sonder direkt in die eigene Tasche gesteckt. Ich glaube kaum, dass es eine Chance gibt wieder an Ihr Geld zu kommen es sind Betrüger, versuchen Sie es mit einer Anzeige ich bin gerne bereit als Zeuge aufzutreten. Mit der offiziellen Mitteilung, dass Option ab 1.

Es ist unfair, dass man nur noch paar Tage Zeit hat, um offene Bonusse umzusetzen, ansonsten sie verfallen! Und auch wenn man sie umsetzen würde, wäre die Auszahlung immer noch nicht sicher. Was für ein grosser Tisch, über den man da geschleift wird…. Auch ich gehöre zu den Geschädigten Kunden- gestern Abend bin ich von Herrn Jung genötigt worden noch einmal Geld einzuzahlen um einen guten Gewinn zu machen- tja das Geld ist weg.

Jetzt hoffe ich, wie alle hier auf die Anwälte. Auch ich gehöre zu den Geschädigten dieser Gesellschaft: Man fühle nicht zuständig. Es mag sich ein jeder denken, was er will. Einer möglichen Sammelklage würde ich gern beitreten. Ich bin auch in einer Sammelklage dabei.

Mich trifft es all dies zu. Möchte mein eingezahltes Geld wieder haben. Auch ich bin bei der Sammelklage dabei, den Leuten muss das Handwerk gelegt werden, wie funktioniert die Sammelklage?

Was muss ich tun? Dann 2 Wochen später rief mich ein Herr Pezzoni an. Er würde gerne mein Konto übernehmen, da Frau Davies angeblich Autounfall hatte und wurde deshalb für eine lange Zeit ausfallen! Dann war er irgendwie aufdringlich und wollte, dass ich noch mehr Geld einzahle. Na Gott sei Dank habe ich das nicht gemacht! Bis jetzt bin ich immer noch im Minus!!! Ich fand es sogar unverschämt das Herr Pezzoni sich danach nicht mehr gemeldet hat! Dann hat sich ein Herr Angelo Cogodda bei mir gemeldet, wegen Fall Herr Pezzoni, ich konnte aber nicht am Telefon rangehen, da ich ja in der Arbeit war.

Dann ging es nur per EMail, dass er mich zurückrufen würde. Herr Cogodda hat mich aber nicht an dem vereinbarten Tag zurückgerufen, sondern nur an dem Tag an dem ich nicht rangehen konnte.

Was für eine Schande! Was macht denn die Polizei bei solchen Sachen. Wieso könnte man diese Leute nicht erwischen! Staatsanwaltschaft München 1 ermittelt. Nun hätte ich gern erfahren wer es besser weiss und mir neues berichtet und oder —. Hallo Carmen scheint die Kanzlei auch ein Fake zu sein? Hätte auch gerne mein Geld zurück. Bitte auf dem laufenden halten falls die kanzlei sich mal meldet. Seit alle stark und tut endlich etwas als nur hier frust zusteigern…für alle!!!!

Die stecken alle unter einer Decke! Bei mir hört sich der Herr Pezzoni am Telefon wie ein Inder an. Vielen Dank für Ihre Kommentare. Wir werden diese so schnell als möglich bearbeiten. Hallo Carmen, ja da hast du wohl Recht. Keiner antwortet Dir auf die Frage nach Erfolg im Rechtsstreit. Scheint nur eine Frustseite zu sein..

Ob die Antwort vom Oder hat sich bei Dir mittlerweile was getan? Hallo heute habe ich Post von der Kanzlei erhalten,na mal schauen was jetzt passiert.

Macht ja keiner was umsonst und deutsche Rechtsschutzversicherer decken das nicht mit ab. Hallo Ralf, habe nach einen langen Kampf einen Tel. Hallo Carmen, toll das Du jetzt einen Termin hast aber Das wäre ja nicht lustig dann passiert ja dieses Jahr nichts mehr und die sind über alle Berge. Na bin gespannt wann sich bei mir wieder jemand meldet. Wäre schön wenn Du mir das Ergebnis mal schreibst. Habe mich dort heute angemeldet und dann Hat sich Herr Novak am Telefon gemeldet ich soll überweisen und Ihm den Nachweis schicken dass ich die Überweisung gemacht habe.

Für Ihre Bemühung bedanke ich mich im voraus. Auch ich bin eine Geschädigte. Ich investierte zunächst nur 1. Wurde dazu verleitet, mehr Geld einzusetzen. Insgesamt riskierte ich Beim letzten All-in ging dann das gesamte Geld verloren.

Dann bot sich ein Angelo C. Cogodda angeblich ein Vorgesetzter von Herrn Jung an, mit einem Investment von Euro würde er mir die Verluste innerhalb von 4 — 6 Wochen zurückerwirtschaften. Nun recherchierte ich erneut über Option und fand zahlreiche Kommentare von abgezockten Kunden.

Ich konsultierte die Börsenaufsicht in Zypern. Dort sind die nicht als Broker angemeldet. Danach 1 Trade alles verloren. Auch ich gehöre zu den Geschädigten im fünfstelligen Bereich. Mit den aufgelaufenen Gewinnen betrug mein Guthaben ca. Und das mit Trades, die: Nie eine Vollmacht für den sog. Alles schriftlich oder per telefonischer Aufzeichnung festhalten!

Vor Allem, dass man immer höher investieren sollte. Am Besten ein Verbot dafür schriftlich erteilen. Gewinne nach 2 bis 3 Trades sofort auszahlen lassen. Dauert sowieso bis zu 4 Wochen. Keine Trades mit höher als 5 bis 10 Prozent seines Kontostandes zulassen. Es ist schon sonderbar und verrückt, dass das eingezahlte Kapital auf ein Konto des jeweiligen Players geht und man gar nicht weis, in welche dunkle Kanäle das Geld gelagert wird. Man hat überhaupt keinen Zugriff auf sein eigenes Kapital.

Habe n u r schlechte Erfahrungen damit gemacht. Mir ist so zu sagen alles das passiert was hier vorgetragen wird. Ich kann nicht mehr trailen und ein gewisser Hr. Schneider und ein gewisser Hr. Morelli was meiner Ansicht nach ein und die selbe Person sind haben mir alles mögliche versprochen.

Nach mehrmaliger Aufforderung mein Geld zurück zu bekommen hat sich nichts getan. Keine Person ist zu erreichen. Ich hoffe immer noch das ich mein Geld zurück bekomme. Hallo Herr Helmut,geht mir genau so.

Ich hatte mit den selben Herren zu tun. Würde auch gerne um mein Geld mit kämpfen. Gibt es einen Antwort oder einen Kommentar der Herfurtner Rechtsanwälte oder hatte schon jemand Kontakt? Dazu meine Erfahrungen zu einem Trade vom Nun habe ich offensichtlich alles verloren. Ich trug im mittleren Fenster die ein. Es öffnete sich rechts oben ein Fenster in welchem der Trade abgewiesen wurde. Sie baten um Geduld um etwas zu korrigieren.

Wieder öffnete sich oben rechts das Fenster und wieder erfolgte eine Ablehnung der Order. Sie baten noch einmal um Geduld mit dem Hinweis ich sollte unbedingt am Telefon bleiben. Dann unternahmen wir den dritten Versuch, oben rechts öffnete sich das Fenster und es erfolgte endlich die Bestätigung, welche ich Ihnen mitteilte.

Nun schien alles in Ordnung. Sie verabschiedeten sich und beendeten das Gespräch. In diesem Augenblick bemerkte ich, dass der Trade nicht im unteren mittleren Fenster sichtbar war. Danke schonmal und LG!

Was genau fehlt dir denn, bzw. Vermutlich wirds schon passen. Damit verringert sich eben die effektive Steuerbelastung auf 16,5 Prozent. Danke für die Aufklärung. Und wenn ich dann meine Wertpapiere mit Gewinn Verkauf: Noch eine Anmerkung aus der Praxis: Auch bei ausschüttenden Fonds kann es zu einer Steuerforderung unabhängig von der Dividenendenauszahlung kommen. Dann nämlich wenn eine Umschichtung im Index vorgenommen wird und demnach Aktien vom Fonds verkauft werden und andere gekauft werden.

Dabei im Fonds realisierte Gewinne sind steuerpflichtig, genauso wie wenn man selbst diese Aktien mit Gewinn verkauft hätte. Hallo, in obiger Formel zum zu versteuernden Gewinn hat sich m. Sehr aufmerksam, ich habe dies nun korrigiert bzw. Vor die nicht berücksichtigten ausschüttungsgleiche Erträge muss m. Denn sonst würden diese den zu versteuernden Gewinn und somit die KESt ja erhöhen statt zu erringern.

Hallo, dank der wirklich erstklassigen Artikel hier verstehe ich nun glaube ich zumindest wie Ausschüttungen bzw AgE und realisierte Kursgewinne zu versteuern sind und wie realisierte Verluste innerhalb des selben Kalenderjahres gegengerechnet werden können. Was ich aber nocg nicht verstehe ist das Thema Quellensteuer und wann ich diese ggf wie rückfordern kann.

Wäre toll, wenn das nochmal etwas deraillierter inkl Beispielen verdeutlicht werden könnte. Danke für die Gedankenanregung. Ich habe es bisweilen selbst noch nie gemacht, weil der Aufwand und die Kosten sich hierfür nicht auszahlen.

Sind für mich bisher Sunk Costs, werde dafür aber mal eine eigene Seite darüber machen. Macht man dies selbst, so zahlt es sich ab ca.

Benötigt man einen Steuerberater dazu, zahlt es sich erst deutlich später aus, denn dieser greift hier nochmals zu und so kommen wohl nochmals zwischen bis Euro je Einzelposition dazu. Sie sehen, dass es sich ab einer wirklich sehr hohen Dividendenzahlung bezahlt macht, all die Mühen einzugehen. Hallo Manfred, Soweit ich mich erinnere gibt es beim Thema ausländischer Quellensteuern zwei Aspekte 1 Rückerstattung der ausländischen Quellensteuer im Herkunftsland.

Diese Länder haben die besten internationalen Abkommen zur Quellensteuer-Rückerstattung. Von dort holen sich die inländischen Broker diese Informationen und berechnen daraus die zu bezahlende KESt. Meines Wissens versteuert z. Anders sieht es natürlich bei Brokern im Ausland aus und wenn du nicht als Privatperson sondern als Unternehmen investierst. Bei Flatex dauerte es ein wenig länger.

Bei Brokern aus dem Ausland ist selbst Hand anzulegen bei der Versteuerung. Als Wermutstropfen könntest du es bereits jetzt so sehen, dass es nach dem Verkauf nicht mehr versteuert wird auf Basis der Ausschüttungen.

Aber da wurde scheinbar der gesamte Kursanstieg in die Besteuerung mit reingenommen. Könnten wir einmal ein reales Szenario durchspielen? Steuerpflichtige Einkünfte werden für 0, EUR ausgewiesen. Und was hat es mit Punkt 3. Es tut mir, wahrscheinlich bin ich blind: Dann könnte ich diese für meine Anteile nachvollziehen. Servus Harald, das ist wahrlich ein kniffliger Fall. Sie sind daher selbst für die korrekte Deklarierung gegenüber dem österreichischen Finanzamt verantwortlich.

Ich habe die Damen und Herren von Scalable angeschrieben und hier gab es auch prompt eine freundliche und sachdienliche Antwort die dir sicherlich weiterhilft: Januar einen Bericht über die Finanzportfolioverwaltung.

Dort sind alle zum Jahresende gehaltenen Wertpapiere inkl. Zusätzlich können Kunden die Transaktionen in deren persönlichem Bereich online einsehen und die zugehörigen Abrechnungen herunterladen. Das ist fester Teil unseres Auswahlprozesses, eine Garantie dafür gibt es aber nicht.

Daher einfach einloggen und die nötigen Informationen herunterladen. Danke für diesen ausführlichen bericht! Ich habe eben mein erstes Depot bei der Hello bank eröffnet und suche jetzt nach Werten für ein langfristiges investment. Wenn ich das ganze richtig verstanden haben bin ich mit einem Meldefond wie beispielsweise dem iShares TecDAX und einem Österreichischem broker auf der sicheren Seite. Oder muss ich selbst da noch etwas extra versteuern?

Du kannst mit der Kennnummer des ETFs noch nachprüfen, ob es sich um einen ETF handelt mit einer steuerlichen Niederlassung in Österreich, aber ich glaube, man kann davon ausgehen, wenn dieser bei der Hello Bank angeboten wird. Hallo Andreas, zuerst einmal Danke für die Übersicht und für deine tolle Seite! Was aber wird versteuert, eben die ausschüttungsgleichen Erträge. Diese setzen sich zusammen aus: Habe ich das richtig verstanden? Je nachdem welche Summe man investiert hat, können auch die Dividenden hoch sein, und somit auch die Vorauszahlung etwas höher.

Folgendes hast du oben genannt: Wie genau wirkt sich die Steuerschonung aus? Servus Damjan, das mit der Steuerschonung ist so gemeint, dass ich den thesaurierenden mit einem ausschüttenden Fonds vergleiche. Die Differenz an Steuern die hier noch nicht bezahlt werden muss, kann für weitere Investments verwendet werden und daher wird hier der Begriff der steuerschonenden Wirkung verwendet.

Vielen dank für die nachträgliche Aufklärung Andreas, und danke für die Frage Angelo! Dachte auch, dass der jährliche Wertzuwachs Kurs zu versteuern wäre. Vielen Dank für das Feedback. Ich habe nun versucht dieses Thema ein wenig anders zu beschreiben, sodass keine Extra-Erklärung notwendig ist. Ich habe daher den Betrag ein wenig umgeschrieben und herausgearbeitet. Mein Versuch dieses Thema passend und gut darzustellen findet sich nun hier:.

Dies führt doch ohnehin der Broker bei mir flatex ab? Vielen Dank für die Fragen. Hier die Antworten aus meiner Sicht der Dinge: Habe hier mehr Vertrauen zur FMA als zu Profitweb wobei diese Daten wohl auch einwandfrei und stets aktuell sein werden.

Bei einem inländischen Broker dürfte dies alles der Broker übernehmen. Bei einem ausländischen Broker muss mans sicher selbst durchführen. Anscheinend interessiert sich keiner dafür … Danke jedenfalls für die rasche Anwort! Check bei OeKB Profitweb. In den Zeilen sollte am Besten 0 stehen. Also denke ich, dass folgende ETFs derzeit steuerlich besser sein können, oder?

Danke für das Feedback. Muss aber nicht über justETF sein. Die meisten scheinen über Luxemburg, Irland oder Deutschland zu laufen, womit sich wieder die Frage der Doppelbesteuerung stellt anrechenbare Quellensteuer?

Ich wollte eigentlich auch einen Gegencheck, weil es natürlich auch interessant ist, einen steuereinfachen ETF als Sparplan zu wählen, um nicht unnötig viel Papierkram durch Doppelbesteuerungen, Rückforderungen mit Einkommenssteuererklärung auf Kapitalerträge usw. Daher konnte ich nicht folgen, was es mit Österreich auf sich hat, hat sich aber nun geklärt. Will mans wirklich steuereinfach haben und sich verlassen können, so traue ich aktuell nur den österreichischen Banken dies zu.

Leider kommen hier aber höhere Kosten auf einen zu. Möchte ich den Papierkram vermeiden, so würde ich mir einen günstigen österreichischen Broker suchen. Was ist mit den Kosten bzw. Hier sagt sie, dass innerhalb der EU mit 1. Ich möchte damit zum Ausdruck bringen, dass es Flatex bzw. Ich selbst als Kunde habe aber bislang noch keine Abrechnung gesehen, denn diese stehen bei mir erst im Laufe des heurigen Jahres an — danach kann ich feststellen, ob es auch tatsächlich rund läuft bei Flatex.

Bei österreichischen Banken wissen wir es, dass wir uns ganz gut darauf verlassen können aber auch hier hatte ich z. Ich bin kein Steuer Experte. Das ganze Procedere dauert anscheinend einige Monate. Die läuft aktuell ca. Laut österreichischen Finanzamt kann das schon mal Jahre dauern. Ich bin gespannt, ob da einmal etwas zurück kommt. Wenn es sich um einen in Österreich zugelassenen ETF handelt, wird dass dann nicht innerhalb des ETFs abgehandelt, da er eine steuerliche Vertretung hier hat?

Siehe mein Posting weiter oben. Wäre eine interessante Ergänzung zu dem Artikel. Anbieter von Trading Dienstleistungen. Zusätzlich gibt es auch Informationen zum Thema alternative Anlagen. Alle Angaben sind ohne Gewähr. Eine Haftung für Handlungen, die im Vertrauen auf die hier vorfindbaren Informationen getätigt werden, wird abgelehnt.

Es wird auf Broker-Test. Der Inhalt dieser Seiten ist keine Finanz- oder Anlageberatung, oder gar eine Empfehlung oder Ähnliches zu verstehen — die hier vorhandenen Informationen dienen dem Besucher dieser Seiten lediglich als Informationsquelle über frei zugängliche Inhalte. Alle auf dieser Seite gemachten Angaben sind natürlich ohne Gewähr zu verstehen.

Beachten Sie bitte, dass der Handel mit Finanzprodukten zum Gesamtverlust ihres aufgebrachten Kapitals führen kann, daher überlegen Sie umsichtig jede Ihrer Handlungen! Diese zusätzliche Signatur garantiert, dass der Unterschlüssel zum Hauptschlüssel gehört. Wenn diese Zusatzsignatur fehlt weil ein Schlüssel vor langer Zeit erstellt wurde , gibt gpg eine Warnung aus, die auf den entsprechenden Teil die GnuPG-Webseite verweist. Normalerweise gibt man als Benutzer nur an, welcher Hauptschlüssel verwendet werden soll.

Wenn mehrere Schlüssel in Frage kommen, wählt gpg denjenigen aus, der zuletzt erzeugt wurde. Man kann aber auch, was selten benötigt werden sollte, den zu verwendenden Unterschlüssel angeben oder den Hauptschlüssel auf diese Weise, wenn er statt eines Unterschlüssels verwendet werden soll, etwa für besonders sichere Signaturen eines Offline-Hauptschlüssels.

Das funktioniert natürlich nicht, wenn man — wie üblich — gpg nicht direkt verwendet, sondern über eine Anwendung Mailprogramm. Mir ist auch keine Möglichkeit bekannt, das über die Konfiguration von gpg zu regeln. Man kann natürlich immer — auf die harte Tour — den Empfängerschlüssel sichern exportieren , alle zu vermeidenden Unterschlüssel löschen, die Aktion durchführen und dann die Unterschlüssel durch Importieren des vorher exportierten Schlüssels wiederherstellen.

Bei einem normalen Aufruf wird nur die ID ausgegeben; die muss man dann schon erkennen, um zu wissen, woran man ist. Wenn man aber gpg mittels --verbose das zur Steigerung des Effekts auch mehrfach angegeben werden kann auf gesprächig schaltet, bekommt man u.

Zu einem Primärschlüssel gehört mindestens eine Benutzerkennung. So kann man denselben Schlüssel für mehrere E-Mail-Adressen verwenden: Das ist bequem und nur dann problematisch, wenn nicht jeder wissen soll, dass alle Adressen zu derselben Person gehören etwa bei beruflichen und privaten oder solchen, die spamfrei bleiben sollen und deshalb nicht auf Keyservern veröffentlicht werden sollen. Wenn man alle UIDs löscht bzw. Das sollte man sich deshalb gut überlegen. Vor diesem Hintergrund erscheint es sinnvoll, einem Schlüssel gleich bei der Erzeugung eine UID ohne E-Mail-Adresse zu spendieren, also nur mit dem Namen, denn diese wird man nie zurückziehen, und so bleibt immer eine signierte UID erhalten.

Um ungewöhnliche UIDs zu erzeugen, wird eventuell die Option --allow-freeform-uid benötigt. Die hier angezeigten Informationen finden sich fast alle auch in der Schlüsselübersicht der grafischen Programme.

Diese Zusammenhänge muss man verstehen:. Ein Schlüssel wird über seinen öffentlichen Primärschlüssel identifiziert bzw. Eine UID oder ein Unterschlüssel ohne Signatur so was kann man regulär gar nicht erzeugen ist wertlos bzw. Signaturen von anderen Schlüsseln betreffen fast immer nur UIDs genauer: Jeder Primär- und jeder Unterschlüssel besteht aus einem öffentlichen und einem privaten Schlüssel.

Mit dieser Unterscheidung hat man aber nur selten zu tun, etwa dann, wenn man seine privaten Schlüssel sichern oder auf einem anderen Rechner verfügbar machen will und sie deshalb exportieren muss. Bei der Erzeugung eines Schlüssels wird man nach einer Passphrase gefragt. Diese Bezeichnung anstelle von Passwort soll zum Ausdruck bringen, dass die Eingabe auch Leerzeichen enthalten darf, also aus mehreren Wörtern, etwa einem Satz, bestehen kann.

Der Sinn einer Passphrase ist zu verhindern, dass jemand, der die Datei, die den geheimen Schlüssel enthält, in seinen Besitz bringt, den Schlüssel sofort verwenden kann. Eine normale Passphrase ist schnell geknackt. Man sollte also jedenfalls bei "wertvollen" Schlüsseln und auch bei anderen, wenn sie auf z.

USB-Sticks transportiert oder archiviert werden, die nicht in geeigneter Weise vor physischem Zugriff geschützt sind eine lange Zufallsfolge wählen was man sich eben gerade noch so merken kann; besser: Für selten genutzte Schlüssel kann man auch eine lange Passphrase wählen, die man sich aufschreiben muss. Eine gute Kombination ist eine Passphrase, die man häufig verwendet und dementsprechend nicht vergisst, und eine, die man sich aufschreiben muss.

Eine Passphrase ist anders als eine normale Passworteingabe keine "Lasse ich das den User jetzt machen? Ist die gute Passphrase weg, ist der Schlüssel weg. Wird ein geheimer Schlüssel exportiert, dann wird man nicht nach seiner Passphrase gefragt. In der exportierten Datei ist der Schlüssel genauso verschlüsselt wie im Keyring. Möchte man den geheimen Schlüssel für ein Backup besonders sichern, dann ist eine Möglichkeit, vor dem Export die Passphrase zu ändern zu einer besseren.

Der Grund ist, dass es sich technisch um unterschiedliche Schlüssel handelt, die im Prinzip auch jeweils eine individuelle Passphrase haben könnten. Dass die Schlüssel zusammengehören, interessiert die Passphrase-Verwaltung nicht — eine durchaus verbesserungswürdige Situation. Unterschiedliche Passphrasen zu verwenden, ist bei GnuPG aber mit einiger Fummelei gpgsplit verbunden, die man wohl nur Experten zumuten möchte.

Die Verwendung einer eigenen Passphrase für den Hauptschlüssel und einer gemeinsamen für alle Unterschlüssel ist relativ leicht zu bewerkstelligen --export-secret-subkeys. Die Passphrasen der unterscheiden Zertifikate hängen nicht zusammen, allerdings erscheint es im allgemeinen wenig sinnvoll, nicht dieselbe Passphrase für alle Schlüssel eines Keyrings zu verwenden. Auch hier gilt das Prinzip des schwächsten Glieds einer Kette. Die beiden Extreme sind also: Wenn man die Schlüsseldatei auf eine Webseite stellt, dann sollte die Passphrase nicht schwächer sein als die Schlüssellänge.

Allerdings kann man den Wert von --s2k-count s. Für Schlüssel, die man nur auf sicheren Systemen Knoppix o. Man sollte für einen Offline-Schlüssel nichts als Passphrase verwenden, das man auch auf einem normalen Rechner eingibt.

Wenn man dennoch etwa für den Hauptschlüssel eine andere Passphrase nehmen will als für die Unterschlüssel, muss man den Schlüssel in zwei Schlüsselbunden speichern und in einem davon den Hauptschlüssel löschen.

Je nachdem, mit welchem Schlüsselbund man GnuPG aufruft, wird die eine oder andere Passphrase benötigt. Gegen das Knacken der Passphrase kann man sich mit einer hohen Anzahl Iterationen beim passphrase mangling schützen. Diese wird über die Option --s2k-count festgelegt.

Der zulässige Wertebereich ist bis , der Standardwert ist Diese Option greift auch dann, wenn man nicht asymmetrisch also für einen öffentlichen Schlüssel , sondern symmetrisch verschlüsselt, also für Ver- und Entschlüsselung dasselbe Passwort angeben muss. Der Wert wird dann in den Schlüssel geschrieben.

Der Schlüssel kann also immer verwendet werden, unabhängig davon, welcher Wert gerade für die gpg-Installation konfiguriert ist, die auf dem Schlüssel zugreift. Es kann aber sein, dass man durch eine Änderung der Passphrase unbeabsichtigt und unbemerkt diesen Wert verändert.

Eine starke Passphrase schützt Schlüssel im laufenden Betrieb nur bedingt, weil von den meisten Systemen die Passphrase gecacht wird. Wer es schafft, über Schadsoftware Zugriff auf den Rechner zu bekommen, kann trivial den Schlüssel benutzen auf dem Rechner oder sogar die Passphrase bzw.

Ohne Argument zeigen diese Kommandos alle aktuell verfügbaren Schlüssel an. Das sind in der Standardeinstellung diejenigen in der Datei pubring. Die Auswahl der Schlüsselbund-Dateien kann mit den Optionen --keyring , --secret-keyring , --primary-keyring und --no-default-keyring beeinflusst werden. Sind die Standarddateien bzw. Oftmals will man keine Übersicht aller Schlüssel, sondern will Informationen über einen speziellen. Es gibt mehrere Möglichkeiten, einen Schlüssel auszuwählen.

Die einzige eindeutige Methode dafür ist der Fingerprint:. Diese Methode ist offensichtlich im allgemeinen nicht praktikabel und mit Kanonen auf Spatzen geschossen. Sinnvoll ist die Verwendung des Fingerprints als Auswahlkriterium in Scripten. Formal werden IDs aber mit dem Präfix "0x" gekennzeichnet.

Da dies in allen Fällen funktioniert, sollte man es sich so angewöhnen: Man kann sogar z. UID-Blöcke und Unterschlüssel werden erst dadurch gültig, dass sie eine korrekte und gültige d. Es ist durchaus möglich, dass für dasselbe Objekt mehrere Signaturen vorhanden sind; verwendet wird dann die neuste. Signaturen können Zusatzinformationen enthalten. Dies geschieht mit der Option --list-options , sinnigerweise in der Konfigurationsdatei.

Normalerweise überschreibt ein Wert auf der Kommandozeile den in der Konfigurationsdatei. Steht also in der Konfigurationsdatei beispielsweise. Es ist sehr wichtig zu verstehen, warum Schlüssel signiert werden also was eine Signatur bedeutet und was nicht. Technik löst zumeist nicht von allein alle Probleme des Anwenders. Sie bietet ihm lediglich die Möglichkeit dazu. Die Motivation dafür, Verschlüsselung oder Signaturen zu benutzen, ist typischerweise die, dass nur der beabsichtigte Empfänger die Nachricht lesen kann bzw.

Das erreicht man, indem man die Nachricht mit seinem Schlüssel verschlüsselt. Das muss aber auch wirklich der korrekte Schlüssel sein, den sonst wäre ein Dritter in der Lage, die Nachticht zu lesen. Wenn man einen Schlüssel aus einer unsicheren Quelle hat von einem Schlüsselserver, von einer Webseite, aus einer E-Mail , dann kann der manipuliert sein.

Dann kann B den Schlüssel von A gegen den eigenen austauschen. Man verschlüsselt also unwissentlich an B, der fängt die Nachricht ab, packt sie aus, packt sie für A mit dessen richtigem Schlüssel ein, und weder man selber noch der Empfänger hat eine Chance, die Manipulation zu erkennen. Das nennt man einen Man-in-the-middle-Angriff. Deshalb ist es ungemein wichtig, dass man die Zuordnung von Schlüsseln zu einer Person oder Organisation gegen Fehler absichert.

Selbst erzeugte Schlüssel nicht aber importierte private Schlüssel! Sie werden als maximal vertrauenswürdig in die trustdb eingetragen. Wird die trustdb oder der komplette Schlüssel gelöscht, verliert der Schlüssel seine Vertrauenswürdigkeit. Wenn man also aus Sicherheitsgründen den privaten Hauptschlüssel nicht im System das gilt nicht für Smartcards speichert, muss man den Schlüssel auf einem der genannten Wege autorisieren.

Sein ownertrust wurde explizit --edit-key trust; --trusted-key oder implizit bei der Schlüsselerzeugung auf absolut ultimate gesetzt. Das sind typischerweise die eigenen Schlüssel privater Schlüssel verfügbar. Eine seiner User-IDs hat eine gültige nicht abgelaufene, nicht widerrufene Beglaubigung von einem Schlüssel mit ownertrust absolut ultimate. Das sind typischerweise diejenigen Schlüssel, die man selber beglaubigt hat.

Wenn ein Schlüssel komplett gelöscht wird --delete-secret-and-public-key , wird auch sein ownertrust gelöscht. Werden Schlüssel also in einem sicheren System erzeugt und dann als Offline-Hauptschlüssel in einem anderen System importiert, muss ggf. Im zweiten Fall wird für den Hauptschlüssel pub der resultierende Wert explizit angezeigt: Das u im zweiten Feld steht für ultimate.

Was man sich auf normalem Weg leider nicht anzeigen lassen kann, ist, was den Gültigkeitsstatus eines Schlüssels auslöst. Man kann sich zwar mit --list-sigs anzeigen lassen, welche Signaturen die User-IDs haben, aber welche davon relevant sind, sieht man nicht. Die gängigsten Möglichkeiten der Überprüfung sind, dass man den Fingerabdruck schriftlich nichtelektronisch, am besten persönlich oder telefonisch erhält. Man vergleicht ihn mit dem Fingerabdruck des Schlüssels, den man importiert hat.

Wenn der Fingerabdruck stimmt, stimmt auch der Schlüssel der Algorithmus des Fingerabdrucks ist so konstruiert, dass man sich darauf verlassen kann.

Dass man diese Überprüfung vorgenommen hat, dokumentiert man entweder nur für sich oder für die Allgemeinheit dadurch, dass man den Schlüssel signiert nicht insgesamt, sondern eine oder mehr UIDs. Das bedeutet aber noch nicht, dass auch alle UIDs korrekt sind v. Das kann man leicht händisch machen, indem man eine verschlüsselte Nachricht an die jeweilige Adresse schickt, mit jeweils unterschiedlichem Inhalt.

Das Programm caff CA — fire and forget hat eine elegante Lösung dafür: Es erzeugt für jede UID eine einzelne Signaturdatei, verschlüsselt diese für den signierten Schlüssel und mailt die an die jeweilige Adresse. Wenn der Schlüsselbesitzer auch Zugriff auf die E-Mail-Adresse hat, kann er die Signaturdatei entschlüsseln und importieren.

Signaturen bestätigen nur die Zuordnung eines Schlüssels zu einer Person oder Organisation. Sie sagen nichts über die Person z. Es gibt deshalb keinen Grund, Schlüssel nur deshalb nicht zu signieren, weil man den Besitzer nicht mag. Relevant ist üblicherweise nur der Fingerabdruck des Primärschlüssels.

Durch doppelte Angabe von --fingerprint werden auch die Fingerprints der Unterschlüssel angezeigt, die aber normalerweise nicht benötigt werden.

Für das Erzeugen einer Signatur benötigt man den eigenen privaten Schlüssel, wird also nach der Passphrase gefragt. Man muss in dem Menü, das von --edit-key erzeugt wird, das Kommando sign eingeben, oder man übergibt es beim Aufruf gleich mit:. Man kann in der Konfigurationsdatei allerdings einen Standardschlüssel definieren --default-key. Für Spezialfälle gibt es Variationen: Durch die Optionen --ask-cert-level und --ask-cert-expire wird man nach dem Prüfungsablauf und der Gültigkeitsdauer der Signatur gefragt.

Wenn man das nicht benötigt, lässt man sie weg. Manche grafischen Oberflächen für gpg fragen das entweder nicht ab oder tragen die Antwort nicht in die Signatur ein. In dem Fall bleibt einem dann womöglich nur der Weg über die Kommandozeile. Man kann allerlei ergänzende Angaben machen, wenn man einen Schlüssel signiert. Die häufigste dürfte sein, wie gründlich man den Schlüssel geprüft hat --ask-cert-level.

Das Ergebnis indirekter Prüfungen kann man davon abhängig machen, was die anderen diesbezüglich angegeben haben. Das Risiko schlampigen Signierens liegt darin, dass man von anderen dafür "haftbar" gemacht werden kann, wenn auch meist nicht im rechtlichen Sinn. Das Web of Trust lebt davon, dass man den Angaben anderer vertrauen kann.

Wenn sich herausstellt, dass jemand Informationen signiert, die falsch sind, werden andere demjenigen das Vertrauen entziehen. Technisch hat das für denjenigen erst mal keine Folgen, weil er ja nur auf verlässliche Signaturen anderer angewiesen ist, nicht aber darauf, dass seine Signaturen für andere von Wert sind.

Um solchen Ärger zu vermeiden, bietet es sich an, andere nicht im Unklaren darüber zu lassen, was die eigenen Signaturen zu bedeuten haben policy URL. Es gibt Situationen, in denen man einen Schlüssel zertifizieren will, ohne dass man ihn hinreichend überprüfen konnte. Das möchte man womöglich vermeiden. Es wäre nun sehr ärgertlich, wenn diese Signatur in die freie Wildbahn käme, weil Dritte nicht wüssten, dass das "keine echte" Signatur ist auch wenn man --ask-cert-level auf 1 setzen könnte.

In solchen Situationen kann man eine lokale Signatur erzeugen. Solche Signaturen werden nicht exportiert und auch nicht ohne Verrenkungen importiert. Dies erreicht man mit der Option --lsign-key oder dem Kommando lsign statt sign im Menü von --edit-key. Es ist hilfreich, den eigenen Fingerprint immer ausgedruckt auf ein paar kleinen Zetteln dabei zu haben. Papier erlebt in der High-Tech-Welt eine ungeahnte Renaissance So können Leute, die man getroffen hat, sich später den Schlüssel aus unsicherer Quelle besorgen, aber ihn verifizieren.

Hauke Laging hauke laging. Man kann problemlos Signaturen erneuern. Das bietet sich an, wenn man die Zuordnung des Schlüssels zur Person erst nur oberflächlich und später gründlich geprüft hat oder wenn man eine policy URL ergänzen will.

Es ist zudem quasi unvermeidbar, wenn man die Gültigkeit der Signatur beschränkt hat. Mit meiner aktuellen Version 2. Wenn man die alte Signatur behalten will, kann man vorher den Schlüssel exportieren und hinterher importieren. GnuPG stört sich nicht an mehreren vorhandenen Signaturen; es verwendet immer die neuste.

Wie konsequent und gründlich prüft der Schlüsselbesitzer die Daten, die er zertifiziert Name mit Schreibweise, gerade bei fremdsprachlichen Namen , E-Mail-Adressen, Kommentar? Es hilft wenig, wenn jemand diszipliniert Identitäten prüft, sich dann aber unbemerkt seinen Hauptschlüssel klauen lässt. Es ist generell nicht wünschenswert, dass Zertifikate mit unsicheren Schlüsseln erzeugt werden, aber gerade bei Zertifikaten von unsicheren Schlüsseln ist nicht gesichert, dass sie vom Besitzer erzeugt wurden.

Deshalb ist die Bezeichnung ownertrust irreführend, denn es geht nicht nur um den Besitzer, sondern um die Kombination Besitzer—Schlüssel. Schlüssel desselben Besitzers können durchaus unterschiedliche ownertrust-Werte haben.

Es ist normal, dass man sich von der Gültigkeit eines Schlüssels überzeugt hat, aber dem Zertifizierungsverhalten seines Besitzers nicht traut und sei es, weil man ihn kaum kennt. Man kann volles Vertrauen in das Zertifizierungsverhalten von jemandem haben, aber unsicher sein, ob ein bestimmter Schlüssel seiner ist.

Einem Schlüssel quasi vorab also bevor er als gültig akzeptiert wird einen hohen ownertrust zu geben, ist zumindest möglich. Indirekte Überprüfung funktioniert so: Man nimmt einen Schlüssel als gültig an, wenn er genügend Signaturen von Leuten hat, denen man ausreichend vertraut. Was "genügend" ist, kann man für die beiden Vertrauensstufen marginally trusted und completely trusted einzeln festlegen; die Standardwerte sind drei und eins. Man will den Schlüssel von A überprüfen; den von B hat man erfolgreich überprüft.

Wenn B den Schlüssel von A signiert hat und man dieser Signatur vertraut also darauf vertraut, dass einerseits B den Schlüssel ordentlich überprüft hat und andererseits diese Signatur sicher ist , kann der Schlüssel als überprüft gelten. Alle drei beteiligten Schlüssel sind vollständig gültig gekennzeichnet durch den grünen Rahmen , haben aber einen unterschiedlichen Vertrauensstatus ownertrust; gekennzeichnet durch die Hintergrundfarbe.

Schlüssel A wird überhaupt nicht für Zertifizierungen vertraut, dennoch ist er gültig. Wenn man der Überprüfung durch B nur begrenzt vertraut, mag man zufrieden sein, wenn nicht nur B, sondern auch C und D den Schlüssel signiert haben.

Das ist keine technische Entscheidung, sondern ein organisatorisches bzw. Je mehr Signaturen ein Schlüssel hat, desto besser. Einen nur indirekt überprüften Schlüssel sollte man nicht signieren, jedenfalls nicht für die Öffentlichkeit sondern allenfalls lokal.

Normalerweise hat man einige Schlüssel selber zertifiziert direkt verifiziert und kann deshalb eventuell weitere Schlüssel indirekt verifizieren. Alle Schlüssel, zu denen man über Zertifizierungen eine Verbindung konstruieren kann, kann man sich als in konzentrischen Kreisen um den eigenen Schlüssel angeordnet vorstellen. Jeder weitere Kreis steht für einen weiteren Schlüssel zwischen dem eigenen und dem Zielschlüssel. Um den eigenen Schlüssel herum gibt es einen normalerweise zusammenhängenden Bereich von Schlüsseln, die als gültig angesehen werden grün , und einen normalerweise ebenfalls zusammenhängenden Bereich von Schlüsseln, denen ein Vertrauenswert ownertrust zugewiesen wurde gelb.

Diese Bereiche sind weitgehend überlappend. Der Gültigkeitsbereich kann aber nur maximal eine Stufe über den Vertrauensbereich hinausgehen, der Vertrauensbereich theoretisch beliebig über den Gültigkeitsbereich was aber keine Auswirkungen hat.

Es gibt meist auch einen Bereich hellgrün von erst teilweise verifizierten Schlüsseln die mindestens eine relevante Signatur haben, die aber in der jeweiligen Konfiguration nicht ausreicht. Es folgen Beispiele für die unterschiedlichen Möglichkeiten einer Schlüsselverifikation über drei Ebenen.

Die eigenen Schlüssel für die der private Schlüssel vorhanden ist haben immer den ownertrust-Wert ultimate. Bei normaler Konfiguration benötigt man von Schlüsseln mit ownertrust complete nur ein einziges Zertifikat, um einen weiteren Schlüssel gültig zu machen. Die Schlüssel der zweiten Ebene mit ownertrust marginal werden wir im vorigen Beispiel schon durch ein einziges Zertifikat gültig. Der neue Schlüssel Ebene drei ist nur deshalb gültig, weil er drei Zertifikate trägt, da diese von Schlüsseln mit geringerem Zertifizierungsvertrauen sind.

Man erkennt hieran auch, dass es nur auf die Anzahl der Zertifikate ankommt, nicht auf die Anzahl der unterschiedlichen Wege dorthin. In diesem Beispiel ist es umgekehrt: Den Schlüsseln der ersten Ebene wird weniger Zertifizierungsvertrauen entgegengebracht, weswegen für den Schlüssel der zweiten Ebene drei Zertifikate benötigt werden.

Wenn die Schlüssel der ersten Ebene nicht alle denselben Schlüssel in der zweiten Ebene zertifizieren, werden die Schlüssel der zweiten Ebene nicht vollständig gültig, sondern nur marginal gültig.

Das bedeutet, dass ihre Zertifikate nicht gewertet werden, so dass der Schlüssel der dritten Ebene komplett ungültig bleibt. Hier kann man auch sehen, dass Schlüssel, die nicht vollständig gültig sind, einen positiven ownertrust haben können.

Wenn die Schlüssel der ersten Ebene jeweils nicht nur einen, sondern alle drei Schlüssel der zweiten Ebene zertifizieren, dann werden wie in einem vorigen Beispiel die Schlüssel der zweiten Ebene alle gültig und damit wie gehabt auch der in der dritten. Die Zertifikate zur Validierung eines Schlüssels können aus unterschiedlichen Ebenen kommen.

Eine Statistik über die Verteilung der Schlüsselstatus in den einzelnen Ebenen kann man sich von gpg anzeigen lassen nach Änderungen der trustdb, etwa beim Setzen der ownertrust-Werte, passiert das automatisch:.

Für diese Schlüssel wurde noch keine Angabe gemacht das Kommando --update-trustdb würde sie abfragen. Diesen Schlüsseln wird ultimativ vertraut, d. Auch einzelne Zertifikate eines solchen Schlüssels machen einen Schlüssel immer gültig unabhängig vom Wert für --completes-needed. Man kann die öffentlichen Zertifizierungen auch anders nutzen als vollautomatisiert durch das Web of Trust.

Ich kannte diese Distribution nicht, war aber positiv davon überrascht, dass sie sich diesem Problem umfangreich widmet ; insofern nicht erstaunlich, als Kryptografie einer der Schwerpunkte dieser auf Debian basierenden Distribution ist.

Aber ich habe vollen Vertrauen darin, dass ein Debian-Entwickler beim Zertifizieren des Signaturschlüssels einer Distribution nicht schlampt. Auch wenn ich ohne weitere Informationen seinem Schlüssel nicht grundsätzlich einen hohen ownertrust zuweisen würde, mag ich sein Zertifikat für den Tails-Schlüssel als ausreichend ansehen, um auf die Gültigkeit des Talis-Schlüssels zu vertrauen.

Zusätzliche Schlüssel kann man auf drei Arten verfügbar machen:. Das Aktualisieren eines vorhandenen Schlüssels ist nichts anderes als ein Import. Von einem Keyserver können einzelne oder auch alle Schlüssel mit dem Kommando --refresh-keys aktualisiert werden. Grundsätzlich nutzt jeder den Keyserver, der ihm aus welchem Grund auch immer am meisten zusagt. Es gibt Gruppen von Keyservern, die unter einem gemeinsamen Namen zusammengeschaltet sind, um die Verfügbarkeit zu erhöhen, z. Wenn man mittels --search-keys sucht, kann man auswählen, ob man einen der angezeigten Schlüssel importieren will.

Der Aufruf --recv-keys importiert direkt, also ohne Rückfrage. Diese Abfragen funktionieren nur mit der Option --keyserver , die hier nicht auftaucht, weil sie bereits in der Konfigurationsdatei steht. Man muss danach auf jeden Fall noch den Fingerprint prüfen. Das gilt zumeist auch beim Import einer Datei. Nicht immer will man alle Komponenten eines Schlüssels haben. Es können sich im Laufe der Zeit Komponenten ansammeln, die man nicht braucht:.

Signaturen können veraltet sein abgelaufen oder durch neuere ersetzt , UIDs können abgelaufen oder zurückgezogen sein. Und damit auch unübersichtlicher. Man kann deshalb den Schlüsselimport so konfigurieren mittels --import-options , eignet sich für die Konfigurationsdatei , dass nur die relevanten Komponenten importiert werden:.

Der Export von Schlüsseln ist etwas komplizierter, was daran liegt, dass Importieren als Anweisung eindeutig ist, beim Exportieren aber nicht. Es ist zu unterscheiden, ob öffentliche Schlüssel Zertifikate , private Schlüssel oder nur private Unterschlüssel exportiert werden sollen. Ohne die Angabe von --output wird der exportierte Schlüssel auf die Standardausgabe geschrieben, von wo man ihn in einer Shell bequem in eine Datei umleiten kann:. Wenn nur ein einzelner Schlüssel auf einen anderen Rechner übertragen werden soll, exportiert man ihn in der oben beschriebenen Weise und importiert ihn auf dem anderen Rechner.

Wenn dagegen die ganze Installation kopiert oder transferiert werden soll, kopiert man das ganze Verzeichnis , weil die Installation noch mehr Informationen als nur die Schlüssel umfasst. Beim kompletten Exportieren von Schlüsseln eigenen wie fremden ist zu beachten, dass die Exportoptionen so gesetzt werden --export-options export-local-sigs,export-sensitive-revkeys , dass auch wirklich alles exportiert wird etwa auch lokale Signaturen und auf "sensitive"Einträge für designated revoker.

Bei der Übertragung einzelner eigener Schlüssel muss nur darauf geachtet werden, dass es sich möglicherweise um einen Offline-Hauptschlüssel handelt und man ggf.

Werden fremde Schlüssel auf ein anderes System transferiert, ist zu bedenken, auf dem Zielsystem ihren ownertrust zu setzen. Die dafür erforderlichen fremden Schlüssel sind auf dem Zielsystem möglicherweise nicht vorhanden oder haben dort einen anderen ownertrust-Wert, so dass der Schlüssel auf dem Quellsystem gültig ist, ohne die entsprechenden Anpassungen aber nicht auf dem Zielsystem. Wenn ein Schlüssel oder ein Teil davon kompromittiert wurde oder aus anderen Gründen nicht mehr verwendet werden soll, kann man ihn zurückziehen revoke.

Dies erfolgt über ein Sperrzertifikat, das mit einer Signatur des zurückzuziehenden Schlüssels oder eines anderen, speziell dazu autorisierten, siehe addrevoker versehen wird, so dass jeder Nutzer des Schlüssels sicher sein kann, dass nur der Besitzer des jeweiligen Schlüssels die Sperrung veranlasst hat.

Dies lässt sich für Haupt- und Unterschlüssel nicht rückgängig machen! Wenn ein Sperrzertifikat für einen Schlüssel erst einmal in Umlauf ist, kann man den betroffenen Schlüssel komplett vergessen; für UIDs kann man mit GnuPG ein revocation certificate durch eine später erzeugte, weitere reguläre Signatur quasi überschreiben. Der RfC Abschnitt 5. Man sollte sich nicht darauf verlassen, dass man eine widerrufene UID in allen Implementierungen wieder zum Leben erwecken kann.

Man kann — und wird von gpg bei der Schlüsselerzeugung auch dazu ermuntert — sich allerdings bereits im voraus ein Sperrzertifikat für den Hauptschlüssel erzeugen, ohne es in Umlauf zu bringen. Das sollte man dann aber sicher verwahren z. Die Überlegung dahinter ist, dass man durch irgendeine IT-Panne seinen Hauptschlüssel verlieren oder die Passphrase vergessen könnte, so dass man auf regulärem Weg kein Sperrzertifikat mehr erzeugen kann. Das kann man z.

Nach dem Abtippen kann man dann im Fall von Fehlern für jede Zeile den Hashwert berechnen lassen und mit dem auf dem Ausdruck vergleichen. Warum man die Aktivierung eines Hauptschlüssel-Sperrzertifikats gegenüber der Öffentlichkeit nicht zurücknehmen kann, erkennt man am Aufbau eines Zertifikats, zuerst ein Schlüssel, der komplett zurückgezogen wurde:.

In diesem Fall hängt das Widerrufszertifikat direkt am Hauptschlüssel. Hier hängen die Sperrzertifikate an den jeweiligen Komponenten. Der wesentliche Unterschied ist: Da der Hauptschlüssel weiterhin gültig ist, kann er prinzipiell auch weiterhin unbedenkliche Eigenbeglaubigungen für UIDs und Unterschlüssel erzeugen. Wenn der Hauptschlüssel aber selber widerrufen wurde, dann kann er keine Eigenbeglaubigung mehr erzeugen, die erfolgreich validiert werden könnte.

Der sachliche Grund ist, dass jemand, der in den Besitz eines fremden privaten Hauptschlüssels gekommen ist, natürlich auch neue Eigenbeglaubigungen für diesen erzeugen könnte.

Wird nur ein Unterschlüssel kompromittiert, kann er das nicht. Wenn der Hauptschlüssel kompromittiert ist, muss der komplette Schlüssel zurückgezogen werden. Dies erreicht man mit dem Kommando --gen-revoke. Eine UID kann über die Kommandos --edit-key und revuid zurückgezogen werden. Es ist möglich, dieselbe UID später erneut anzulegen. Ein Unterschlüssel kann über die Kommandos --edit-key und revkey zurückgezogen werden.

Ein Reaktivieren des Unterschlüssels analog zum erneuten Signieren einer UID mag technisch also vom Schlüsselformat her grundsätzlich möglich sein, ist aber mit gpg-Bordmitteln nicht möglich.

Mir ist kein Ansatz dafür bekannt. Eine Beglaubigungen kann über die Kommandos --edit-key und revsig zurückgezogen werden. Das betrifft primär die eigenen Signaturen anderer Schlüssel. Ein Grund für das Zurückziehen eines Schlüssels ist, dass einem der private Schlüssel abhanden gekommen ist. Entweder hat man das also präventiv erledigt, oder man steht dumm da. Zur Lösung dieses Problems gibt es das Konzept des designated revoker.

Man kann andere Schlüssel berechtigen, Sperrzertifikate für den jeweiligen Schlüssel auszustellen. Das können weitere eigene Schlüssel, aber auch die von Dritten, denen man entsprechend vertraut, sein. Jedenfalls dann, wenn man nicht Kopien der privaten Schlüssel verwahrt. Vermerkt werden die designated revoker mit dem Kommando --edit-key und addrevoker. Um mal die gpg-Warnung zu zitieren: Einen Schlüssel als vorgesehenen Widerrufer zu deklarieren, kann nicht rückgangig gemacht werden!

Das gilt strenggenommen aber erst dann, wenn irgendwem eine Version des Schlüssels mit diesem Eintrag zugänglich gemacht wurde. Für den unwahrscheinlichen Fall, dass man seinen Schlüssel versehentlich mit dieser Berechtigung versehen oder gleich komplett wiederrufen hat und an den öffentlichen Schlüssel in der neusten Version nicht mehr herankommt, ist hier erklärt , wie man diesen Teil des Schlüssels auf die harte Tour loswird.

Man muss dann aber einmal den öffentlichen Schlüssel mit dieser Berechtigung exportieren und diese entweder selber sicher verwahren was man dann natürlich auch gleich mit einem Sperrzertifikat machen könnte oder aber dem Berechtigten zukommen lassen. Ob es designated revoker für einen Schlüssel gibt, kann man mit einem normalen --list-keys nicht sehen. Es reicht natürlich nicht aus, dass man ein Sperrzertifikat erzeugt. Derjenige, der den ungültig gewordenen Schlüssel verwenden will, muss es rechtzeitig erhalten.

Anders als bei X. Es ist zudem schwierig, anderen Leuten eine im kryptografischen Sinn verlässliche Prüfung zu ermöglichen, ob der eigene Schlüssel noch aktuell ist.

Das wäre innerhalb der Infrastruktur nur möglich, wenn man signierte Daten von den Keyservern bekäme, aber die meisten sprechen nicht mal SSL aus Kostengründen. Als Ausweg bleibt, nur Schlüssel mit noch jungen Selbstsignaturen zu akzeptieren was einen nicht vor kompromittierten Hauptschlüssel schützt , sei es seitens des Schlüsselbesitzers durch sehr kurze Gültigkeitszeiträume des Schlüssels Tage, Wochen , sei es seitens der Kommunikationspartner , indem man nur Schlüssel anderer Nutzer mit jungen Selbstsignaturen akzeptiert mit gpg-Bordmitteln nicht erzwingbar, das muss man sich irgendwie basteln, etwa durch sehr kurze Gültigkeitszeiträume der Zertifizierungen für die Schlüssel anderer Leute --ask-cert-expire , was natürlich nur dann praktikabel ist, wenn die Schlüsselbesitzer entsprechend häufig ihre Selbstsignatur erneuern.

Wenn Daten für OpenPGP verschlüsselt werden, wird zuerst ein nur einmal verwendeter symmetrischer Schlüssel erzeugt, der sogenannte session key. Mit diesem Einmalschlüssel und einem konfigurierbaren Verschlüsselungsverfahren Cipher werden dann die Daten eventuell nachdem sie signiert wurden verschlüsselt.

Der folgende Ablauf entspricht diesem ungewöhnlich komplizierten Aufruf:. Daten werden mit gpg --encrypt asymmetrisch, d. Die Empfänger werden jeweils mit --recipient angegeben zusätzliche Standardempfänger in der Konfigurationsdatei mit --encrypt-to oder --hidden-encrypt-to ; die Möglichkeiten der Identifizierung von Schlüsseln sind im Abschnitt Schlüsselauswahl erläutert.

Wenn man häufig auch für dieselbe Gruppe von Empfängern verschlüsselt, kann man mit --group in der Konfigurationsdatei die Gruppe abkürzen. Man kann Daten nur asymmetrisch, nur mit Passphrase oder wie im obigen Beispiel sowohl asymmetrisch als auch mit Passphrase verschlüsseln. Ohne die Angabe von --output werden die ver- oder entschlüsselten Daten in eine Datei geschrieben, deren Name der Name der Quelldatei ergänzt um.

Es ist oftmals sinnvoll, eine Nachricht auch für sich selber zu verschlüsseln; vor allem dann, wenn man Daten verschlüsselt, verschickt, aber die verschickten Daten auch archiviert. Ohne einen eigenen Schlüssel als Standardempfänger kann man sich dann hinterher nicht mehr anschauen, was man selber verschickt hat, was oftmals unerwünscht sein dürfte.

Das kann man in der Konfigurationsdatei mit den Optionen encrypt-to und hidden-encrypt-to und der Angabe der eigenen Schlüssel-ID einstellen. Die Entschlüsselung verläuft umgekehrt: GnuPG prüft, ob der private Schlüssel einer der Empfängerschlüssel vorhanden ist und fragt falls nötig die Passphrase ab. Erst nach der Entschlüsselung kann die Signatur geprüft werden.

Vor der Entschlüsselung kann man nicht einmal wissen, ob die Daten überhaupt signiert sind. Die Entschlüsselung ist vom Aufruf her einfacher als die Verschlüsselung:. Wenn man kein Kommando angibt, versucht gpg in Abhängigkeit von den übergebenen Daten etwas Sinnvolles zu tun. Bei einer verschlüsselten Datei ist das deren Entschlüsselung. Bemerkenswerterweise verhält sich diese Standardoperation anders als --decrypt: Die Standardoperation schreibt die entschlüsselten Daten in eine Datei, --decrypt dagegen schreibt sie ohne die Angabe von --output auf die Standardausgabe, was nur bei Text und ähnlichen Daten sinnvoll ist.

Allerdings kann man die Klartextdaten in der Shell mittels Ausgabeumlenkung bequem in eine Datei umleiten. Ob man das so oder mit --output macht, ist Geschmackssache.

Die Standardoperation nimmt als Dateiname denjenigen, der in der verschlüsselten Datei eingetragen ist. Ist dort keiner eingetragen, nimmt es den Dateinamen der Quelldatei, ohne seine Endung. Mit gpg --list-packets kann man sich den ggf. Zumeist verschlüsselt man E-Mails; das erledigt dann der Mailclient für einen, mit gpg hat man da nicht zu tun abgesehen davon, dass sich der Inhalt der Konfigurationsdatei auswirkt.

Die Option --armor sorgt dafür, dass die verschlüsselte Datei fast nur aus alphanumerischen Zeichen besteht. So kann man verschlüsselte Daten auch über Medien transportieren, die dafür nicht gedacht sind, etwa Chatprogramme oder Webseiten:.





Links:
Shareoils Instagram | Grafik saham aneka tambang | Vertrag abgeschlossen | Welche apr rate ist gut |