On Sat, 03 Aug 2002, Rüdiger Noack wrote: > Aus der ganzen Diskussion schlußfolgere ich: > Ich könnte Fritz Walter sein und als Rüdiger Noack einen echten key an > Euch weitergeben. Ja! > Ich könnte Rüdiger Noack sein und als Fritz Walter einen echten key an > Euch weitergeben. Ja! > Ich bin Rüdiger Noack, gebe unter diesen Namen den key an Euch weiter, > aber weil alles übers www läuft, kann Fritz Walter alles mitlesen und > sich dann als Rüdiger Noack mit meinem echten key identifizieren. Nein! Das geht nur wenn er dir sowohl deinen echten Key klaut, als auch das Passwort mit dem er Verschuesselt auf deiner Festplatte liegt. Was er machen kann ist folgendes: Er kann sich einen Schluessel basteln in dem als Nutzer-ID z.B. "Ruediger Noack (debian user) <ernohl@yahoo.de>" steht, und sich damit als Du ausgeben. Aber da ich (und mein gpg) nur den Signaturen vertraue die ich auch unterschrieben habe, und da ich nur Signaturen unterschreibe von denen ich den Besitzer kenne, kann er damit wenig schaden anrichten. Duplizieren kann man gpg/pgp Keys nicht! > Welchen Sinn macht GPG unter diesen Umständen? Nun stelle dir doch mal vor Du wuerdest mich persoenlich kennen, und wir haetten unsers Keys gegenseitig signiert. Dann steht in meinem Public-Key das der Ruediger Noack mich kennt und bezeugt das dies mein Key ist. Gleiches gilt umgekert fuer Dich. Wenn ich dann mit meinem Key den Key eines Freundes von mir unterzeichne, und Du dann durch Zufall eine Unterschriebene eMail von ihm bekommst, kannst Du (bzw. dein gpg) feststellen:"Aha, ich kenne den zwar nicht, aber der Markus dem ich vertraue und dessen Key ich unterzeichnet habe kennt den, also kann ich dem _fast_ genauso vertrauen wie dem Markus." Und Damit haben wir ein sogenantes "Web of Trust" aufgebaut. Wenn man sich auch noch vor Augen fuert das im Schnitt jeder Mensch auf dieser Welt ueber ca 10 *Ecken* mit jedem anderen bekannt ist, kann man sehen das sich mit dieser Methode leicht ein recht faelschungssicheres System aufbauen laesst. Gruss, Markus -- ### QUESTIONS ### Why are there 5 syllables in the word "monosylabic"? Why do psychics have to ask you for your name?
Attachment:
pgp8UOz7rYJjd.pgp
Description: PGP signature