Am Montag, 25. April 2005 21:38 schrieb Michael HÃhne: > Am Montag, 25. April 2005 19:31 schrieb Rolf Schaumburg: > > Am Montag, 25. April 2005 18:51 schrieb Michael HÃhne: > > > Am Montag, 25. April 2005 11:04 schrieb Eric Hoch: > > >
> > Und warum nicht? Ich unterschreibe alle meine Briefe, Memos und > > sonstige SchriftstÃcke die an Jemanden oder an eine Gruppe > > gerichtet sind. Warum nicht auch meine E-Mails? > > Und wie stellt du sicher, dass jeder EmpfÃnger die GÃltigkeit deiner > Signatur prÃfen kann? Jeder EmpfÃnger muss sie ja nicht prÃfen, es geht darum das sie geprÃft werden kann - wenn jemand will. Hierzu habe ich z.B. meinen Key dieser Mailadresse auf der CeBit von der Heise-CA prÃfen (Ausweis mit Lichtbild, Fingerprint) und signieren lassen. Andere habe ich mir z.B. von der DFN-PCA prÃfen und signieren lassen. Eine drittte, vertrauenswÃrdige Stelle Ãbernimmt damit die PrÃfung der Signatur fÃr alle Interessierten. Jetzt ist die Frage natÃrlich "Sind diese Stellen VertrauenswÃrdig?", ich denke ja, da deren Policies die QualitÃt der ÃberprÃfung garantieren. Nicht wie z.B. bei web.de oder aol die Key signieren ohne die IdentitÃt des SchlÃsselinhabers zu ÃberprÃfen, oder nur sehr schwach indem sie sagen "Ist Kunde, also kennen wir ihn oder sie schon irgendwoher". > > Die Tatsache, dass die Signatur zu einem Ãffentlichen SchlÃssel von > einem SchlÃsselserver stammt, besagt erst einmal gar nichts, da ja > auch ein bÃswilliger zeitgenosse diese dort hat hinterlegen kÃnnen. > Um diesem SchlÃssen _vertrauen_ zu kÃnnen, mÃsste ich seine > GÃltigkeit mÃglichst direkt prÃfen kÃnnen. Du mÃchtest aber sicher > nicht, dass ich jetzt bei dir vorbeifahre oder mit dir telefoniere, > um mir von dir die BestÃtigung zu holen (Auch wenn die Entfernung > Kiel-Hamburg nicht groà ist ;-))) ). Siehe oben, trotzdem kann man natÃrlich auch persÃnliche ÃberprÃfungen vornehmen. Interessanterweise und sehr effektiv auf "Key-Sign-Parties" oder Ãhnlichen Veranstaltungen, z.B. dem jÃhrlichen Workshop des DFN-CERT in Hamburg. > > Auch wenn du deine Key-ID und den Fingerprint unter deine Mails > schreibst, macht das die Sache nicht besser, denn das wÃrde der > besagte ÃbeltÃter auch machen. Richtig, aber die Information hilft eine schnelle ÃberprÃfung durchzufÃhren, sofern gewollt. Gebe ich in dem Kgpg SchlÃsselwerkzeug die Key-ID ein, holt mir dieses den Key direkt von einem Keyserver und ich kann sehen wer diesen Key signiert hat, insbesondere ob eine vertrauenswÃrdige Stelle in signiert hat. Wenn ja, kann ich ihn in meinen Key-Ring aufnehmen und kann mir weitere ÃberprÃfungen ersparen (habe mehrere hundert dieser Ãff. Keys bereits in meinem Keyring). > > Die Sicherheit einer Signatur hÃngt _immer_ von der > VertauenswÃrdigkeit ab. Und die ist nun einmal nur durch echtes > NachprÃfen (auch Ãber mehrere Ecken) mÃglich. Richtig, wichtig sind ein verantwortungsbewusstes Umgehen mit den eigenen ÃberprÃfungen und aktiver Teilnahme an dem "network of trust". Ich empfehle hierzu den Besuch der Internetseiten der DFN-PCA - www.dfn-pca.de - um sich interessante Informationen zu diesem Theam zu holen. GrÃsse Rolf ______________________ Rolf Schaumburg Farmsener Landstr. 162 22359 Hamburg Tel: 040/655 93 780 Sipgate: 040/ 41 43 14 093 PGP-Key-ID: A5F06B0B 39CA 5EEF 3F81 0A83 19D6 58FD DF55 6020 A5F0 6B0B _________________________________________________
