Re: OT: PGP-Signatur von Beiträgen
Jochen van Geldern <dd8pz@imail.de> wrote:
> Hallo,
>
> Mir ist aufgefallen das viele Benutzer ihre Beiträge Signieren.
> Das ist auch gut so, da man damit die Authentizität der Beiträge
> überprüfen kann.
> Voraussetzung ist aber das der Public-Key auf ein Key-Server liegt.
Das ist so nicht richtig. Der Keyserver kann helfen, aber er reicht
weder aus, noch wird er unbedingt benötigt.
Der Leser muß den Schlüssel des Schreibers kennen (z.B. über einen
Keyserver, es gibt aber auch andere Wege), aber vor allem muß er auch
wissen, daß der Schlüssel wirklich zu der Person gehört. Und das
erfährt man eben nicht, indem man einen passenden Schlüssel einfach vom
Server zieht. Dort können (und dürfen) auch falsche Schlüssel
herumliegen.
> Nun sind mir Beiträge aufgefallen, wo den Public-Key des Autors nicht
> auf den Key-Servern "pool.sks-keyservers.net, subkeys.pgp.net,
> pgp.mit.edu oder ldap://certserver.pgp.com"; finden kann.
>
> Es gibt folgende Möglichkeiten:
> - Der Betreffende Autor lädt sein Public-Key auf ein allgemein
> Zugänglichen Key-Server, so das jeder den es Interessiert Ihn holen kann
> und seine Nachrichten überprüfen kann.
> - oder er schaltet die Automatische PGP-Signatur für die Mail-Liste ab.
Nein, die Autoren sollen ruhig weitersignieren, wenn sie möchten. Die
Sig hilft denjenigen, die den Schlüssel kennen, und die anderen sollte
sie nicht stören.
- Dietrich
Reply to: