Am Tue den 19 Jun 2001 um 04:04:30PM +0200 schrieb Stefan Berthold:
On Tue, Jun 19, 2001 at 01:23:26PM +0200, Andre Schulze wrote:
Ganz einfach: wenn dir jemand eine Postkarte oder einen Brief schreibt, dann würde man ganz gerne wissen, von wem das kommt, egal was drin steht.
Was nicht heißt, daß man es nun unbedingt rausbekommt.
Richtig, ich kann dort natürlich wie in einer Mail etwas beliebiges als Absender eintragen.
Bei email ist das auch nicht anders. Da aber die From: Zeile nicht wirklich diese Info enthält ist eine Signatur eine nützliche Sache.
Da ich aber einer mir zufällig im Netz begegnenden Signatur genauso großes Vertrauen entgegenbringe, wie einem From-Header (warum sollte ich einer Signatur vertrauen, nur weil sie von einem Programm namens PGP oder GnuPG erstellt wurde?)... bringt mir die Signatur wenig - im
Moment mal, hier kommen wir aber schnell vom Thema ab. Die Signatur ist _natürlich_ überhaupt nichts wert, wenn man sie nicht checkt. Unter checken verstehe ich hier zum einen festzustellen, ob die Nachricht intakt ist und daß der öffentliche Schlüssel vertrauenswürdig ist.
Die Echtheit des Schlüssels überprüft man idealerweise genau ein Mal durch Vergleichen mit dem Fingerprint, den man persönlich von der Person entgegengenommen hat und überzeugt sich von der "Echtheit" der Person durch Vergleich mit Perso/Paß. Ist der Key der Person mit einer Signatur einer anderen Stelle versehen, der man bereits vertraut (in meinem Falle ist das die Heise CA), kann man dem Key ebenfalls vertrauen (Web of Trust).
Gegenteil: Die mail wird mehr und mehr überladen mit ein und der selben Information, der man nun entweder spontan vertrauen oder selbiges lassen kann.
Falsch: Prinzip 1: Vertraue nichts und niemandem. Auch verstehe ich nicht, was du mit "ein und der selben Information" meinst.
Nochmal: Selbst wollte ich Deiner Signatur vertrauen, fehlt mir der
Du willst meiner Signatur nicht vertrauen. Du willst sie überprüfen.
öffentliche Teil des Schlüssels... und ich habe ihn bis jetzt eben noch nicht gefunden - vielleicht lüftest Du das Geheimnis?
Wo ist das Problem?
http://www.keyserver.net:11371/pks/lookup?op=vindex&search=0xDB41469B
Damit hast du meinen Key, kannst aber noch nicht davon ausgehen, daß der auch mir gehört. Das mußt du nun noch checken (oder auch nicht). Dazu holst du dir z.B. den Key von Heise und vergleichst den fingerprint des Heise Schlüssels mit dem der in jeder 'CT steht. Damit kannst du sicher sein, daß du wirklich den richtigen Heise Key hast. Nun mußt du dir überlegen, ob du Heise zutraust, daß die sich korrekt davon überzeugt haben, daß ich auch "Andre Schulze" bin. Tust du das, kannst du die Signatur von Heise meines Schlüssels überprüfen und davon ausgehen, daß nur ich und niemand anderes diesen "Schnullifax" verbrochen habe.
In einem stimme ich allen "Skeptikern" zu: wenn man es nicht richtig betreibt, macht das alles keinen Sinn.
andre