On Sunday 26 November 2000 15:52, Andre Schulze wrote:
was ist denn nun aus den Plaenen fuer eine LUG CA geworden? Soll da nun eine "richtige" CA daraus werden? Im Moment muss ich sagen, wuerde ich als Fremder keinem einzigen Key des Servers trauen. Kein einziger Key fuehrt zu einer anderen CA.
jupp. Ich hatte noch nicht die Zeit/Gelegenheit zum Signierenlassen der "CA"-Keys.
Irgendwie scheint es hier auch an Interesse zu mangeln, deswegen habe ich mich nicht dahintergeklemmt.
Somit beschraenkt sich die Nuetzlichkeit des Servers auf lokale Zwecke. Da ich es versaeumt habe, mir den Fingerprint des CA Keys aufzuschreiben, kann ich jetzt aus der Ferne keinen Key auf Echtheit ueberpruefen. Dies ist ja nun aber der Zweck einer PKI. Auch ist der Keyserver erst dann richtig nutzbar, bis der auch LUG fremde keys bereitstellen kann, sonst nuetzt es ja nix, den als Standard in .gnupg/options einzutragen.
Kann ich machen, dauert aber etwas...
Auch ist die Policy wohl ein Witz: http://lug-dd.schlittermann.de:11371/policy.html
wohl eher ein "draft" als ein Witz... :-(
Da steht nichts darueber drin, in welcher Art und Weise die CA Keys erzeugt, verwahrt und benutzt werden. Auf welchem Rechner wird das gemacht, wie ist der zugaenglich usw.
Der Key wurde auf meinem lokalen Rechner erzeugt und liegt auf einer ZIP-Disk in meinem Regal. Also nicht durch Cracking erreichbar. Dafür aber durch Einbruch... ;-)
(Bitte! Das war jetzt keine Aufforderung! ;-) )
Man sollte sich z.B. an der Policy des Individuel Network oder des DFN orientieren, um ernstgenommen zu werden: http://www.in-ca.individual.net/policy.html
Um nicht einen falschen Eindruck zu vermitteln: ich halte eine CA fuer sinnvoll, aber nur, wenn die auch allen Anforderungen genuegt. Wenn also ernsthaft eine nuetzliche CA aufgebaut werden soll, sollten wir versuchen, eine IN-CA zu werden (als Teil des Individual Network e.V.) http://www.in-ca.individual.net/policy.html#Regeln IN-CA
Vorschlag: reden wir Mittwoch nochmal gründlich da drüber. Wenn wirklich Interesse besteht bin ich bereit die Implementation so weit aufzubohren, dass das alles vollständig nutzbar wird.
So eine Inselloesung wie jetzt bringt keinen Vorteil gegenueber einem individuellen Exportieren der teilnehmenden User an z.B. www.keyserver.net
...naja, es ist übersichtlicher... :-P
Konrad "der-Pseudo-CA-Admin,-der-das-alles-nicht-so-ernst-nimmt" Rosenbaum