Hey,
Am 24.02.22 um 18:12 schrieb Bernhard E. Reiter:
Hi Paul,
Am Mittwoch 23 Februar 2022 15:03:15 schrieb Paul Schaub:
Noch mehr Potential hat das ganze, wenn man WKD mit einer dezentralen
OpenPGP CA (zB. https://openpgp-ca.org/) kombiniert.
WKD hat keine weitergehende Zertifizierungsfunktion, ist also keine CA.
Hab ich auch nicht behauptet :D
Das Web Key Directory dient m.E.n primär der Key Discovery.
Kombinieren kann man das ganze trotzdem wunderbar mit der OpenPGP-CA
(erläutere ich weiter unten).
Das automatisierte Vorgehen bei der Software openpgp-ca passt nicht ganz zum
Begriff CA, weil es keine weitergehende Prüfung gibt, die allgemein von einer
Zertifizierungsstelle erwartet werden würde.
Kommt drauf an, was zertifiziert wird.
Und da die Tatsache, dass der
Schlüssel sich bereits in WKD befindet, bereits die automatische Prüfung
enthält, gibt es keine zusätzlichen Zusicherungen. Sprich, es gibt keine
extra Vertrauensinformation durch die Verwendung, es ist unnötig und es ist
deshalb aus meiner Sicht auch nicht passend deshalb den Pubkey des
Mechanismus zu signieren.
Das kommt darauf an, wie man die OpenPGP-CA verwendet. Eine Bank mag zum
Beispiel die Schlüssel ihrer Mitarbeiter nur nach strenger, manueller
Prüfung signieren. Für einen Verein wie die FSFE reicht es ja, ob das
Mitglied nachweisen kann, den Schlüssel und die FSFE Mailadresse zu
kontrollieren.
Wenn es eine weitergehende Prüfung gibt, und das bei der Organisation jemand
übernimmt, dann kann ein organisationsweiter öffentlicher Schlüssel
tatsächlich als dezentrale Zertifizierungsstelle interessant sein.
Meiner Ansicht nach kann FSFE für die meisten Email-Adressen keine CA sein,
weil wir die Identität nicht weiter prüfen können (und wollen).
Kommt drauf an. Es gibt Informationen, bei der eine maschinelle Prüfung
ausreichend ist. Zum Beispiel kann die Frage, ob eine Person die EMail
Addresse [email protected] kontrolliert durch eine einfache Challenge (zB.
Bestätigungslink an die Mailadresse) geprüft werden.
Somit wäre die OpenPGP-CA zB. für die FSFE tatsächlich interessant, da
mit ihr zB. die @fsfe.org Aliase der Mitglieder und Unterstützer
signiert werden könnten. Fügt dann ein Nutzer die FSFE CA als Trusted
Introducer hinzu, so kann er komfortable mit anderen FSFE Mitgliedern
verschlüsselt Kontakt aufnehmen.
Ich persönlich finde das Projekt auf jeden Fall mega spannend. Meiner
Meinung nach müssen wir weg von "Zeig mir deinen Perso, sonst signiere
ich dir gar nichts!", hin zu nutzbarer Kryptogafie und die OpenPGP-CA
ist dafür ein wichtiger Baustein.
Paul
Viele Grüße,
Bernhard
_______________________________________________
FSFE-de mailing list
[email protected]
https://lists.fsfe.org/mailman/listinfo/fsfe-de
Diese Mailingliste wird durch den Verhaltenskodex der FSFE abgedeckt.
Alle Teilnehmer werden gebeten, sich gegenseitig vorbildlich zu
behandeln: https://fsfe.org/about/codeofconduct
_______________________________________________
FSFE-de mailing list
[email protected]
https://lists.fsfe.org/mailman/listinfo/fsfe-de
Diese Mailingliste wird durch den Verhaltenskodex der FSFE abgedeckt.
Alle Teilnehmer werden gebeten, sich gegenseitig vorbildlich zu
behandeln: https://fsfe.org/about/codeofconduct
