On Mon, Jul 14, 2003 at 10:36:24PM +0200, Stefan Berthold wrote:
Once upon a time, I heard Tobias Koenig say:
Hi Stefan,
Um den Zusammenhang zwischen Schlüssel, Person und Key zu sichern,
^^^ meinte EMail-Adresse
schickt man eine verschlüsselte Mail mit Zufallsdaten an alle angegebenen E-Mail Adressen der Person, deren Schlüssel man signieren soll. Die Person muss dann ein Reply auf alle E-Mails schicken und diese ebenfalls signieren.
Ahja, verstehe. Was ist, wenn einer in der Mitte sitzt und beiden Seiten mit seinen Fake-Schlüsseln eine direkte Verbindung vorspielt?
Ich habe schon deren öffentlichen Schlüssel vom KeyServer geladen und den FingerPrint überprüft.
Hast Du Dich jemals mit den Leuten unterhalten?
Natürlich, sogar ihren Pass gesehen und einen Zettel von ihnen bekommen mit Unterschrift.
Die e-mails beantworten können auch diese Leute, aber ich würde mir überlegen, ob ich mit meiner Signatur ihre "Identität" bestätige, wenn kurz darauf unter Umständen jeder in diesem Rechenzentrum den Schlüssel nach Lust und Laune benutzt.
Dann zweifelst du also das ganze PKI Konzept an?
Ciao, Tobias