Elimar Riesebieter <[EMAIL PROTECTED]> schrieb: > einen keyserver eingetragen. Wenn ich nun eine verschl�sselte Mail > erhalte wird diese gepr�ft der Schl�ssel vom keyserver "gefetcht" > aber: Die PGP Ausgabe in der Mail behauptet u.a.:
Das Verhalten von GPG macht Sinn, ich versuche es einfach der Reihe nach: GPG hat also aus den Weiten des Internet einen �ffentlichen Schl�ssel erhalten, der zu der Signatur passen soll. > gpg: Korrekte Unterschrift von Tux <[EMAIL PROTECTED]> Die Signatur l�sst sich mit obigem Public-Key erfolgreich �berpr�fen. Jetzt wei� man, dass dieser Schl�ssel dem Autor der Mail geh�rt. Aber man wei� nicht, dass der Autor dieser Mail auch 'Tux <[EMAIL PROTECTED]>' ist; jeder k�nnte zu dieser Benutzer-ID ein Schl�sselpaar erzeugen und �ber die Keyserver verbreiten. > gpg: WARNUNG: Dieser Schl�ssel tr�gt keine vertrauensw�rdige > Signatur! > gpg: Es gibt keinen Hinweis, da� die Signatur wirklich dem > vorgeblichen Besitzer geh�rt. > gpg: Fingerabdruck: 4AA9 DA67........ > ..... > > Die WARNUNG und "es gibt keinen Hinweis..." machen mich doch > unsicher, ob ich alles richtig konfiguriert habe. Ich sehe einen > Widerspruch in der Meldung. Bei meinem eigenen Schl�ssel ist alles > ok! Die Meldung besagt nur, dass GPG nicht nachvollziehen kann, ob der verwendete Schl�ssel auch wirklich von der angegebenen Person stammt. Daf�r kann der �ffentliche Schl�ssel (wie eine Mail) unterschrieben sein; deinen eigenen Public-Key hast du wahrscheinlich beim Erstellen selbst signiert. Mit einer Signatur eines Schl�ssels best�tigst du, dass der Schl�ssel deiner Meinung nach �echt� ist und nicht unter einem falschen Namen verbreitet wurde. Du kannst auch einem Schl�ssel indirekt vertrauen: Falls du dem Schl�ssel von A traust (z.B. hast du den Schl�ssel oder den Fingerprint des Schl�ssels von A pers�nlich erhalten), A hat den Schl�ssel von B, unterschrieben und du hast bei GPG eingestellt, dass A gewissenhaft fremde Schl�ssel signiert (Stichwort: �owner trust�), dann ist f�r dich auch der Schl�ssel von B vertrauensw�rdig. Das nennt sich dann �Web of Trust�. > Habt Ihr 'nen Tip f�r mich? Nicht direkt, zumindest am Anfang ist die Thematik ziemlich haarig, in der Dokumentation von GPG (Paket gnupg-doc) steht einiges zu dem Thema. mfg Christof -- DH1CS, GPG key 1024D/2207ABA2, http://chs.home.pages.de/
msg14515/pgp00000.pgp
Description: PGP signature
