Re: OT: PGP-Signatur von Beiträgen
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Rico Koerner wrote:
> Am 06.09.2011 16:41, schrieb Heiko Schlittermann:
>> Rico Koerner <rico@netbreaker.de> (Tue Sep 6 15:31:09 2011):
>>> Man muß sich nicht zu erkennen geben, aber man kann. Ebenso kann
>>> man seine Identität vor Mißbrauch schützen, indem man signiert.
>>>
>>
>> Meine Signaturen unter meinen Mails würden Dich nicht hindern, in
>> meinem Namen Unsinn zu verbreiten. Und ich hätte keine Chance,
>> diesen Unsinn abzustreiten. So gesehen, kann mich meine Signatur
>> unter meinen Mails nicht davor schützen, daß meine Identität für
>> Mißbrauch verwendet wird.
>
> Stimmt, ich könnte unsigniert in deinem Namen posten. Sofern du
> konsequent signierst, wäre es lediglich ein Indiz dafür, daß sie nicht
> von dir ist. Wobei ich grad bei Mailinglisten auch nicht permanent
> darauf achte, ob deine Mail signiert ist oder nicht. Und selbst von
> mir werden nicht alle Mails signiert, weil ich es bei Mailinglisten
> nicht für zwingend notwendig erachte und der Automatismus bei mir nur
> zuschlägt, wenn eine signierte Mail geantwortet wird oder der Absender
> mit Key bekannt ist.
>
> Im Umkehrschluß bedeutet das aber, je mehr ihre Mails signieren, umso
> mehr fallen unsignierte Mails auf und werden ggf. hinterfragt.
Ja, es wäre schön, wenn das irgendwann Wirklichkeit werden würde.
Leider gibt es noch immer viele Vorbehalte, meistens von Leuten mit
Schmalspurclients, die es lediglich "unschön" finden, sonst aber keine
Argumente haben.
Grundsätzlich muss PGP, egal in welcher Inkarnation (z.B. gpg) oder
auf welcher Plattform, benutzbarer werden. Es ist kaum zumutbar,
welches Wissen alleine für die Generierung eines simples Schlüssel-
paares von Nöten ist. Meine Hoffnung ist, dass wir da irgenwann mit den
neuen, dezentralen sozialen Netzwerken genug Hebel in die Hand gelegt
bekommen, dass die Vorteile eines Web-of-Trust auch für Normalnutzer
sichtbar werden.
[...]
> Ich bin mir nur nicht sicher, ob ich mich primär für PGP oder S/MIME
> entscheiden soll, da beides parallel nicht so richtig geht. Beide
> Systeme haben Vor- und Nachteile. PGP ist in gängigen Mailclients
> leider nicht so gut integriert. Dafür ist es nicht von einer CA
> abhängig, die für das Zertifikat jedoch meist Geld verlangt oder
> nicht von den Mailclients anerkannt ist. Das ist der Akzeptanz auch
> nicht grad zuträglich. Inwieweit die CA vertrauenswürdig ist, steht
> wieder auf einem anderen Blatt. Bei PGP kann/darf/muß ich jeden Key
> selbst prüfen. Wie gründlich macht das jeder?
CAs haben konzeptuell so unglaublich viele Probleme, das geht auf keine
Kuhhaut. Falls noch nicht bekannt, gibt es hier zwei schöne Beiträge
der letzten Zeit über die Probleme von CAs und alternative, dezentrale
Ansätze:
* Debian as though cryptographic authentication mattered
http://penta.debconf.org/dc11_schedule/events/775.en.html
Vortrag: dort verlinkt
Ein Vortrag von Daniel Kahn Gillmor (dkg) über eine mögliche
flächendeckende Nutzung von PGPs Web-of-Trust in Debians
Infrastruktur, mit einer Einführung in monkeysphere
* SSL And The Future Of Authenticity
http://blog.thoughtcrime.org/ssl-and-the-future-of-authenticity
Vortrag: http://www.youtube.com/watch?v=Z7Wl2FW2TcA
Ein /sehr/ unterhaltsamer und verständlicher Vortrag von Moxie
Marlinspike; geht besonders auf die Probleme der CAs ein; stellt
"Convergence" vor, einen Verbund von "notaries", die Server-
zertifikate beglaubigen
Mir gefällt Convergence nicht so sehr, ich halte monkeyspheres Ansatz
in jeder Hinsicht für überlegen. Convergence ist jedoch sehr viel
einfacher zu benutzen, als monkeysphere zum gegenwärtigen Zeitpunkt.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
iEYEARECAAYFAk5mVCIACgkQ5jrP7hWxSO/uDACg1yLmbQu6ztTaK4hIRTeOptiK
nhAAnifkuOD74srainB8IBcztNdrNA/9
=CDbj
-----END PGP SIGNATURE-----
Reply to: