Andreas Pakulat schrieb: > On 20.10.07 12:38:53, Jan Kappler wrote: > >> Roland Schmid schrieb: >> >>> Hallo, >>> >>> [...] >>> >>> bei mir im Evolution sind jede Menge "Zertifizierungsstellen" wie z.B. >>> "Thawte" eingetragen, den ich offenbar bereits vertraue. >>> An die schickt man dann seinen Fingerprint und die bestätigen, dann >>> sozusagen (vermute mal mit Ausweis? ) das ich ich bin, oder ? >>> Ich glaube die ct hat damit 97 auf der Cebit angefangen, damals war es >>> glaube ich gratis. >>> Kostet dieser Vorgang heute eigentlich Geld ? >>> >> Ich dachte bisher immer, diese CA`s (Zertifizierungsstellen) stellen >> Zertifikate aus, die mit anderen Methoden Mails signieren, nicht mit >> PGP/GPG ? Ich hatte vor Jahren bei 1&1 so was, die hatten eine Signatur >> kostenlos angeboten, aber leider nur für ein Jahr, soweit ich mich >> entsinne. Andere CA´s verlangen wohl richtig viel Geld dafür, allerdings >> habe ich mich damit nicht mehr beschäftigt. >> > > Was du meinst sind eher SSL-Zertifikate fuer Serveranwendungen, damit > diese den Clients gegenueber als vertrauenswuerdig erscheinen. Ich weiss > aber nicht ob heise wirklich solche SSL-Zertifikate ausgibt, vmtl. eher > nicht dafuer gibts eben spezielle CA's die dafuer richtig viel Geld > haben wollen. > Nein, ich meinte dasselbe wie Roland Schmid. Im IceDove gibt es unter Einstellungen/Datenschutz/Sicherheit/Zertifikate eine Auflistung der vorhandenen eigenen (bei mir keine) und fremden Zertifikate (bei mir ist auch "Thawte Freemail Member") drin sowie eine Liste der Zertifizierungsstellen. Damals bei 1&1 war das glaube ich VeriSign, Inc. Bieten die nun die Möglichkeit, PGP/GPG-Schlüssel zu zertifizieren oder geht das nur mit anderen Kryptographieverfahren? >> oder zumindest mit dem Empfänger (z.B. >> telefonisch) den GPG-Fingerprint gegenseitig prüfen, damit man recht >> sicher ist, das der öffentliche Schlüssel auch nicht manipuliert wurde. >> > > Das ist voellig unbrauchbar und damit wuerde man das Web-of-Trust > kompromittieren. Du weisst doch gar nicht wer da am anderen Ende der > Telefonleitung haengt. Einen oeffentlichen Schluessel sollte man nur > dann signieren wenn man die Identitaet der Person verifiziert hat. > > Andreas > Das stimmt natürlich auch wieder, irgendwo her muss man ja die Telefonnummer bekommen und die kann auch gefälscht/umgeleitet etc. werden, was nicht so leicht nachzuprüfen ist. Ich habe mal vom so genannten Post-Ident-Verfahren gehört, bei dem man sich wohl mittels der Post eindeutig ausweisen kann als Person. Kann man so etwas in Verbindung mit GPG-Zertifizierung irgendwie benutzen? Zu Linux-Veranstaltungen etc. komme ich nicht so leicht hin :-/ Mit freundlichem Gruß Jan Kappler
Attachment:
signature.asc
Description: OpenPGP digital signature