Re: PGP Nutzung in der Gruppe

To: Debian Mailing-Liste <debian-user-de@lehmanns.de>
Subject: Re: PGP Nutzung in der Gruppe
From: Michael Weitzel <weitzel@ldknet.org>
Date: Wed, 18 Apr 2001 15:39:26 +0200
Message-id: <[🔎] 20010418153926.A331@flame>
In-reply-to: <[🔎] 01041809390407.05685@linuxmoehre>; from F.Rosendahl@delos.de on Wed, Apr 18, 2001 at 09:39:04AM +0200
References: <[🔎] 20010418092347.A9638@rm-c-nt-2999.tacra.deteline.de> <[🔎] 01041809390407.05685@linuxmoehre>

Am Mittwoch, den 18. April 2001, um 09:39h schrieb Frank Rosendahl:

> > ich wollte eigentlich schon immer wissen, ob es gewünscht oder als
> > unerwünscht angesehen wird, wenn man seine Mail mit PGP Signiert.
> Ich sehe es als positiv, denn wir haben hier in der Liste in letzter Zeit 
> immer wieder Spammer gehabt.
PGP-Signaturen auf Mailinglisten finde ich persönlich nicht besonders
sinnvoll. Wenn "Frank Rosendahl" im Absender einer Email steht, die auf
diese Mailingliste geht und wenn die Email nicht signiert ist - oder
durch jemand anderen signiert ist, wird NIEMAND bezweifeln, daß die
Email wirklich von Dir ist - auch wenn es ein Fake ist.

> Wenn ich meine Mails hier mit PGP signiere, dann kann wenigstens jeder
> in der Liste überprüfen, ob die Mail wirklich von mir kommt.
wie soll z.B. ich die Echtheit Deiner Email überprüfen? Ich habe Deinen
Public-Key nicht in meinem Schlüsselbund. In Deiner Email war kein
Verweis auf Deinen Public-Key - wo kann man den sich besorgen?

Mutt sagt "PGP Unterschrift erfolgreich überprüft." - In der Ausgabe
von PGP steht aber (aus einer Mail von jemandem aus dieser ML):

[-- PGP-Ausgabe folgt (aktuelle Zeit: Mit 18 Apr 2001 15:16:18 CEST) --]
Signature by unknown keyid: 0x3E17BBC5
Opening file "/dev/null" type text.
This signature applies to another message
[-- Ende der PGP-Ausgabe --]

Das ganze kann man "von Hand" überprüfen. Wenn man die Nachricht in
"nachricht" und die Signatur in "nachricht.sig" abspeichert ...

===cut===
michael@flame:[/usr/doc/pgp5i]$ pgpv -v ~/nachricht.sig
Reading secret keyring "/home/michael/.pgp/secring.skr"
Reading public keyring "/home/michael/.pgp/pubring.pkr"
This signature applies to another message
File to check signature against [/home/michael/nachricht]:
/home/michael/nachricht
Signature by unknown keyid: 0x3E17BBC5
===cut===

jetzt das gleiche Spiel nochmal mit "test.zip" anstelle von "nachricht"

===cut===
michael@flame:[/usr/doc/pgp5i]$ pgpv -v ~/nachricht.sig
Reading secret keyring "/home/michael/.pgp/secring.skr"
Reading public keyring "/home/michael/.pgp/pubring.pkr"
This signature applies to another message
File to check signature against [/home/michael/nachricht]:
/home/michael/test.zip
Signature by unknown keyid: 0x3E17BBC5
===cut===

Wie man sieht, sagt PGP in jedem Fall "Signature by unknown keyid:
0x3E17BBC". Die Aussage ist, daß es eine Signatur gefunden hat, die zu
einem unbekannten Schluessel gehoert. Und Mutt wird hier in jedem Fall
"PGP Unterschrift erfolgreich überprüft." melden. Wenn PGP eine Unterschrift
WIRKLICH erfolgreich überprüft, sieht das so aus (aus der signierten Email
eines Freundes (Adresse, Datum und ID geXt):

[-- PGP-Ausgabe folgt (aktuelle Zeit: Mit 18 Apr 2001 15:23:00 CEST) --]
Good signature made XXXX-XX-XX XX:XX GMT by key:
  1024 bits, Key ID XXXXXXXX, Created XXXX-XX-XX
   "XXXXXX XXXXX <XXXXXX.XXXXX@XXXXXX.XXX>"
Opening file "/dev/null" type text.
This signature applies to another message

WARNING: The signing key is not trusted to belong to:
XXXXXX XXXXX <XXXXXX.XXXXX@XXXXXX.XXX>

[-- Ende der PGP-Ausgabe --]

Hier warnt lediglich PGP, das sein Public-Schluessel, der in meinem
Schluesselbund ist, nicht "ge-trust-ed" ist - also, daß nicht 100% sicher
ist, daß der Public-Key wirklich zu ihm gehoert. In dem Fall bin ich
mir aber sicher, da wir damals unsere Public-Keys per Diskette
ausgetauscht haben.

Wenn Du nun also zusätzlich zu Deiner Signatur Deinen Public-Key an
Deine Emails anhängen würdest, wuerde das nichts bringen. Woher sollte
ich dann wissen, ob Du - nur um mich zu foppen - nicht einen neuen Key
erzeugt hast, mit dem Du dann die Email signiert hast.

(Mein) Fazit: PGP-Signaturen auf Mailinglisten sind sinnloser Datenmüll.
-- 
   Michael                  LDKnet / LDK/LUG / Unix-AG
     *Weitzel* /LinuX --- email: michael(at)ldknet.org

-- 
-----------------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie bitte eine
E-Mail an debian-user-de-request@lehmanns.de die im Subject
"unsubscribe <deine_email_adresse>" enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@Lehmanns.de
-----------------------------------------------------------

794 eingetragene Mitglieder in dieser Liste.

Reply to:

Follow-Ups:
- Re: PGP Nutzung in der Gruppe
  - From: Michael Bramer <grisu@debian.org>

References:
- [Debian] PGP Nutzung in der Gruppe
  - From: Lothar Schweikle-Droll <L.Schweikle@logout.de>
- Re: [Debian] PGP Nutzung in der Gruppe
  - From: Frank Rosendahl <F.Rosendahl@delos.de>

Prev by Date: Re: ssh X-Forwarding
Next by Date: Re: locale unter X
Previous by thread: Re: [Debian] PGP Nutzung in der Gruppe
Next by thread: Re: PGP Nutzung in der Gruppe
Index(es):
- Date
- Thread