On Tue, Jun 19, 2001 at 04:36:34PM +0200, Andre Schulze wrote:
Moment mal, hier kommen wir aber schnell vom Thema ab. Die Signatur ist _natürlich_ überhaupt nichts wert, wenn man sie nicht checkt. Unter checken verstehe ich hier zum einen festzustellen, ob die Nachricht intakt ist und daß der öffentliche Schlüssel vertrauenswürdig ist.
Was in der Formulierung zwar nicht wirklich einen Preis gewinnen kann, aber ich sehe zumindest endlich den gemeinsamen Denkansatz.
Falsch: Prinzip 1: Vertraue nichts und niemandem. Auch verstehe ich nicht,
Schön zitiert, aber nicht markiert... und nicht darüber nachgedacht, würde ich jedenfalls behaupten wollen! Würde für Dich [Prinzip 1] so uneingeschränkt gelten, dann sind Signaturen wirklich nur noch Daten- müll und gehören sicherlich *nicht* in eine mailinglist.
was du mit "ein und der selben Information" meinst.
Den Absender, selbigen auf den Du vorher noch mit dem Briefbeispiel angespielt hast.
Du willst meiner Signatur nicht vertrauen. Du willst sie überprüfen.
checken! - um Deine Worte zu benutzen, natürlich will ich das! Das Vertrauen kommt erst ganz spät danach. Die Frage ist doch aber, warum ich einer mail, der ich - egal ob sie verändert wurde oder nicht - eine relativ hohe Wahrscheinlichkeit an Vertrauenswürdigkeit zuordnen kann (weil sie durch mehrere Menschen gelesen wird: Prinzip der mailinglist), ein Anhang verpassen muß, mit dem ich wesentlich vorsichtiger umgehen muß... der ein vollkommen eigenständiges "Vertrauensmanagement" erfordert. Die brisantere Information an Deiner mail ist die Signatur: Für die einen Datenmüll, weil sie sie eh nicht auswerten können, für andere die Grundlage für absolutes Vertrauen, weil sie sich nur marginal mit der Thematik beschäftigt haben und für mich nicht wirklich sinnvoll, würde nämlich jemand Deine mails verändern, würdest Du Dich sicher melden (wiederum Prinzip der mailinglist). Aus dieser oben erwähnten Unverhältnismäßigkeit der Brisanz und der Sinnlosigkeit (dem Überladen der mail mit Sicherheitsmechanismen und sich gleichenden Informationen) resultierte meine Ausgangsfrage.
http://www.keyserver.net:11371/pks/lookup?op=vindex&search=0xDB41469B
War wohl bei mir mehr ein Problem der Servergeschwindigkeit.
Tust du das, kannst du die Signatur von Heise meines Schlüssels überprüfen und davon ausgehen, daß nur ich und niemand anderes diesen "Schnullifax" verbrochen habe.
Jetzt schau mal an... so viel Arbeit im Verhältnis zu so wenig brisanten Inhalt.
In einem stimme ich allen "Skeptikern" zu: wenn man es nicht richtig betreibt, macht das alles keinen Sinn.
Verstehst Du unter "richtig betreibt" jede mail zu signieren? Nur das, was man wirklich braucht, bringt Nutzen, der Rest ist Spielzeug bzw. eine potentielle Sicherheitslücke.
ciao.