Re: GPG

To: Debian-UserGerman <debian-user-german@lists.debian.org>
Subject: Re: GPG
From: Christof Schmitt <christof.schmitt@gmx.de>
Date: Sat, 3 Aug 2002 17:18:13 +0200
Message-id: <[🔎] 20020803151813.GA1492@marvin.r2d2.dnsalias.org>
Mail-followup-to: Debian-UserGerman <debian-user-german@lists.debian.org>
In-reply-to: <[🔎] 20020803142306.GA828@mail.local>
References: <[🔎] 20020803142306.GA828@mail.local>

Elimar Riesebieter <elimar.riesebieter@t-online.de> schrieb:

> einen keyserver eingetragen. Wenn ich nun eine verschlüsselte Mail
> erhalte wird diese geprüft der Schlüssel vom keyserver "gefetcht"
> aber: Die PGP Ausgabe in der Mail behauptet u.a.:

Das Verhalten von GPG macht Sinn, ich versuche es einfach der Reihe
nach: GPG hat also aus den Weiten des Internet einen öffentlichen
Schlüssel erhalten, der zu der Signatur passen soll.

> gpg: Korrekte Unterschrift von Tux <tux@foo.net>

Die Signatur lässt sich mit obigem Public-Key erfolgreich überprüfen.
Jetzt weiß man, dass dieser Schlüssel dem Autor der Mail gehört. Aber
man weiß nicht, dass der Autor dieser Mail auch 'Tux <tux@foo.net>'
ist; jeder könnte zu dieser Benutzer-ID ein Schlüsselpaar erzeugen und
über die Keyserver verbreiten.

> gpg: WARNUNG: Dieser Schlüssel trägt keine vertrauenswürdige
> Signatur!
> gpg: Es gibt keinen Hinweis, daß die Signatur wirklich dem
> vorgeblichen Besitzer gehört.
> gpg: Fingerabdruck: 4AA9 DA67........ 
> .....
> 
> Die WARNUNG und "es gibt keinen Hinweis..." machen mich doch
> unsicher, ob ich alles richtig konfiguriert habe. Ich sehe einen
> Widerspruch in der Meldung. Bei meinem eigenen Schlüssel ist alles
> ok!

Die Meldung besagt nur, dass GPG nicht nachvollziehen kann, ob der
verwendete Schlüssel auch wirklich von der angegebenen Person stammt.
Dafür kann der öffentliche Schlüssel (wie eine Mail) unterschrieben
sein; deinen eigenen Public-Key hast du wahrscheinlich beim Erstellen
selbst signiert. Mit einer Signatur eines Schlüssels bestätigst du,
dass der Schlüssel deiner Meinung nach »echt« ist und nicht unter
einem falschen Namen verbreitet wurde.

Du kannst auch einem Schlüssel indirekt vertrauen: Falls du dem
Schlüssel von A traust (z.B. hast du den Schlüssel oder den
Fingerprint des Schlüssels von A persönlich erhalten), A hat den
Schlüssel von B, unterschrieben und du hast bei GPG eingestellt, dass
A gewissenhaft fremde Schlüssel signiert (Stichwort: »owner trust«),
dann ist für dich auch der Schlüssel von B vertrauenswürdig. Das nennt
sich dann »Web of Trust«.

> Habt Ihr 'nen Tip für mich?

Nicht direkt, zumindest am Anfang ist die Thematik ziemlich haarig,
in der Dokumentation von GPG (Paket gnupg-doc) steht einiges zu dem
Thema.

mfg

Christof

-- 
DH1CS, GPG key 1024D/2207ABA2, http://chs.home.pages.de/

Attachment: pgpvbjiRyciUl.pgp
Description: PGP signature

Reply to:

Follow-Ups:
- Re: GPG
  - From: Rafael Bujotzek <raffi@raffisweb.de>

References:
- GPG
  - From: Elimar Riesebieter <elimar.riesebieter@t-online.de>

Prev by Date: Re: GPG
Next by Date: Debian installation schlägt fehl
Previous by thread: Re: GPG
Next by thread: Re: GPG
Index(es):
- Date
- Thread