[Attribution line ergänzt] David Raab wrote: > Jochen Spieker wrote: >> Nur ein Argument, dann bin ich auch schon wieder aus dieser >> Diskussion raus: Ich habe kürzlich aufgrund einer Heirat meinen >> Namen geändert. Und ich bin froh, meine Mails u.a. an diese Liste >> signiert zu haben. So kann ich nämlich wunderbar ausdrücken, dass >> Jochen Schulz und Jochen Spieker ein und die selbe Person sind. > > Was aber niemand nachprüfen kann. Wenn Jochen Spieker deinen PGP-Key > kopiert hat und deinen gelöscht hat. Ich nehme an, Du gehst hier davon aus, dass auch die Passphrase dem Angreifer bekannt ist. > So kann von nunan jeder alles in > deinem oder unter einem neuen Namen behaupten. Zumindest wenn man > bedingslos den PGP-Schlüsseln vertraut. > > Und der ursprüngliche Jochen Schulz könnte darauf nicht mehr antworten > weil er seinen Key nicht mehr hat, und dir niemand wegem fehlen > PGP-Signatur vertraut. > > Wirklich wissen kann ich das nur wenn ich dich Persönlich kenne. Dein Argument ist letztlich, dass der private Schlüssel nicht abhanden kommen darf. Das ist aber Grundlage für /jedes/ asymmetrische Verschlüsselungs- bzw. Signierverfahren und muss, finde ich jedenfalls, nicht extra erwähnt werden. Im Falle der Kompromittierung muss der echte Schlüsseleigner sein revocation certificate veröffentlichen. Ab diesem Zeitpunkt ist klar, dass folgende Signaturen ungültig sind. Auch hier gilt natürlich, dass er das nicht auch noch verloren haben darf :-)
Attachment:
signature.asc
Description: PGP signature