Re: OT: PGP-Signatur von Beiträgen
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Dietrich Clauss wrote:
>> Das ist auch gut so, da man damit die Authentizität der Beiträge
>> überprüfen kann.
>> Voraussetzung ist aber das der Public-Key auf ein Key-Server liegt.
>
> Das ist so nicht richtig. Der Keyserver kann helfen, aber er reicht
> weder aus, noch wird er unbedingt benötigt.
>
> Der Leser muß den Schlüssel des Schreibers kennen (z.B. über einen
> Keyserver, es gibt aber auch andere Wege), aber vor allem muß er auch
> wissen, daß der Schlüssel wirklich zu der Person gehört. Und das
> erfährt man eben nicht, indem man einen passenden Schlüssel einfach
> vom Server zieht. Dort können (und dürfen) auch falsche Schlüssel
> herumliegen.
Ja sicher. Für die Verbindung zwischen Schlüsselpaar und Person gibt
es eben deshalb das Sysrtem der Unterschriften. Wenn es eine Kette
vertrauenswürdiger Unterschriften, vom Sender zum Empfänger gibt, kann
sich kein Dritter erfolgreich als der Sender ausgeben. Eine Kette ist
immer nur so stark ist, wie das schwächste Glied gibt. In diesem Fall
könnte der böse Dritte schon beim Erstellen der Kette im Boot sein.
Er erstellt und unterschreibt dann einen gefälschten Schlüssel für den
Sender.
Gegen solche Man-in-the-Middle-Angriffe gibt es das Konzept des
"Web-of-trust". In so einem Netzwerk von gegenseitigen Unterschriften
führen viele Unterschriftenwege vom Sender zum Empfänger führen. Wenn
Nun der böse Dritte anfängt Schlüssel und Schlüsselunterschriften zu
fälschen, fällt das auf, weil es beim Empfänger zu Inkonsistenzen
führt.
Fazit: Ohne ein Netz von Unterschriften ist das gpg-Konzept nur die
halbe Miete.
- ---<)kaimartin(>---
- --
Kai-Martin Knaak
Email: kmk@familieknaak.de
Öffentlicher PGP-Schlüssel:
http://pool.sks-keyservers.net:11371/pks/lookup?search=0x6C0B9F53
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
iEYEARECAAYFAk5sJtYACgkQt9RkiGwLn1OtYgCeLM917sycdCse/owQKBGQpK8j
YUUAmwXoJJiuHyELXKx5Jj3UnTRF00nJ
=wiM3
-----END PGP SIGNATURE-----
Reply to: