Martin Schmitt schrieb:
Christian Felsing schrieb:
Sowas ist mir einfach zu blöd. Es erscheint mir viel wichtiger zu sein,
dass man weiss, wie man seinen privaten Schlüssel ausreichend schützt.
Ich habe den Eindruck, daß hier eine gewisse Unschärfe hinsichtlich der
Rolle einer Certification Authority vorliegt. Es geht nicht um Deinen
geheimen Schlüssel, sondern um die Sicherstellung, daß der öffentliche
Schlüssel einer Gegenseite, mit der Du kommunizieren willst, auch
wirklich der öffentliche Schlüssel der Gegenseite ist.
Christian,
wie mit dem privaten Schlüssel umgegangen wird ist nicht Ziel und
Aufgabe von CACert. Den privaten Schlüssel zu schützen ist eine der
Aufgaben, die es durchzuführen gilt, ebenso wie es wichtig ist diesen
Schlüssel auf Authentizität prüfen zu können. Ich finde, das eine ist
ohne das andere für die zielbringende Verwendung gleichermaßen nutzlos.
Wie Martin schrieb kümmert sich CACert vielmehr um das "Web of Trust",
das die Echtheit/Zuordnung der Schlüssel gegenzeichnet. Um dieses "Web
of Trust" nicht zu korrumpieren, muß die Zertifizierung als zentrale
Maßnahme Regeln folgen. Diese Regeln gilt es aufzustellen und bekannt zu
machen, vor allem bei denen, die diese Maßnahme durchführen.
Das ganze Verfahren ist sogar bei Verisign einfacher: Viel Geld zahlen,
dann gibts Zertifikat - ganz einfach ;-)
Und genau den Teil mit dem "viel Geld zahlen" will CACert abschaffen.
Wenn ich tausend Euro im Jahr sparen kann und dafür im Gegenzug ab und
zu das Spiel von CACert mitspielen soll, finde ich das nicht so wirklich
doof.
ACK, zumindest gilt das für Otto-Normaluser, bei dem Haftung eine
geringere Rolle spielt, also "Zertifikate für Jedermann". In einem
Internet, in dem bereits Kriege geführt wurden und die wegen der
Teilnahme von "Hinz und Kunz" entsprechend interessant ist, wird
Verschlüsselung und Authentizität eine immer größere Rolle spielen.
Gruß
Silvério
--
----------------------------------------------------------------------------
PUG - Penguin User Group Wiesbaden - http://www.pug.org
