On Thu, Apr 19, 2001 at 11:20:53AM +0200, Waldemar Brodkorb wrote:
> >
> > ok, das ist wohl der Fall, da die Mehrzahl kein PGP benutzt. Aber nur
> > weil in der Mehrzahl keiner meine Wohnung ausräumt wenn ich die
> > Haustüre nicht abschließe, ist der Lock der Tür nicht sinnlos.
> >
> > durch eine Signatur hat einer die Möglichkeit, die Herkunft einer Mail
> > zu überprüfen. Mehr nicht.
>
> Mehr nicht ist wohl auch nicht korrekt.
> Eine digitale Signatur ermöglicht es auch zu überprüfen, ob
> die Nachricht unverändert vom Absender zum Empfänger gelangt ist.
> "Herkunft" ist etwas schwammig finde ich, von "wem" eine Email
> geschrieben wurde, kann durch die digitale Signatur überprüft werden.
in diesen Sinne verstehe ich es ja auch.
Wenn die Mail verändert wurde, hat diese Mail ja auch eine andere
Herkunft....
> > > Hier warnt lediglich PGP, das sein Public-Schluessel, der in meinem
> > > Schluesselbund ist, nicht "ge-trust-ed" ist - also, daß nicht 100% sicher
> > > ist, daß der Public-Key wirklich zu ihm gehoert. In dem Fall bin ich
> > > mir aber sicher, da wir damals unsere Public-Keys per Diskette
> > > ausgetauscht haben.
> >
> > warum sagst du das deinen pgp/gpg dann nicht?
>
> Genau, wenn man die Public Keys über Disketten persönlich
> austauscht, kann man wohl ziemlich sicher sein das der Key auch zu
> dieser Person gehört und folglich kann man dem Key voll vertrauen
> und ihn mit seinem persönlichen Key signieren.
Für eine richtige Signatur des Keys sollte aber auch ein
Lichtbildausweis ausgetauscht werden...
> > > Wenn Du nun also zusätzlich zu Deiner Signatur Deinen Public-Key an
> > > Deine Emails anhängen würdest, wuerde das nichts bringen. Woher sollte
> > > ich dann wissen, ob Du - nur um mich zu foppen - nicht einen neuen Key
> > > erzeugt hast, mit dem Du dann die Email signiert hast.
> >
> > Wenn man einen key hat, diesen regelmäßig benutzt und auch noch damit
> > umgehen kann: ist ein Key sinnvoll.
> >
> > - den Key kann man von einen key-server (automatisch) bekommen
> > - wenn beide Mitglied des Web of Trust sind, kann auch die Herkunft
> > sichergestellt werden.
> > - Gerade bei Debian werden Keys ausgetauscht und gegenseitig
> > signiert. Dadurch ist die Wahrscheinlichkeit auf einer
> > debian-*-Mailingliste gar nicht mal so schlecht.
> > - die Debian-Keys gibt es auch als Datei und/oder als Package vom
> > debian server
> >
> > > (Mein) Fazit: PGP-Signaturen auf Mailinglisten sind sinnloser Datenmüll.
> >
> > diese Aussage kann ich nicht unterschreiben.
>
> Ich doch.
> Wenn man mäßig paranoid ist, dann könnte man ja auch euren Keys
> nicht Vertrauen, denn vielleicht hat sich jemand bei eurem Web of
> Trust eingeschlichen. Mir persönlich bringt diese Signatur
> garnichts, warum sollte ich diesen Keys vertrauen?
muß du auch nicht.
Unterschriften (ob digital oder auch normal) können ein Vertrauen nur
stärken bzw. schwächen (wenn sie 'falsch' aussehen).
Sie können nie eine 100%ige sicherheit geben.
> Ich habe weder über einen anderen Kommunikationsweg (z.B. Telefon)
> deinen Fingerprint verglichen, noch weiß ich wie bei euch das
> Web of Trust aufgebaut wurde.
richtig. Wenn du aber auf Messen, Treffen etc. von einigen Leuten Keys
bekommst und diese dann gegenseitig signierst, dann bist du Teil des
Web of Trust. Auch siehst du dann (ganz Praktisch an der eigenen Haut)
wie der einzelne die Keys überprüft (ob mir Perso, ...)
In der Config kann man ja auch einstellen, wie weit die Gewichtung vom
"Web of Trust" geht oder ob dieser überhaupt benutzt werden soll.
> Wird bei euch zum Beispiel die Identität des Key-Besitzers durch Prüfung des
> Personalausweises gesichert? Das c't Magazin praktiziert es
> beispielsweise so.
ich mache das z.Z. Und auf der CeBit habe ich auch einen Antrag bei
heise abgegeben.
und btw:
Alle Debian-Leute haben auf deinen Rechner Root-Rechte, wenn
du Packages von diesen Maintainer installierst. Daher ist hier
das Vertrauen und auch die Kontrolle IMHO wichtig.
Gruss
Grisu
--
Michael Bramer - a Debian Linux Developer http://www.debian.org
PGP: finger grisu@db.debian.org -- Linux Sysadmin -- Use Debian Linux
"...anytime you install something new on the Windows platform, you risk spending
the next five or six hours trying to figure out what happened"
-- Robert Roblin, Adobe
Attachment:
pgpogk1WNEyUN.pgp
Description: PGP signature