Hallo
On Wed, Apr 18, 2001 at 03:39:26PM +0200, Michael Weitzel wrote:
> Am Mittwoch, den 18. April 2001, um 09:39h schrieb Frank Rosendahl:
>
> > > ich wollte eigentlich schon immer wissen, ob es gewünscht oder als
> > > unerwünscht angesehen wird, wenn man seine Mail mit PGP Signiert.
> > Ich sehe es als positiv, denn wir haben hier in der Liste in letzter Zeit
> > immer wieder Spammer gehabt.
> PGP-Signaturen auf Mailinglisten finde ich persönlich nicht besonders
> sinnvoll. Wenn "Frank Rosendahl" im Absender einer Email steht, die auf
> diese Mailingliste geht und wenn die Email nicht signiert ist - oder
> durch jemand anderen signiert ist, wird NIEMAND bezweifeln, daß die
> Email wirklich von Dir ist - auch wenn es ein Fake ist.
ok, das ist wohl der Fall, da die Mehrzahl kein PGP benutzt. Aber nur
weil in der Mehrzahl keiner meine Wohnung ausräumt wenn ich die
Haustüre nicht abschließe, ist der Lock der Tür nicht sinnlos.
durch eine Signatur hat einer die Möglichkeit, die Herkunft einer Mail
zu überprüfen. Mehr nicht.
> > Wenn ich meine Mails hier mit PGP signiere, dann kann wenigstens jeder
> > in der Liste überprüfen, ob die Mail wirklich von mir kommt.
> wie soll z.B. ich die Echtheit Deiner Email überprüfen? Ich habe Deinen
> Public-Key nicht in meinem Schlüsselbund. In Deiner Email war kein
> Verweis auf Deinen Public-Key - wo kann man den sich besorgen?
für sowas gibt es pgp-server.
Vielleicht ein Beispiel aus einer Mail von debian-devel:
! [-- PGP output follows (current time: Thu Apr 19 07:51:56 2001) --]
! gpg: Signature made Wed Apr 18 07:47:07 2001 CEST using RSA key ID E7694969
! gpg: requesting key E7694969 from wwwkeys.pgp.net ...
! gpg: key E7694969: public key imported
! gpg: Total number processed: 1
! gpg: imported: 1 (RSA: 1)
! gpg: Good signature from "Alexander Koch <efraim@debian.org>"
! gpg: aka "Alexander Koch <koch@cid.net>"
! gpg: aka "Alexander Koch <efraim@argh.org>"
! gpg: aka "Alexander Koch <alexander@dana.de>"
! gpg: aka "Alexander Koch <efraim@desire.argh.org>"
! gpg: aka "Alexander Koch <efraim@really.argh.org>"
! gpg: aka "Alexander Koch <efraim@deadend.argh.org>"
! gpg: WARNING: This key is not certified with a trusted signature!
! gpg: There is no indication that the signature belongs to the
! owner.
! gpg: Fingerprint: CD 5B A3 EB B0 A4 1B 28 13 2E 8E 15 64 15 4B 2A
! [-- End of PGP output --]
Was sagt uns dieser Output:
- der Key ist ein RSA-Key mit der ID E7694969
- dieser wurde gerade (automatisch) von wwwkeys.pgp.net geholt
- die Signatur ist in Ordnung
- aber nicht vertrauenswürdig, da durch das 'Web of Trust' nicht
"sichergestellt" werden kann, das der Key-Inhaber 'Alexander Koch'
ist.
> Mutt sagt "PGP Unterschrift erfolgreich überprüft." - In der Ausgabe
> von PGP steht aber (aus einer Mail von jemandem aus dieser ML):
NEIN.
Besrg dir dringend ein Buch/Doc/Man-Pages/... von/über pgp/gpg. IMHO
hast du das alles nicht verstanden.
die Ausgabe von mutt 'PGP Unterschrift erfolgreich überprüft'
bedeutet:
Mutt konnte pgp/gpg ohne Probleme aufrufen und der Output ist
in der Mail enthalten. Hier steht dann bei dir:
> [-- PGP-Ausgabe folgt (aktuelle Zeit: Mit 18 Apr 2001 15:16:18 CEST) --]
> Signature by unknown keyid: 0x3E17BBC5
> Opening file "/dev/null" type text.
> This signature applies to another message
> [-- Ende der PGP-Ausgabe --]
Der Key ist also nicht bekannt und daher kann diese Mail nicht
überprüft werden.... -> Null-Aussage
> Das ganze kann man "von Hand" überprüfen. Wenn man die Nachricht in
> "nachricht" und die Signatur in "nachricht.sig" abspeichert ...
unnötig, da mutt das wohl richtig macht. aber eine gute 'Fingerübung'
> Wie man sieht, sagt PGP in jedem Fall "Signature by unknown keyid:
> 0x3E17BBC". Die Aussage ist, daß es eine Signatur gefunden hat, die zu
> einem unbekannten Schluessel gehoert.
richtig
> Und Mutt wird hier in jedem Fall
> "PGP Unterschrift erfolgreich überprüft." melden. Wenn PGP eine Unterschrift
> WIRKLICH erfolgreich überprüft, sieht das so aus (aus der signierten Email
> eines Freundes (Adresse, Datum und ID geXt):
ok, schauen wir uns das mal an:
> [-- PGP-Ausgabe folgt (aktuelle Zeit: Mit 18 Apr 2001 15:23:00 CEST) --]
> Good signature made XXXX-XX-XX XX:XX GMT by key:
> 1024 bits, Key ID XXXXXXXX, Created XXXX-XX-XX
> "XXXXXX XXXXX <XXXXXX.XXXXX@XXXXXX.XXX>"
> Opening file "/dev/null" type text.
> This signature applies to another message
>
> WARNING: The signing key is not trusted to belong to:
> XXXXXX XXXXX <XXXXXX.XXXXX@XXXXXX.XXX>
>
> [-- Ende der PGP-Ausgabe --]
>
> Hier warnt lediglich PGP, das sein Public-Schluessel, der in meinem
> Schluesselbund ist, nicht "ge-trust-ed" ist - also, daß nicht 100% sicher
> ist, daß der Public-Key wirklich zu ihm gehoert. In dem Fall bin ich
> mir aber sicher, da wir damals unsere Public-Keys per Diskette
> ausgetauscht haben.
warum sagst du das deinen pgp/gpg dann nicht?
Dann würde dieser auch keine Warnung mehr heraus geben.
> Wenn Du nun also zusätzlich zu Deiner Signatur Deinen Public-Key an
> Deine Emails anhängen würdest, wuerde das nichts bringen. Woher sollte
> ich dann wissen, ob Du - nur um mich zu foppen - nicht einen neuen Key
> erzeugt hast, mit dem Du dann die Email signiert hast.
Wenn man einen key hat, diesen regelmäßig benutzt und auch noch damit
umgehen kann: ist ein Key sinnvoll.
- den Key kann man von einen key-server (automatisch) bekommen
- wenn beide Mitglied des Web of Trust sind, kann auch die Herkunft
sichergestellt werden.
- Gerade bei Debian werden Keys ausgetauscht und gegenseitig
signiert. Dadurch ist die Wahrscheinlichkeit auf einer
debian-*-Mailingliste gar nicht mal so schlecht.
- die Debian-Keys gibt es auch als Datei und/oder als Package vom
debian server
> (Mein) Fazit: PGP-Signaturen auf Mailinglisten sind sinnloser Datenmüll.
diese Aussage kann ich nicht unterschreiben.
Gruss
Grisu, diese mail auch signiert..
--
Michael Bramer - a Debian Linux Developer http://www.debian.org
PGP: finger grisu@db.debian.org -- Linux Sysadmin -- Use Debian Linux
Alle unsere Unixkisten wurden hingestellt und laufen. Bei Windows l?uft
vor allem der Mensch, der versuchen darf, das Zeug in Gang zu halten.
Jens Dittmar in de.comp.advocacy
Attachment:
pgp6PvjDshn3S.pgp
Description: PGP signature