[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: GPG



Hallo Rüdiger,

* Rüdiger Noack schrieb [03-08-02 18:59]:
> Udo Mueller wrote:
> 
> [Fritz Walter]
> 
> >Da hast du recht, wen interessiert es schon, wer du bist (grosser
> >Scherz ;).
> 
> Ich bin so schon alt genug... :-)

;)

> >Bei GPG gehst du mit deinem Fingerprint zu jemandem, zeigst, dass
> >dieser zu dir gehört. Das legt der andere zu seinen Akten (sagt,
> >gpg Bescheid, dass der Key ok ist), und weiss fortan, dass, wenn er
> >eine Mail mit dieser Signatur/Unterschrift bekommt, diese von dir
> >ist.
> >
> >Somit ist es mit GPG nichts anderes als in deinem normalen Leben
> >abseits des Internets auch. Keine Umgewöhnung also.
> 
> Aber genau hier sehe ich den großen Unterschied. Es gibt absolut keine 
> Identifizierungsmöglichkeit dafür, dass der abgelegte Fingerprint von 
> mir kommt oder nicht von jemand kopiert wurde (gut, auch eine 
> Unterschrift kann man fälschen). Bei einer Bank muss ich mich persönlich 
> (evtl. über das Post-Ident-Verfahren) identifizieren. Aber hier?

Du triffst dich mit jemandem, der schaut auf deinem Perso,
vergleicht deinen Fingerprint und signiert daraufhin deinen
Schlüssel.

> Dieses Verfahren in einer Firma, wo man sich lokaler User einmal 
> identifiziert, eingesetzt, ist nachvollziehbar, auch wenn später mails 
> über's Internet kommen. Aber in den großen Weiten der Anonymität im WWW 
> sehe ich da echt keinen Nährwert. Oder was verstehe ich da falsch?

Die Richtigkeit des Schlüssels überprüfst du, indem du dich mit dem
Schlüsselinhaber triffst. Passt alles, dann signierst du den
Schlüssel. Du sprichst somit ihm dein Vertrauen aus (weil du
Sicherheit hast), daß die Mails von ihm, die signiert sind, von Ihm
stammen.

Das Internet bringt jetzt noch folgendes für gpg:

Du kennst User A und vertraust ihm. User A vertraut wiederum User
B. Da du User A vertraust (was die Schlüsselsignierung angeht),
kannst du auch User B's Schlüüsel vertrauen, weil User A ihm ja
schon traut.

Wenn du also User B vertraust (was den Schlüssel angeht), kannst du
eigentlich auch User C, dessen Schlüssel B signiert hat, vertrauen
=> Web of trust.

Wenn du dein gpg und die Schlüssel von anderen, die du signierst,
richtig behandelst, werden automatisch auch die Schlüssel von B, C,
D, ... eingeholt und als vertrauenswürdig erklärt.

Falls du also mal eine Mail von B,.. bekommst, kannst du dir dann
sicher sein, daß B diese auch geschrieben hat, weil sie signiert
ist.

> OT. Sind meine mail-Formate nun eigentlich akzeptabel?

Jo, passt.

Gruss Udo

-- 
ComputerService Müller |  You want my PGP-Key?  |   Tel: 0441-36167578
Kaspersweg 11a         | mail  -s "get pgp-key" | Fax: 01212-511073287 
26131 Oldenburg        | AD0EEC22 is not valid  |  Mobil: 0162-4365411
     Registrierter Linux-User #225706 auf Debian GNU/Linux 2.4.17

Attachment: pgpWR7PzDl12V.pgp
Description: PGP signature


Reply to: