Hallo R�diger, * R�diger Noack schrieb [03-08-02 18:59]: > Udo Mueller wrote: > > [Fritz Walter] > > >Da hast du recht, wen interessiert es schon, wer du bist (grosser > >Scherz ;). > > Ich bin so schon alt genug... :-)
;)
> >Bei GPG gehst du mit deinem Fingerprint zu jemandem, zeigst, dass
> >dieser zu dir geh�rt. Das legt der andere zu seinen Akten (sagt,
> >gpg Bescheid, dass der Key ok ist), und weiss fortan, dass, wenn er
> >eine Mail mit dieser Signatur/Unterschrift bekommt, diese von dir
> >ist.
> >
> >Somit ist es mit GPG nichts anderes als in deinem normalen Leben
> >abseits des Internets auch. Keine Umgew�hnung also.
>
> Aber genau hier sehe ich den gro�en Unterschied. Es gibt absolut keine
> Identifizierungsm�glichkeit daf�r, dass der abgelegte Fingerprint von
> mir kommt oder nicht von jemand kopiert wurde (gut, auch eine
> Unterschrift kann man f�lschen). Bei einer Bank muss ich mich pers�nlich
> (evtl. �ber das Post-Ident-Verfahren) identifizieren. Aber hier?
Du triffst dich mit jemandem, der schaut auf deinem Perso,
vergleicht deinen Fingerprint und signiert daraufhin deinen
Schl�ssel.
> Dieses Verfahren in einer Firma, wo man sich lokaler User einmal
> identifiziert, eingesetzt, ist nachvollziehbar, auch wenn sp�ter mails
> �ber's Internet kommen. Aber in den gro�en Weiten der Anonymit�t im WWW
> sehe ich da echt keinen N�hrwert. Oder was verstehe ich da falsch?
Die Richtigkeit des Schl�ssels �berpr�fst du, indem du dich mit dem
Schl�sselinhaber triffst. Passt alles, dann signierst du den
Schl�ssel. Du sprichst somit ihm dein Vertrauen aus (weil du
Sicherheit hast), da� die Mails von ihm, die signiert sind, von Ihm
stammen.
Das Internet bringt jetzt noch folgendes f�r gpg:
Du kennst User A und vertraust ihm. User A vertraut wiederum User
B. Da du User A vertraust (was die Schl�sselsignierung angeht),
kannst du auch User B's Schl��sel vertrauen, weil User A ihm ja
schon traut.
Wenn du also User B vertraust (was den Schl�ssel angeht), kannst du
eigentlich auch User C, dessen Schl�ssel B signiert hat, vertrauen
=> Web of trust.
Wenn du dein gpg und die Schl�ssel von anderen, die du signierst,
richtig behandelst, werden automatisch auch die Schl�ssel von B, C,
D, ... eingeholt und als vertrauensw�rdig erkl�rt.
Falls du also mal eine Mail von B,.. bekommst, kannst du dir dann
sicher sein, da� B diese auch geschrieben hat, weil sie signiert
ist.
> OT. Sind meine mail-Formate nun eigentlich akzeptabel?
Jo, passt.
Gruss Udo
--
ComputerService M�ller | You want my PGP-Key? | Tel: 0441-36167578
Kaspersweg 11a | mail -s "get pgp-key" | Fax: 01212-511073287
26131 Oldenburg | AD0EEC22 is not valid | Mobil: 0162-4365411
Registrierter Linux-User #225706 auf Debian GNU/Linux 2.4.17
msg14542/pgp00000.pgp
Description: PGP signature
