Re: Frage zu KGpg bzw. GnuPG (verschlüsselte E-Mails)
On 20.10.07 12:38:53, Jan Kappler wrote:
> Roland Schmid schrieb:
> > Hallo,
> >
> > [...]
> >
> > bei mir im Evolution sind jede Menge "Zertifizierungsstellen" wie z.B.
> > "Thawte" eingetragen, den ich offenbar bereits vertraue.
> > An die schickt man dann seinen Fingerprint und die bestätigen, dann
> > sozusagen (vermute mal mit Ausweis? ) das ich ich bin, oder ?
> > Ich glaube die ct hat damit 97 auf der Cebit angefangen, damals war es
> > glaube ich gratis.
> > Kostet dieser Vorgang heute eigentlich Geld ?
>
> Ich dachte bisher immer, diese CA`s (Zertifizierungsstellen) stellen
> Zertifikate aus, die mit anderen Methoden Mails signieren, nicht mit
> PGP/GPG ? Ich hatte vor Jahren bei 1&1 so was, die hatten eine Signatur
> kostenlos angeboten, aber leider nur für ein Jahr, soweit ich mich
> entsinne. Andere CA´s verlangen wohl richtig viel Geld dafür, allerdings
> habe ich mich damit nicht mehr beschäftigt.
Was du meinst sind eher SSL-Zertifikate fuer Serveranwendungen, damit
diese den Clients gegenueber als vertrauenswuerdig erscheinen. Ich weiss
aber nicht ob heise wirklich solche SSL-Zertifikate ausgibt, vmtl. eher
nicht dafuer gibts eben spezielle CA's die dafuer richtig viel Geld
haben wollen.
> Soweit ich weiß, kann man dieses gegenseitige Signieren auch bei "Key
> Signing Partys" machen
Sowas findet mittlerweile auf vielen Linux-Happenings statt (Messen,
Workshops, usw.)
> oder zumindest mit dem Empfänger (z.B.
> telefonisch) den GPG-Fingerprint gegenseitig prüfen, damit man recht
> sicher ist, das der öffentliche Schlüssel auch nicht manipuliert wurde.
Das ist voellig unbrauchbar und damit wuerde man das Web-of-Trust
kompromittieren. Du weisst doch gar nicht wer da am anderen Ende der
Telefonleitung haengt. Einen oeffentlichen Schluessel sollte man nur
dann signieren wenn man die Identitaet der Person verifiziert hat.
Andreas
--
Don't you wish you had more energy... or less ambition?
Reply to: