Was ist der angebotene GPG-Schlüssel?

**Ein angebotener GPG-Schlüssel ist in der Regel der öffentliche Schlüssel, den dir jemand zur Verfügung stellt, damit du ihm verschlüsselt schreiben oder seine Signaturen prüfen kannst. Den privaten Schlüssel bekommst du dabei nie.** ([de.wikipedia.org](https://de.wikipedia.org/wiki/GNU_Privacy_Guard)) Entscheidend ist der Unterschied: Mit dem **öffentlichen Schlüssel** verschlüsselst du Nachrichten **an** die andere Person oder prüfst, ob eine Signatur echt ist. Mit dem **privaten Schlüssel** kann nur der Besitzer die Nachricht entschlüsseln oder selbst signieren. ([de.wikipedia.org](https://de.wikipedia.org/wiki/GNU_Privacy_Guard)) ## Was „angeboten“ praktisch bedeutet Wenn auf einer Website, in einer Mail oder in einem Repository ein GPG-Schlüssel „angeboten“ wird, heißt das meist: Der Anbieter veröffentlicht seinen **Public Key**, damit du Dateien, Pakete oder Nachrichten auf Echtheit prüfen kannst. Bei Software-Repositories dient das oft dazu, signierte Pakete zu verifizieren. ([tuxedocomputers.com](https://www.tuxedocomputers.com/de/Infos/Hilfe-Support/Anleitungen/Wozu-dienen-GPG-Schluessel-bei-Repositories-)) ## Wichtiger Punkt Ein angebotener GPG-Schlüssel ist **nicht automatisch vertrauenswürdig**, nur weil er öffentlich abrufbar ist. Wirklich sicher ist er erst, wenn du den **Fingerprint** über eine zweite, vertrauenswürdige Quelle geprüft hast. Genau diese Prüfung ist der kritische Teil bei GPG. ([gnupg.org](https://www.gnupg.org/gph/de/manual.pdf)) Praktisch heißt das: **Angeboten = öffentlich bereitgestellt, aber noch nicht automatisch verifiziert.**