Re: Verschluesselung mit Kmail 1.4.2 und GnuPG 1.0.7
> Veraendert man die Trust-Beziehung (z.B. auf "Never trust this key"),
> so klappts auch mit Kmail.
Stimmt auch nicht ganz. Das ganze "Problem" haengt mit der Handhabung
der Trust-Beziehungen unter GnuPG 1.0.7 zusammen.
KMail laesst nur die Verwendung von gueltigen Keys zu. Ein Key ist in
der Default-Einstellung gueltig gdw.:
- er mit mindestens einem Key signiert ist, den man selbst in seinem
secret keyring hat oder
- er mit mindestens einem "fully trusted" Key signiert ist oder
- er mit mindestens 3 "marginal trusted" Keys signiert ist
und darueberhinaus
- der Pfad vom zu pruefenden Key zum eigenen maximal 5 Schritte betraegt
(d.h. ich habe einen Key signiert, mit dessen privatem Teil wiederum
ein anderer Key signiert wurde, mit dem .... usw, mit dem dann der zu
pruefende Key signiert wurde)
Es gibt nun die Moeglichkeit, die Default-Einstellungen mit den
Parametern
- marginals-needed (default 3, mind. 2)
- completes-needed (default 1, mind.1)
entweder auf der Kommandozeile oder in ~/.gnupg/options abzuaendern oder
mit
- always-trust
ganz abzuschalten.
So, nun scheint aber KMail die Options-Datei ~/.gnupg/options zu
ignorieren und _immer_ zu fordern, dass ein Key den
Standardanforderungen (s.o.) genuegt, um "valid" zu sein.
Das ist vermutlich auch bei aelteren Kmail-Versionen in Verbindung mit
GnuPG 1.0.7 so (kann ich momentan nicht testen).
Somit funktioniert Verschluesselung in Kmail nur dann, wenn das
persoenliche "Web of Trust" entsprechend stimmt.
Man kann nun entweder GnuPG 1.0.6 verwenden, oder das "Web of Trust" mit
gpg --edit-key <Key-ID> entsprechend aufbauen (was ich persoenlich fuer
die bessere Methode halte).
Ein weiteres "Problem": es gibt zwei Arten von Trust: expliziten und
"berechneten". Der explizite Trust kann mit o.g. Kommando beeinflusst
werden, der "berechnete" wird anhand der "marginal trusted keys" und
der "completely trusted keys" ermittelt und kann somit nur indirekt
beeinflusst werden.
Kmail scheint lediglich den "berechneten" Trust auswerten zu koennen und
ignoriert den explizit vergebenen Trust-Level, was die ganze Sache
etwas erschwert, bei gut gepflegten public keyrings aber kein Problem
darstellen sollte (mein eigener auf dem Testsystem ist augenscheinlich
kein solcher :-)).
Man hat darueberhinaus die Moeglichkeit, Keys im public keyring lokal zu
signieren (die Signatur wird nicht exportiert, weder beim Exportieren
des Keys in eine Datei noch beim Senden an einen Keyserver), womit
dieser dann automatisch gueltig wird.
Gruss und schoenes Wochenende,
Marco
--
PGP Key ID: 0xF426567D
PGP Fingerprint: 61C2 500E 69F9 3B02 EC20 D600 85F7 316C F426 567D
http://blackhole.pca.dfn.de:11371/pks/lookup?op=get&search=0xF426567D
--
Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-request@lists.debian.org
mit dem Subject "unsubscribe". Probleme? Mail an listmaster@lists.debian.org (engl)
Reply to: