Re: PGP Nutzung in der Gruppe

To: debian-user-de@lehmanns.de
Subject: Re: PGP Nutzung in der Gruppe
From: Michael Weitzel <weitzel@ldknet.org>
Date: Thu, 19 Apr 2001 14:08:45 +0200
Message-id: <[🔎] 20010419140844.A26134@freewind.unix-ag.uni-siegen.de>
Mail-followup-to: Michael Weitzel <weitzel@ldknet.org>, debian-user-de@lehmanns.de
In-reply-to: <[🔎] 20010419080858.B28196@home.debsupport.de>; from grisu@debian.org on Thu, Apr 19, 2001 at 08:08:58AM +0200
References: <[🔎] 20010418092347.A9638@rm-c-nt-2999.tacra.deteline.de> <[🔎] 01041809390407.05685@linuxmoehre> <[🔎] 20010418153926.A331@flame> <[🔎] 20010419080858.B28196@home.debsupport.de>

Hallo Michael,

> > wie soll z.B. ich die Echtheit Deiner Email überprüfen? Ich habe Deinen
> > Public-Key nicht in meinem Schlüsselbund. In Deiner Email war kein
> > Verweis auf Deinen Public-Key - wo kann man den sich besorgen?
> für sowas gibt es pgp-server. 
ok. wenn er seinen key auf einem solchen server hat ... ich persoenlich
wuesste nicht, wie ich mein pgp5 dazu bewegen soll einen solchen Server
zu befragen - das ist aber mein persoenliches Problem. Davon abgesehen lese
ich meine Emails offline (mein persoenliches technisches Problem).

> Vielleicht ein Beispiel aus einer Mail von debian-devel:
[...]
> ! gpg: Good signature from "Alexander Koch <efraim@debian.org>"
[...]
> ! gpg: WARNING: This key is not certified with a trusted signature!
> ! gpg:          There is no indication that the signature belongs to the

> Was sagt uns dieser Output:
>   - der Key ist ein RSA-Key mit der ID E7694969
ok.

>   - dieser wurde gerade (automatisch) von wwwkeys.pgp.net geholt
>   - die Signatur ist in Ordnung
ok.

>   - aber nicht vertrauenswürdig, da durch das 'Web of Trust' nicht
>     "sichergestellt" werden kann, das der Key-Inhaber 'Alexander Koch'
>     ist.
Tja :-/. Ich kenne die Zugangsbedingungen zu dem PGP-Server nicht,
aber wenn die Identitaet der Person nicht garantiert werden kann (weil sich
die Person z.B. nicht pers. mit amtlicher Bestaetigung dort angemeldet hat)
ist die Aussage, dass der Key existiert und die Email mit diesem Key
signiert wurde, nicht besonders aussagekraeftig. (es sei denn, A.Koch
bestaetigt Dir z.B. per Telefon, dass er einen Key mit der ID... bei
wwwkeys.pgp.net liegen hat). Wie werden die IDs eigentlich erzeugt? Sind das
Pfuefsummen der Primzahlen?

> > Mutt sagt "PGP Unterschrift erfolgreich überprüft." - In der Ausgabe
> > von PGP steht aber (aus einer Mail von jemandem aus dieser ML):
> NEIN.
> Besrg dir dringend ein Buch/Doc/Man-Pages/... von/über pgp/gpg. IMHO
> hast du das alles nicht verstanden.
gerade weil ich PGP/RSA verstanden habe, habe ich Zweifel ;-) Eine Nachricht von
Fritz Mueller wird nicht ploetzlich vertrauenswuerdig, nur, weil er sich einen
PGP-Key erzeugt und dann damit Mails signiert, die er auf eine Mailingliste
schickt. Es wird auch nicht besser, wenn er diesen neu erzeugten Key
irgendwo im Internet hochlaedt.

> die Ausgabe von mutt 'PGP Unterschrift erfolgreich überprüft'
> bedeutet:
> 	Mutt konnte pgp/gpg ohne Probleme aufrufen und der Output ist
> 	in der Mail enthalten.
wieso sagt dann Mutt nicht einfach 'PGP wurde erfolgreich gestartet' ? :-/
wenn jemand sagt 'ich habe die Echtheit Deines Briefes erfolgreich
ueber Deine Signatur ueberprueft', ist die Aussage klar. 'PGP Unterschrift
erfolgreich ueberprueft' ist wohl etwas ungluecklich.

> > [-- Ende der PGP-Ausgabe --]
> > Hier warnt lediglich PGP, das sein Public-Schluessel, der in meinem
> > Schluesselbund ist, nicht "ge-trust-ed" ist - also, daß nicht 100% sicher
> > ist, daß der Public-Key wirklich zu ihm gehoert. In dem Fall bin ich
> > mir aber sicher, da wir damals unsere Public-Keys per Diskette
> > ausgetauscht haben.
> warum sagst du das deinen pgp/gpg dann nicht?
> Dann würde dieser auch keine Warnung mehr heraus geben. 
ja, koennte ich machen ...

> Wenn man einen key hat, diesen regelmäßig benutzt und auch noch damit
> umgehen kann: ist ein Key sinnvoll.
> 
>  - den Key kann man von einen key-server (automatisch) bekommen
>  - wenn beide Mitglied des Web of Trust sind, kann auch die Herkunft
>    sichergestellt werden.
>  - Gerade bei Debian werden Keys ausgetauscht und gegenseitig
>    signiert. Dadurch ist die Wahrscheinlichkeit auf einer
>    debian-*-Mailingliste gar nicht mal so schlecht.
>  - die Debian-Keys gibt es auch als Datei und/oder als Package vom
>    debian server
das hoert sich alles gut an... und die Keys sind wohl auch relativ
vertrauenswuerdig, aber die Mehrheit der Leser dieser Mailingliste kann das
wohl nicht von sich behaupten.
-- 
   Michael                  Unix-AG /  LDKnet / LDK/LUG
     *Weitzel* /LinuX --- email: weitzel@ldknet.org

--
-----------------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie bitte eine
E-Mail an debian-user-de-request@lehmanns.de die im Subject
"unsubscribe <deine_email_adresse>" enthaelt.
Bei Problemen bitte eine Mail an: Jan.Otto@Lehmanns.de
-----------------------------------------------------------

793 eingetragene Mitglieder in dieser Liste.

Reply to:

Follow-Ups:
- Re: PGP Nutzung in der Gruppe
  - From: Michael Bramer <grisu@debian.org>
- Re: PGP Nutzung in der Gruppe
  - From: Patrick von der Hagen <patrick@vonderhagen.de>
- Re: PGP Nutzung in der Gruppe
  - From: Michael Weitzel <weitzel@ldknet.org>

References:
- [Debian] PGP Nutzung in der Gruppe
  - From: Lothar Schweikle-Droll <L.Schweikle@logout.de>
- Re: [Debian] PGP Nutzung in der Gruppe
  - From: Frank Rosendahl <F.Rosendahl@delos.de>
- Re: PGP Nutzung in der Gruppe
  - From: Michael Weitzel <weitzel@ldknet.org>
- Re: PGP Nutzung in der Gruppe
  - From: Michael Bramer <grisu@debian.org>

Prev by Date: Re: [Debian] Installationsbericht woody und X
Next by Date: Re: PGP Nutzung in der Gruppe
Previous by thread: Re: PGP Nutzung in der Gruppe
Next by thread: Re: PGP Nutzung in der Gruppe
Index(es):
- Date
- Thread