On Thu, Apr 19, 2001 at 02:08:45PM +0200, Michael Weitzel wrote:
> > - aber nicht vertrauenswürdig, da durch das 'Web of Trust' nicht
> > "sichergestellt" werden kann, das der Key-Inhaber 'Alexander Koch'
> > ist.
> Tja :-/. Ich kenne die Zugangsbedingungen zu dem PGP-Server nicht,
> aber wenn die Identitaet der Person nicht garantiert werden kann (weil sich
> die Person z.B. nicht pers. mit amtlicher Bestaetigung dort angemeldet hat)
> ist die Aussage, dass der Key existiert und die Email mit diesem Key
> signiert wurde, nicht besonders aussagekraeftig. (es sei denn, A.Koch
> bestaetigt Dir z.B. per Telefon, dass er einen Key mit der ID... bei
> wwwkeys.pgp.net liegen hat).
volles ack.
Wenn _du_ keine Bestaetigung hast, ist die Sig für dich (jetzt) nicht
weiter sinnvoll und nur ein sehr schwacher Verdachtsmoment für die
Richtigkeit der Mail.
(auch wenn wir uns beide nicht kennen, kannst du auf jeden Fall
folgende Aussage machen (in meinen Fall):
Dieser Michael auf der Liste (wer er auch immer sein wird) hat
all diese Mails geschrieben und er ist ein Debian Maintainer.
(wenn ich jetzt unterstelle das der Key-Inhaber (also ich in diesen
Falle) den Schlüssel keinen anderen gegeben hat bzw. dieser nicht
gestolen wurde.)
> > > Mutt sagt "PGP Unterschrift erfolgreich überprüft." - In der Ausgabe
> > > von PGP steht aber (aus einer Mail von jemandem aus dieser ML):
> > NEIN.
> > Besrg dir dringend ein Buch/Doc/Man-Pages/... von/über pgp/gpg. IMHO
> > hast du das alles nicht verstanden.
> gerade weil ich PGP/RSA verstanden habe, habe ich Zweifel ;-) Eine Nachricht von
> Fritz Mueller wird nicht ploetzlich vertrauenswuerdig, nur, weil er sich einen
> PGP-Key erzeugt und dann damit Mails signiert, die er auf eine Mailingliste
> schickt. Es wird auch nicht besser, wenn er diesen neu erzeugten Key
> irgendwo im Internet hochlaedt.
ack.
Das hat alles soviel Wert wie eine Unterschrift auf einen normalen
Blatt Papier. Ich unterschreibe in RL alles was ich schreibe und mache
dieses auch i.d.R. online.
Erst durch die Stetigkeit wird ein Schuh draus.
> > die Ausgabe von mutt 'PGP Unterschrift erfolgreich überprüft'
> > bedeutet:
> > Mutt konnte pgp/gpg ohne Probleme aufrufen und der Output ist
> > in der Mail enthalten.
> wieso sagt dann Mutt nicht einfach 'PGP wurde erfolgreich gestartet' ? :-/
> wenn jemand sagt 'ich habe die Echtheit Deines Briefes erfolgreich
> ueber Deine Signatur ueberprueft', ist die Aussage klar. 'PGP Unterschrift
> erfolgreich ueberprueft' ist wohl etwas ungluecklich.
schreib einen patch und sende diesen upstream oder zum debian
Maintainer.
> > > Hier warnt lediglich PGP, das sein Public-Schluessel, der in meinem
> > > Schluesselbund ist, nicht "ge-trust-ed" ist - also, daß nicht 100% sicher
> > > ist, daß der Public-Key wirklich zu ihm gehoert. In dem Fall bin ich
> > > mir aber sicher, da wir damals unsere Public-Keys per Diskette
> > > ausgetauscht haben.
> > warum sagst du das deinen pgp/gpg dann nicht?
> > Dann würde dieser auch keine Warnung mehr heraus geben.
> ja, koennte ich machen ...
erst durch solche (richtig überprüfte) Keys und deren Signatur durch
einen anderen kann das Web of Trust wachsen.
> > Wenn man einen key hat, diesen regelmäßig benutzt und auch noch damit
> > umgehen kann: ist ein Key sinnvoll.
> >
> > - den Key kann man von einen key-server (automatisch) bekommen
> > - wenn beide Mitglied des Web of Trust sind, kann auch die Herkunft
> > sichergestellt werden.
> > - Gerade bei Debian werden Keys ausgetauscht und gegenseitig
> > signiert. Dadurch ist die Wahrscheinlichkeit auf einer
> > debian-*-Mailingliste gar nicht mal so schlecht.
> > - die Debian-Keys gibt es auch als Datei und/oder als Package vom
> > debian server
> das hoert sich alles gut an... und die Keys sind wohl auch relativ
> vertrauenswuerdig, aber die Mehrheit der Leser dieser Mailingliste kann das
> wohl nicht von sich behaupten.
dann müssen Sie eben einfach:
- gpg verstehen
- gpg aktiv nutzen
- Teil es web of Trust werden
Du und alle anderen können Keys bei jeder Veranstaltung mit anderen
tauschen, überprüfen, signieren. Hier fallen mir z.Z. ein:
- LUG-Treffen
- Freunde
- Linuxtage (Braunschweig, Berlin, Magdeburg, Stuttgart, ...)
- Linux-Kongress
- ...
Gruss
Grisu
--
Michael Bramer - a Debian Linux Developer http://www.debian.org
PGP: finger grisu@db.debian.org -- Linux Sysadmin -- Use Debian Linux
"We just typed make..." -- (Stephen Lambrigh, Director of Server Product
Marketing at Informix about porting their Database to Linux)
Attachment:
pgpIy4HwsPk3l.pgp
Description: PGP signature