Elimar Riesebieter <elimar.riesebieter@t-online.de> schrieb: > einen keyserver eingetragen. Wenn ich nun eine verschlüsselte Mail > erhalte wird diese geprüft der Schlüssel vom keyserver "gefetcht" > aber: Die PGP Ausgabe in der Mail behauptet u.a.: Das Verhalten von GPG macht Sinn, ich versuche es einfach der Reihe nach: GPG hat also aus den Weiten des Internet einen öffentlichen Schlüssel erhalten, der zu der Signatur passen soll. > gpg: Korrekte Unterschrift von Tux <tux@foo.net> Die Signatur lässt sich mit obigem Public-Key erfolgreich überprüfen. Jetzt weiß man, dass dieser Schlüssel dem Autor der Mail gehört. Aber man weiß nicht, dass der Autor dieser Mail auch 'Tux <tux@foo.net>' ist; jeder könnte zu dieser Benutzer-ID ein Schlüsselpaar erzeugen und über die Keyserver verbreiten. > gpg: WARNUNG: Dieser Schlüssel trägt keine vertrauenswürdige > Signatur! > gpg: Es gibt keinen Hinweis, daß die Signatur wirklich dem > vorgeblichen Besitzer gehört. > gpg: Fingerabdruck: 4AA9 DA67........ > ..... > > Die WARNUNG und "es gibt keinen Hinweis..." machen mich doch > unsicher, ob ich alles richtig konfiguriert habe. Ich sehe einen > Widerspruch in der Meldung. Bei meinem eigenen Schlüssel ist alles > ok! Die Meldung besagt nur, dass GPG nicht nachvollziehen kann, ob der verwendete Schlüssel auch wirklich von der angegebenen Person stammt. Dafür kann der öffentliche Schlüssel (wie eine Mail) unterschrieben sein; deinen eigenen Public-Key hast du wahrscheinlich beim Erstellen selbst signiert. Mit einer Signatur eines Schlüssels bestätigst du, dass der Schlüssel deiner Meinung nach »echt« ist und nicht unter einem falschen Namen verbreitet wurde. Du kannst auch einem Schlüssel indirekt vertrauen: Falls du dem Schlüssel von A traust (z.B. hast du den Schlüssel oder den Fingerprint des Schlüssels von A persönlich erhalten), A hat den Schlüssel von B, unterschrieben und du hast bei GPG eingestellt, dass A gewissenhaft fremde Schlüssel signiert (Stichwort: »owner trust«), dann ist für dich auch der Schlüssel von B vertrauenswürdig. Das nennt sich dann »Web of Trust«. > Habt Ihr 'nen Tip für mich? Nicht direkt, zumindest am Anfang ist die Thematik ziemlich haarig, in der Dokumentation von GPG (Paket gnupg-doc) steht einiges zu dem Thema. mfg Christof -- DH1CS, GPG key 1024D/2207ABA2, http://chs.home.pages.de/
Attachment:
pgpvbjiRyciUl.pgp
Description: PGP signature