Hallo Thorsten, Thorsten Haude wrote:
########BEGIN GPG SIGNATURE###################### Hi, man apt-get Bye. ########END PGP SIGNATURE######################## 87jhxf08fe09e2ohjdsoaer8790e7r0987g0f98u7g09f8u7gf 9080g8f0dsf #################################################
Andreas signiert nach RFC 3156.
Alles klar! Jetzt werde ich jedem der mir oberen sche... zuschickt eine Mail schreiben mit der Bitte nach RFC 3156 zu signieren :-D
Dass Mails auf der Liste zu signieren absolut überflüssig ist, steht glaube ich ausser Frage.Ist das nicht ein Stilmittel? Ah ja, ich hab's gefunden: Petitio Principii, oder?
Ich bin leider nicht so gut in Latein, steht da "kleine Prinzipchen"? Mir geht es hier um keine Prinzipchen, ich vertrete nur die Meinung, dass man nur das signieren sollte, was eine Signatur benötigt. Unterschreibst du jede Notiz? Ausserdem eine Signatur hat nur dann einen Sinn, wenn sie eine Verpflichtung bzw. Rechtsfolge mit sich bringt, ansonsten würde ich jeden Tag neuen Verträge unterschreiben. Die PGP/GPG Signaturen sind absolut nicht verbindlich und bei der Kommunikation auf der Liste überflüssig. Man könnte das Web of Trust - Spiel weiter treiben und für jedes E-Mail die Bestätigung über den Empfang anfordern, mit der Begründung das stört doch gar nicht, da die Bestätigung automatisch versandt werden kann, ohne das user etwas tut, nimmt nicht so viel Platz und sichert mir zu das meine E-Mail nicht auf dem Weg verloren ging. Nur braucht man das hier nicht!
Ausserdem wenn man von sicherem Web spricht, so unterscheidet man in sicherheitsrelvante Bereiche und offene Bereiche, die letzteren werden nicht geschützt! Diese ML gehört meiner Ansicht nach eindeutig zu den letzteren.
Und was bringt es mir an Sicherheit? (...)Ich fasse das mal zusammen: Beinahe alle diese Argumente (außer dem großen Schlüsselbund) lassen sich auf jeden Einsatz von Public-Key-Kryptographie anwenden. Hast Du damit grundsätzlich ein Problem? Nur damit wir wissen, worüber wir reden.
Ich habe grundsätzlich kein Problem, ich versuche nur zu sagen dass Signatur auf der ML Schnick-Schnack ist.
sie zeigt nur an das die Mail von der Person ist die den jeweiligen Schlüssel besitzt.Nur bloss wer ist diese Person? Man vertrauet einer signierten Mail mehr als einer unsignierten und das ist sehr gefährlich, wenn man die Signatur nicht 100% überprüfen kann.Uh, ja, das ist auch so ohne weiteres ein Benutzerfehler.
Die Benutzer bestehen nur aus Fehlern und dank diesen Fehlern und unsicheren Systemen kommt man an die private Signatur inkl. Passwort fast genau so leicht wie sniffing, spoofing oder tcp hijacking sind.
Thorsten
Gruß, Yevgen.