[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: PGP Nutzung in der Gruppe



Hallo Michael,

* Michael Bramer schrieb:

> Hallo
> 
> On Wed, Apr 18, 2001 at 03:39:26PM +0200, Michael Weitzel wrote:
> > Am Mittwoch, den 18. April 2001, um 09:39h schrieb Frank Rosendahl:
> > 
> > > > ich wollte eigentlich schon immer wissen, ob es gewünscht oder als
> > > > unerwünscht angesehen wird, wenn man seine Mail mit PGP Signiert.
> > > Ich sehe es als positiv, denn wir haben hier in der Liste in letzter Zeit 
> > > immer wieder Spammer gehabt.
> > PGP-Signaturen auf Mailinglisten finde ich persönlich nicht besonders
> > sinnvoll. Wenn "Frank Rosendahl" im Absender einer Email steht, die auf
> > diese Mailingliste geht und wenn die Email nicht signiert ist - oder
> > durch jemand anderen signiert ist, wird NIEMAND bezweifeln, daß die
> > Email wirklich von Dir ist - auch wenn es ein Fake ist.
> 
> ok, das ist wohl der Fall, da die Mehrzahl kein PGP benutzt. Aber nur
> weil in der Mehrzahl keiner meine Wohnung ausräumt wenn ich die
> Haustüre nicht abschließe, ist der Lock der Tür nicht sinnlos.
> 
> durch eine Signatur hat einer die Möglichkeit, die Herkunft einer Mail
> zu überprüfen. Mehr nicht. 

Mehr nicht ist wohl auch nicht korrekt. 
Eine digitale Signatur ermöglicht es auch zu überprüfen, ob
die Nachricht unverändert vom Absender zum Empfänger gelangt ist.
"Herkunft" ist etwas schwammig finde ich, von "wem" eine Email 
geschrieben wurde, kann durch die digitale Signatur überprüft werden. 

> > > Wenn ich meine Mails hier mit PGP signiere, dann kann wenigstens jeder
> > > in der Liste überprüfen, ob die Mail wirklich von mir kommt.
> > wie soll z.B. ich die Echtheit Deiner Email überprüfen? Ich habe Deinen
> > Public-Key nicht in meinem Schlüsselbund. In Deiner Email war kein
> > Verweis auf Deinen Public-Key - wo kann man den sich besorgen?
> 
> für sowas gibt es pgp-server. 

ACK

> > Hier warnt lediglich PGP, das sein Public-Schluessel, der in meinem
> > Schluesselbund ist, nicht "ge-trust-ed" ist - also, daß nicht 100% sicher
> > ist, daß der Public-Key wirklich zu ihm gehoert. In dem Fall bin ich
> > mir aber sicher, da wir damals unsere Public-Keys per Diskette
> > ausgetauscht haben.
> 
> warum sagst du das deinen pgp/gpg dann nicht?

Genau, wenn man die Public Keys über Disketten persönlich
austauscht, kann man wohl ziemlich sicher sein das der Key auch zu
dieser Person gehört und folglich kann man dem Key voll vertrauen
und ihn mit seinem persönlichen Key signieren.

> Dann würde dieser auch keine Warnung mehr heraus geben. 
> 
> > Wenn Du nun also zusätzlich zu Deiner Signatur Deinen Public-Key an
> > Deine Emails anhängen würdest, wuerde das nichts bringen. Woher sollte
> > ich dann wissen, ob Du - nur um mich zu foppen - nicht einen neuen Key
> > erzeugt hast, mit dem Du dann die Email signiert hast.
> 
> Wenn man einen key hat, diesen regelmäßig benutzt und auch noch damit
> umgehen kann: ist ein Key sinnvoll.
> 
>  - den Key kann man von einen key-server (automatisch) bekommen
>  - wenn beide Mitglied des Web of Trust sind, kann auch die Herkunft
>    sichergestellt werden.
>  - Gerade bei Debian werden Keys ausgetauscht und gegenseitig
>    signiert. Dadurch ist die Wahrscheinlichkeit auf einer
>    debian-*-Mailingliste gar nicht mal so schlecht.
>  - die Debian-Keys gibt es auch als Datei und/oder als Package vom
>    debian server
> 
> > (Mein) Fazit: PGP-Signaturen auf Mailinglisten sind sinnloser Datenmüll.
> 
> diese Aussage kann ich nicht unterschreiben.

Ich doch. 
Wenn man mäßig paranoid ist, dann könnte man ja auch euren Keys
nicht Vertrauen, denn vielleicht hat sich jemand bei eurem Web of
Trust eingeschlichen. Mir persönlich bringt diese Signatur
garnichts, warum sollte ich diesen Keys vertrauen? 
Ich habe weder über einen anderen Kommunikationsweg (z.B. Telefon)
deinen Fingerprint verglichen, noch weiß ich wie bei euch das 
Web of Trust aufgebaut wurde.

Wird bei euch zum Beispiel die Identität des Key-Besitzers durch Prüfung des
Personalausweises gesichert? Das c't Magazin praktiziert es
beispielsweise so.

cya
Waldemar

-- 
* Best MUA in the world:               |      (o_      *
*       http://www.mutt.org            |      //\      *        
*           Linux rulez!    ;-)        |      V_/_     *
* GnuPG-Key: 0xBE21BD90 | Tux: #155220 | ICQ: 64035650 *

--
-----------------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie bitte eine
E-Mail an debian-user-de-request@lehmanns.de die im Subject
"unsubscribe <deine_email_adresse>" enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@Lehmanns.de
-----------------------------------------------------------

792 eingetragene Mitglieder in dieser Liste.


Reply to: