-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
On Wed, 21 Jun 2000, Reinhard Foerster wrote:
On Mon, Jun 19, 2000 at 01:36:49PM +0200, Konrad Rosenbaum wrote:
Hilfe gesucht
Es waere schoen, wenn sich noch ein oder zwei weitere Personen bereit erklaeren dauerhaft bei der Registrierung mitzumachen:
- als Ersatzmann, falls mal einer ausfaellt oder nicht zum Treffen kommen
kann 2. werden Probleme von mehreren schneller erkannt und behoben 3. koennen sich diese Leute gegenseitig kontrollieren, dadurch ist die Sache vertrauenswuerdiger
Ich denke mehr als drei Leute, die Zugriff auf den Schluessel haben sollten es nicht sein, da IMHO sonst das Risiko eines Sicherheitsloches zu hoch wird.
RFC
Kommentare dazu sind staerkstens erwuenscht. (Zumindest solche von der konstruktiven Art.)
Hallo Konrad, ich hoffe du findest folgendes konstruktiv. Es ist jedenfalls so gemeint:
keine Angst, tu ich...
Frage: Wozu willst du neben neben Crosszertifikaten der Lug-Leute eine CA aufbauen? OK, prinzipiell waere eine lokale CA in Dresden schon eine nette Sache, das man bei *ordentlichem Betrieb* irgendwann sicherlich Zertifikate ander Stellen fuer diese CA bekommt und somit viele Leute "erreicht".
Die Idee mit der CA ist vielleicht etwas zu schnell gekommen... (s.u.)
Ich bin mir allerdings sicher, dass du mit deiner jetzigen Aktion die Anforderungen an eine ernstzunehmende CA bei weitem nicht erfüllen kannst. Das meine ich sowohl technisch als auch vom KnowHow her.
Ich erfuelle in etwa die Anforderungen des DFN an eine Sub-CA des DFN-CERT.
Schau dir mal folgende Beispiele fuer anerkannte CA-Policies an: http://www.pca.dfn.de/dfnpca/policy/lowlevel.html (vor allem Punkt 4) und http://www.in-ca.individual.net/policy.html (Punkt 6 besondes 6.2/6.3)
Ein Beispiel: Wenn ich obige Key-ID mit "LUG-DD Authority lug-dd@schlittermann.de" lese, komme ich ins gruebeln. Daraus wird man nichtmal schlau, ob das der Key der CA fuer die Kommunikation mit anderen ist, oder der fuer Zertifizierungen verwendete Key. Dazu kommt die völlig sinnfreie Angabe einer Mailingliste als email zum Key.
sorry, als ich den Schluessel erzeugt habe hatte ich noch weniger Ahnung....
Die Infos auf der angegeben Webseite bestaerken meine oben geaußerten Vorbehalte. Was soll z.B. die Verquickung von deimem neuprogrammierten Keyserver mit der CA? Die Seite laesst den Schluss zu, dass das irgendwas miteinander zu tun hat.
Ist ebenfalls nur ein Prototyp.
Mein Fazit: Ich koennte mir durchaus mittelfristig den Betrieb eine CA durch die Lug in Dresden vorstellen, lehne aber den Schnellschuss in seiner jetzigen Form ab.
Vorschlag: * nutzen wir den KeyServer erst mal zur Cross-Zertifizierung zwischen den LUG-Mitgliedern (ich hoffe ihn Montag installieren zu koennen) * betrachten wir den CA-Key als eine Art Testlauf mit fast echten Bedingungen, wenn es klappt und der Key anerkannt wird ist schoen, wenn nicht bauen wir halt einen neuen Key, sobald wir wissen, wie man das wirklich aufzieht * ich mach erst mal weiter wie gehabt, nur etwas langsamer, und fuege an einigen Stellen das Stichwort "Testlauf" ein * die Gestaltung der Webpage muss ich nochmal gruendlich ueberdenken, wenn ich dich richtig verstanden habe, habe ich zu viele Informationen auf der selben Seite mit zu wenig Erlaeuterungen - richtig?
Ich hoffe das findet Eure Zustimmung. Fuer weitere Kommentare bin ich offen...
Konrad
PS.: die gestern registrierten und signierten Keys sind unter http://www.htw-dresden.de/~htw6966/allkeys.gpg gespeichert