Thorsten Haude wrote:
Was genau ist eine Key-ID? Warum haben viele Leute diese in der Signatur? Die kann doch nicht eindeutig sein?!
Auch der Fingerprint gehört nicht in eine Signatur, weil so der falsche Eindruck entstehen kann, daß er irgendwie nützlich ist.
Ist er auch. Wenn ich von $Person aus Usenetpostings + Mailingliste + Webseite_der_Person dreimal dieselbe KeyID und denselben Fingerprint sehe + mir der Keyserver einen passenden Key dazu liefert, ist schonmal _relativ_ sicher, dass ich mich nicht mit der falschen Person unterhalte.
Eine gewisse Grundkenntnis der Thematik (die man generell besitzen sollte, trivial ist PGP ja nun nicht gerade) hilft jedoch bei der Themenwahl. Waffenfaehiges Plutonium wuerde ich nur mit oben genannten Indizien nicht anfordern. Wahlweise den Key verifizieren.
Authentisch ist nur die Übergabe zB. bei Key Partys; darum macht man sich ja diese Mühe.
Mit der passenden kriminellen Energie und einem gefaelschten Personalausweis/Fuehrerschein ist selbst da nicht sicher, dass "er" ist, wer "er" vorgibt zu sein.
Es ist alles eine Frage der persoenlichen Paranoia ;) Gruss Urs...