Hi Konrad,
On Friday 20 January 2006 22:52, Erik Schanze wrote:
ich bin gerade über einen Bug in KMail gestolpert, bei dem man E-Mails nur mit Schlüsseln verschlüsseln kann, die man auch signiert hat, und bin erstaunt, wie bockig die KMail-Entwickler mit dem Wunsch der Nutzer umgehen, diese Einschränkung einstellbar zu machen.
Falls Du mir einen wirklich guten kryptographischen Grund nennen kannst warum man das braucht, dann überlege ich mir, ob es sich lohnt sich mit Mark Mutz anzulegen... (er weiß normalerweise was er tut)
Warum muss der Grund "kryptographisch" sein?
Abgesehen von der frechen Bevormundung, die dem OpenSource-Gedanken, Software nicht nur nach eigenen Maßstäben, sondern nach den Wünschen der Nutzer zu entwickeln, finde ich es sicherheitstechnisch bedenklich, den Vertrauensstatus eines Schlüssels im Schlüsselbund lokal anzuheben, nur um einen Bug einer Software zu umgehen. Wenn ich dann signierte Dokumente dieser Person erhalte, wird die Signatur als Vertrauenswürdig eingestuft, obwohl es eigentlich nicht so ist.
Ich habe in diesem Fall den Schlüssel noch nicht selbst signiert, weil ich die Person noch nicht persönlich getroffen habe (und sicher auch nie werde), aber ich halte den Schlüssel zum Verschlüsseln für nutzbar, weil er über einen Vertrauens-Pfad mit meinem Schlüssel verbunden ist, nur nicht auf direktem Wege.
Grund genug? ;-)
Vielleicht setz' ich mich mal selbst ran, man braucht vielleicht bloß das Ausgrauen des "OK"-Knopfes zu verhindern. ;-)
Freundlich grüßend,
Erik