On Tuesday 15 July 2003 22:17, Stefan Berthold wrote:
Once upon a time, I heard Tobias Koenig say:
Dann zweifelst du also das ganze PKI Konzept an?
Nunja, die Aussage stimmt nicht als Folge des oben geschriebenen, aber generell sind derzeitige PKI-Implementierungen (von IPSec über SSL bis GnuPG) nicht der Weisheit letzter Schluß. Sie sind gute Weggefährten, wenn man sie versteht (was ich für mich nicht bis ins letzte Detail in Anspruch nehme), aber sie wecken in den meisten Fällen falsche Hoffnungen.
[cut]
Wenn wir schon beim Krümeln sind:
IPSec, SSL und GnuPG sind keine PKI! Sie sind Implementationen von Crypto-Protokollen. Eine PKI ist eine Infrastruktur zum verteilen und verwalten von Schlüsseln. IPSec besitzt bisher gar keine PKI, SSL basiert auf X.509, GnuPG benutzt die PGP-Keyserver.
Kryptografie ist immer ein Spiel mit Wahrscheinlichkeiten (möglichst sehr dicht an 1 bzw. 0).
Zum Thema Laufzeit und Revocation: Das schwierige an Crypto ist, dass man die sichere Lebenszeit eines Key nicht vorhersagen kann.
Eine Begrenzung auf einen bestimmten Zeitraum ist maximal für eine CA (Certification Authority) sinnvoll.
Dazu gibt es Revocation Zertifikate. Gehen wir mal etwas tiefer in die Materie am Beispiel GPG: Eigensignatur: bestätigt, dass derjenige, der diese UID (Mailadresse/Name) eingefügt hat auch den Schlüssel dazu besitzt und benutzen will. Sowie umgekehrt dass der Besitzer des Schlüssels auch gedenkt die Mailadresse zu verwenden. Signatur: bestätigt, dass derjenige, der signiert den Zusammenhang zwischen UID und Key bestätigt hat.
Was Signaturen nicht aussagen: 1) Eventuell fällt Dir auf, dass ich den Besitzer hier nicht sonderlich deutlich identifiziere: der Besitzer ist bei GPG/PGP nur indirekt via Mailadresse identifiziert, daher sind GPG-Signaturen auch nicht als offizielle (behördliche/geschäftliche) Unterschriften tauglich (dafür gibt es S/MIME)! Der Vergleich mit dem Ausweis bestätigt nur den Namen, eine recht schwache Bestätigung, wenn man bedenkt dass es allein in Dresden hunderte Ronny Müllers geben muss... 2) Signaturen drücken kein Vertrauen aus! Nur dass eine Prüfung eines Zusammenhangs stattgefunden hat. Daher halte ich den Begriff Web-of-Trust für irreführend.
Demzufolge sagen Revocation-sigs aus: UID-Revocation: die UID ist nicht mehr in Benutzung (wenn Du den Key 0f4648c4 ansiehst wirst Du an meiner HTW-Adresse eine revsig finden). Demzufolge sind auch alle anderen Signaturen auf dieser UID belanglos. Revocation of all UIDs: der Key ist ungültig, kompromittiert, nicht mehr sicher. Jeder Key-Besitzer ist verpflichtet diese Operation durchzuführen, wenn er feststellt, dass sein Schlüssel kompromittiert wurde oder der Algorithmus geknackt ist. Revoation einer normalen Sig: der Signierende vertraut der UID oder (wenn alle Sigs zurückgezogen werden) der Identität des Schlüssels nicht mehr (er ist überzeugt, dass der Schlüssel kompromittiert wurde oder der Algorithmus nicht mehr sicher genug ist).
Kurz: Du solltest immer ein Backup Deines eigenen Key und aller von Dir signierten Keys bereithalten, um die entsprechenden Revocations durchführen zu können.
U.a. aus diesem Grund weigere ich mich normalerweise, Keys zu signieren, die der Besitzer nicht ins Netz stellen will: ich habe keine gute Möglichkeit einer Revocation. (Der andere Grund: ich bin zu faul eine Liste von nicht-hochzuladenden Keys zu pflegen.)
Ausserdem ist Signatur ohne Challenge ebenfalls als sehr zweifelhaft anzusehen. Schließlich bestätige ich ja gerade den Zusammenhang zwischen Mailadresse und Key.
Bei PGP.net hatte ich übrigens noch nie Probleme mit den revsigs.
Konrad