Re: Verschluesselung mit Kmail 1.4.2 und GnuPG 1.0.7

To: Debian Mailingliste <debian-user-german@lists.debian.org>
Subject: Re: Verschluesselung mit Kmail 1.4.2 und GnuPG 1.0.7
From: Marco Thorbruegge <marco.thorbruegge@gmx.de>
Date: Fri, 28 Jun 2002 17:52:56 +0200
Message-id: <[🔎] 200206281752.56874.marco.thorbruegge@gmx.de>
In-reply-to: <[🔎] 200206281535.40408.marco.thorbruegge@gmx.de>
References: <[🔎] 200206281500.09427.marco.thorbruegge@gmx.de> <[🔎] 200206281535.40408.marco.thorbruegge@gmx.de>

> Veraendert man die Trust-Beziehung (z.B. auf "Never trust this key"),
> so klappts auch mit Kmail.

Stimmt auch nicht ganz. Das ganze "Problem" haengt mit der Handhabung 
der Trust-Beziehungen unter GnuPG 1.0.7 zusammen.

KMail laesst nur die Verwendung von gueltigen Keys zu. Ein Key ist in 
der Default-Einstellung gueltig gdw.:

- er mit mindestens einem Key signiert ist, den man selbst in seinem 
secret keyring hat oder
- er mit mindestens einem "fully trusted" Key signiert ist oder
- er mit mindestens 3 "marginal trusted" Keys signiert ist

und darueberhinaus

- der Pfad vom zu pruefenden Key zum eigenen maximal 5 Schritte betraegt 
(d.h. ich habe einen Key signiert, mit dessen privatem Teil wiederum 
ein anderer Key signiert wurde, mit dem .... usw, mit dem dann der zu 
pruefende Key signiert wurde)

Es gibt nun die Moeglichkeit, die Default-Einstellungen mit den 
Parametern

- marginals-needed (default 3, mind. 2)
- completes-needed (default 1, mind.1)

entweder auf der Kommandozeile oder in ~/.gnupg/options abzuaendern oder 
mit

- always-trust

ganz abzuschalten.

So, nun scheint aber KMail die Options-Datei ~/.gnupg/options zu 
ignorieren und _immer_ zu fordern, dass ein Key den 
Standardanforderungen (s.o.) genuegt, um "valid" zu sein.

Das ist vermutlich auch bei aelteren Kmail-Versionen in Verbindung mit 
GnuPG 1.0.7 so (kann ich momentan nicht testen).

Somit funktioniert Verschluesselung in Kmail nur dann, wenn das 
persoenliche "Web of Trust" entsprechend stimmt.

Man kann nun entweder GnuPG 1.0.6 verwenden, oder das "Web of Trust" mit

gpg --edit-key <Key-ID> entsprechend aufbauen (was ich persoenlich fuer 
die bessere Methode halte).

Ein weiteres "Problem": es gibt zwei Arten von Trust: expliziten und 
"berechneten". Der explizite Trust kann mit o.g. Kommando beeinflusst 
werden, der "berechnete" wird anhand der "marginal trusted keys" und 
der "completely trusted keys" ermittelt und kann somit nur indirekt 
beeinflusst werden.

Kmail scheint lediglich den "berechneten" Trust auswerten zu koennen und 
ignoriert den explizit vergebenen Trust-Level, was die ganze Sache 
etwas erschwert, bei gut gepflegten public keyrings aber kein Problem 
darstellen sollte (mein eigener auf dem Testsystem ist augenscheinlich 
kein solcher :-)).

Man hat darueberhinaus die Moeglichkeit, Keys im public keyring lokal zu 
signieren (die Signatur wird nicht exportiert, weder beim Exportieren 
des Keys in eine Datei noch beim Senden an einen Keyserver), womit 
dieser dann automatisch gueltig wird.

Gruss und schoenes Wochenende,
Marco
-- 
PGP Key ID: 0xF426567D
PGP Fingerprint: 61C2 500E 69F9 3B02 EC20  D600 85F7 316C F426 567D
http://blackhole.pca.dfn.de:11371/pks/lookup?op=get&search=0xF426567D


-- 
Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-request@lists.debian.org
mit dem Subject "unsubscribe". Probleme? Mail an listmaster@lists.debian.org (engl)

Reply to:

References:
- Verschluesselung mit Kmail 1.4.2 und GnuPG 1.0.7
  - From: Marco Thorbruegge <marco.thorbruegge@gmx.de>
- Re: Verschluesselung mit Kmail 1.4.2 und GnuPG 1.0.7
  - From: Marco Thorbruegge <marco.thorbruegge@gmx.de>

Prev by Date: Re: Ganze Verzeichnisse mit ftp kopieren
Next by Date: Re: Ganze Verzeichnisse mit ftp kopieren
Previous by thread: Re: Verschluesselung mit Kmail 1.4.2 und GnuPG 1.0.7
Next by thread: sudo
Index(es):
- Date
- Thread