Once upon a time, I heard Tobias Koenig say:
Die e-mails beantworten können auch diese Leute, aber ich würde mir überlegen, ob ich mit meiner Signatur ihre "Identität" bestätige, wenn kurz darauf unter Umständen jeder in diesem Rechenzentrum den Schlüssel nach Lust und Laune benutzt.
Dann zweifelst du also das ganze PKI Konzept an?
Nunja, die Aussage stimmt nicht als Folge des oben geschriebenen, aber generell sind derzeitige PKI-Implementierungen (von IPSec über SSL bis GnuPG) nicht der Weisheit letzter Schluß. Sie sind gute Weggefährten, wenn man sie versteht (was ich für mich nicht bis ins letzte Detail in Anspruch nehme), aber sie wecken in den meisten Fällen falsche Hoffnungen.
Zurück zu dem eigentlichen Problem: Ich habe -- wie Du sicherlich vermutest -- kein solches von Dir gesuchtes Programm und halte die automatische Abwicklung dieses "letzten" Schrittes für genauso gefährlich, wie die Automatisierung eines anderen Schrittes.
Ich komme gerade an Deinen Schlüssel nicht ran, vielleicht ist der öffentliche Teil auf einem permanent präsenten Internet Server (Uni?) besser aufgehoben.
Es stellen sich aber neben dem Blick auf den Paß usw. (Standardfrage: Kannst Du einen gefälschten Paß von einem echten auseinanderhalten?) auch noch andere Fragen. Eine davon könnte sein, wie lang Du die lifetime des Schlüssels gewählt hast. Ist sie unbegrenzt, würde ich es generell ablehnen, den Schlüssel zu bestätigen -- ist sie hingegen begrenzt stellt sich die Frage, wie Du das Problem umschiffst, daß mit Ablaufen Deines Schlüssels die Signaturen darunter ungültig werden. Selbst wenn Du ihn verlängerst, mußt Du alle Signaturen neu sammeln.
Ausweg hierfür könnte sein, verschiedene "Subkeys" zu erstellen. Dann bekommst Du aber massive Probleme mit kommerziellen PGP-Implemen- tierungen oder den meisten Key-Servern, da die nur mit den neusten Patches "multiple subkeys" annehmen.
Die Keyserver sind aber sowieso ein Problem: Ich hatte früher mal Probleme, ein Revocation-Certificate aufzuspielen, was ja dann doch langsam kein Spaß mehr ist, wenn es nicht funktioniert.
Aber da kommt man vom Hundertsten ins Tausende: Hast Du beispielsweise Deine Partner nach einem Revocation-Certificate gefragt oder wie sie dieses oder ihren Geheimschlüssel (möglicherweise auch ein vorhandenes Backup) aufbewahren?
Du weißt ja, Sicherheit war die Sache mit der Kette und dem schwächsten Glied darin.
hej så länge.