Once upon a time, I heard Tobias Koenig say:
Um den Zusammenhang zwischen Schlüssel, Person und Key zu sichern, schickt man eine verschlüsselte Mail mit Zufallsdaten an alle angegebenen E-Mail Adressen der Person, deren Schlüssel man signieren soll. Die Person muss dann ein Reply auf alle E-Mails schicken und diese ebenfalls signieren.
Ahja, verstehe. Was ist, wenn einer in der Mitte sitzt und beiden Seiten mit seinen Fake-Schlüsseln eine direkte Verbindung vorspielt?
Hast Du Dich jemals mit den Leuten unterhalten? Einige tendieren dazu, ihren Geheimschlüssel in Rechenzentren und zudem ohne Paßwortschutz liegen zu lassen. Einige verwenden überall das selbe Paßwort, manchmal "1A2B3C" -- nur als Idee. Für die Nachhaltigkeit solcher Fehler sorgt dann noch das Backup-System des jeweiligen Rechenzentrums, was will man mehr...
Die e-mails beantworten können auch diese Leute, aber ich würde mir überlegen, ob ich mit meiner Signatur ihre "Identität" bestätige, wenn kurz darauf unter Umständen jeder in diesem Rechenzentrum den Schlüssel nach Lust und Laune benutzt. Damit würde vermutlich auch meine Vertrauenswürdigkeit bei einigen WoT-Konsumenten drastisch sinken.
hej så länge.