GnuPG 1.0.*, wie es z.B. mit Debian/Woody ausgeliefert wird, hat etliche Probleme. Aus diesem Grund ist es sinnvoll, die vorhandene Version auf eine neuere Version upzudaten, die zudem noch sehr viel schneller ist.

Die aktuelle Version von GnuPG kann von der GnuPG-Webseite heruntergeladen werden.

Für Debian/Woody gibt es vorbereitete Pakete auf www.backports.org. Wenn man

deb http://www.backports.org/debian/ woody gnupg

in die Datei /etc/apt/sources.list einträgt, sollte man gnupg ohne Probleme updaten können.

 

Oft wird die Frage gestellt, welche Keyserver man denn verwenden solle. Unsere Empfehlung ist einen der beiden folgenden zu benutzen:

• subkeys.pgp.net
• random.sks.keyserver.penguin.de

Bei GnuPG wird die Keyserverkonfiguration in ~/.gnupg/options eingetragen:

keyserver subkeys.pgp.net

bzw.

keyserver sks.keyserver.penguin.de

Für Leute, die durch eine Firewall behindert werden, besteht die Möglichkeit, Schlüssel in einem Webinterface, das auf Port 80 zugänglich ist, zu suchen, zu holen oder hochzuladen. Zwei Server, die ihre Dienste auch auf Port 80 anbieten, sind http://keyserver.noreply.org/ und http://keyserver.mine.nu/.

Andere Keyserver sollte man vermeiden, weil sie die Keys auf die eine oder andere Weise verstümmeln. Die Liste der "Vergehen" umfaßt unter anderem das Verlieren von Unterschlüsseln, das mehrfache Anhängen von UserIDs, das Verändern von Signaturunterpaketen (nicht gehashte Daten gehen verloren), das fehlerhafte Berechnen von KeyIDs von v4 RSA-Schlüsseln und das Zurückweisen von Schlüsseln mit Userattributen (z. B. Fotos). Außerdem synchronisieren sie ihren Datenbestand nicht mit dem Rest des Keyservernetzwerks.

Diese Aufzählung basiert auf der Dokumentation zur Keysigningparty am LinuxTag2004 von Peter Palfrader.

 

Wer sein Vertrauensgeflecht (engl. Web-of-Trust) konsequent erweitert und pflegt, der sei noch auf folgende Software hingewiesen:

• CABOT
• gpgmailsign
• caff

Natürlich gibt es im WWW einen großen Schatz an Resourcen rund um gpg. So hat sich das strongly connected subset als interessanter Untersuchungsgegenstand herausgestellt. Untenstehende Links sind einen Besuch wert.

• Pathfinder: Analyse des globalen Schlüsselbunds mit Statistiken und Querverlinkung. Sehr empfehlenswert!
  
• keyanalyze: Analyse des globalen Schlüsselbunds (das "Original" von J. Harris).
• Leaf of Trust: Eine graphische Darstellung des Vertrauensgeflechts.