Re: GPG

To: debian-user-german@lists.debian.org
Subject: Re: GPG
From: Markus Hubig <lord.aragon@gmx.net>
Date: Tue, 6 Aug 2002 23:29:43 +0200
Message-id: <[🔎] 20020806212942.GA23889@thoregon.int>
Mail-followup-to: debian-user-german@lists.debian.org
In-reply-to: <[🔎] 3D4BFF24.2050409@yahoo.de>
References: <[🔎] 20020803142306.GA828@mail.local> <[🔎] 1331056188.20020803164308@gmx.net> <[🔎] 20020803151037.GC828@mail.local> <[🔎] E17b0lw-0003By-00@bilbo.saubaer.vpn> <[🔎] 20020803154123.GE513@cs-ol.de> <[🔎] 3D4BFF24.2050409@yahoo.de>

On Sat, 03 Aug 2002, Rüdiger Noack wrote:

> Aus der ganzen Diskussion schlußfolgere ich:
> Ich könnte Fritz Walter sein und als Rüdiger Noack einen echten key an 
> Euch weitergeben.

Ja!

> Ich könnte Rüdiger Noack sein und als Fritz Walter einen echten key an 
> Euch weitergeben.

Ja!

> Ich bin Rüdiger Noack, gebe unter diesen Namen den key an Euch weiter, 
> aber weil alles übers www läuft, kann Fritz Walter alles mitlesen und 
> sich dann als Rüdiger Noack mit meinem echten key identifizieren.

Nein! Das geht nur wenn er dir sowohl deinen echten Key klaut, als
auch das Passwort mit dem er Verschuesselt auf deiner Festplatte
liegt. 

Was er machen kann ist folgendes: Er kann sich einen Schluessel
basteln in dem als Nutzer-ID z.B. 

"Ruediger Noack (debian user) <ernohl@yahoo.de>" 

steht, und sich damit als Du ausgeben. Aber da ich (und mein gpg) nur
den Signaturen vertraue die ich auch unterschrieben habe, und da ich
nur Signaturen unterschreibe von denen ich den Besitzer kenne, kann er
damit wenig schaden anrichten.

Duplizieren kann man gpg/pgp Keys nicht!

> Welchen Sinn macht GPG unter diesen Umständen?

Nun stelle dir doch mal vor Du wuerdest mich persoenlich kennen, und
wir haetten unsers Keys gegenseitig signiert. Dann steht in meinem
Public-Key das der Ruediger Noack mich kennt und bezeugt das dies mein
Key ist. Gleiches gilt umgekert fuer Dich. Wenn ich dann mit meinem
Key den Key eines Freundes von mir unterzeichne, und Du dann durch
Zufall eine Unterschriebene eMail von ihm bekommst, kannst Du (bzw.
dein gpg) feststellen:"Aha, ich kenne den zwar nicht, aber der Markus
dem ich vertraue und dessen Key ich unterzeichnet habe kennt den, also
kann ich dem _fast_ genauso vertrauen wie dem Markus." Und Damit haben
wir ein sogenantes "Web of Trust" aufgebaut.

Wenn man sich auch noch vor Augen fuert das im Schnitt jeder Mensch
auf dieser Welt ueber ca 10 *Ecken* mit jedem anderen bekannt ist,
kann man sehen das sich mit dieser Methode leicht ein recht
faelschungssicheres System aufbauen laesst.

   Gruss, Markus

-- 
### QUESTIONS ###
Why are there 5 syllables in the word "monosylabic"?
Why do psychics have to ask you for your name?

Attachment: pgp8UOz7rYJjd.pgp
Description: PGP signature

Reply to:

Follow-Ups:
- Re: GPG
  - From: Jochen Georges <jochen.georges@epost.de>

References:
- GPG
  - From: Elimar Riesebieter <elimar.riesebieter@t-online.de>
- Re: GPG
  - From: Marcus Frings <mf-usenet@gmx.net>
- Re: GPG
  - From: Elimar Riesebieter <elimar.riesebieter@t-online.de>
- Re: GPG
  - From: Stefan Klein <st.kl@gmx.de>
- Re: GPG
  - From: Udo Mueller <info@cs-ol.de>
- Re: GPG
  - From: Rüdiger Noack <ernohl@yahoo.de>

Prev by Date: Re: Problem mit INN2
Next by Date: Dynamische Ip vergabe in bind8
Previous by thread: Re: GPG
Next by thread: Re: GPG
Index(es):
- Date
- Thread