Moin,
wohl nicht nur theoretisch kann jeder Vollidiot^W^Wjede mir unliebsame Person meine Key unterzeichnen und hochladen. Entspricht nicht den Regeln der Höflichkeit und erst Recht nicht dem Sinn von PGP/GPG, aber technisch möglich.
Frage:
kann ich solche Signaturen löschen?
Nein, es ist kein akutes Problem, nur so ein Gedankengang...
Andreas
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
On Thursday 07 November 2002 18:48, Andreas Kretschmer wrote:
wohl nicht nur theoretisch kann jeder Vollidiot^W^Wjede mir unliebsame Person meine Key unterzeichnen und hochladen. Entspricht nicht den Regeln der Höflichkeit und erst Recht nicht dem Sinn von PGP/GPG, aber technisch möglich.
Frage:
kann ich solche Signaturen löschen?
Nein. Ist auch nicht nötig, derjenige zerstört nur seine eigene Reputation, nicht Deine. Dein Keyblock wird nur einige Bytes länger.
Der Ausschnitt aus dem Web-of-Trust, der Dich interessiert wird deswegen nicht kleiner oder grösser, es gibt nur mehr Rauschen ringsrum. Es interessieren Dich eigentlich nur die Leute, die Du selbst signiert hast und die denen Du vertraust.
Selbst aus meiner Sicht verändert sich nichts: ich habe Deinen Key selbst geprüft und signiert, also interessiert mich nur diese Signatur.
Nehmen wir mal an, Otto Normalpinguin weiss dass ich einigermassen gute Prüfungen vornehme, aber vertraut mir nicht vollkommen. Ein ähnliches Verhältnis hat er zu einigen anderen, die Deinen Key signiert haben. Je mehr dieser "einigermassen vertrauenswürdigen" Personen Deinen Key signieren umso besser. Der Rest ist nur Rauschen und trägt nichts zur Bewertung Deines Key bei. Z.B. Jon Dozer hat zwei dutzend Keys erzeugt und mit allen eine Signatur an Deinen Key gehängt. Die Meinung von Otto wird das (hoffentlich) nicht beeinflussen, schliesslich kennt er Jon nicht und kann nicht beurteilen, wie seine Signaturen zu bewerten sind.
Konrad
Hallo Andreas!
Am 07. November 2002 schrieb Andreas Kretschmer:
Frage: kann ich solche Signaturen löschen?
Konrad hat zwar Recht, aber deine Frage nicht beantwortet.
Ich hab's mal probiert. Ich konnte lokal Signaturen löschen und beim Hochladen auf den Key-Server gab's keine Fehlermeldung, aber ein Schlüsseldownload danach zeigt wieder alle Signaturen. Ich konnte auch Konrad's Signaturen löschen. ;-)
---------------- es@pc1:~$ gpg --edit-key 0F4648C4
uid 1
delsig ----------------
Der Server legt den Schlüssel mit der gelöschten Signatur nicht ab, weil jeder die Schlüssel in seinem Pub-Key-Ring editieren und Signaturen löschen kann, wie er will.
Wenn man das noch hochladen könnte, wäre das Chaos perfekt.
Zum Glück habe ich deinen Schlüssel noch nicht signiert. ;-) (Dann kann ich's nicht sein, den du meinst.)
Freundlich grüßend,
Erik
Once upon a time, I heard Erik Schanze say:
Ich hab's mal probiert.
Hmm. Es sollte klar sein, daß man den öffentlichen Teil eines Schlüssels (nach PublicKey-Verfahren) überall so ablegen kann, wie man will. Auf der eigenen WebSite oder in den finger-Daten hat man das weitestgehend selbst unter Kontrolle, kann also nach Herzenslust Signaturen und alles andere löschen und das ist dann eben nicht mehr da, weil...
Ich konnte lokal Signaturen löschen und beim Hochladen auf den Key-Server gab's keine Fehlermeldung, aber ein Schlüsseldownload danach zeigt wieder alle Signaturen. Ich konnte auch Konrad's Signaturen löschen. ;-)
...wer sollte es auch verhindern, daß man auf seiner Festplatte etwas speichert und/oder bearbeitet - außer natürlich das Gesetz - aber...
Der Server legt den Schlüssel mit der gelöschten Signatur nicht ab, weil jeder die Schlüssel in seinem Pub-Key-Ring editieren und Signaturen löschen kann, wie er will. Wenn man das noch hochladen könnte, wäre das Chaos perfekt.
...der KeyServer ist nicht die eigene Festplatte und funktioniert mehr wie ein Logfile, also append only. Du kannst löschen, was Du willst, die aktuellen KeyServer vergessen nichts und speichern nur das, was sie bisher noch nicht gesehen haben. Deswegen wurde das revocation certificate erfunden, damit die KeyServer etwas "neues" im oder zum Schlüssel finden, das fröhlich speichern und die Nutzer, die dann tunlichst ihre Kopie auf der Festplatte aktualisieren sollten, wissen, daß diesem Schlüssel vom Eigentümer das Vertrauen entzogen wurde. Leider können noch nicht sehr viele KeyServer etwas mit solchen Zertifikaten anfangen.
Zum Glück habe ich deinen Schlüssel noch nicht signiert. ;-)
Warum "noch"? Sollten wir mal eine Zertifizierungs-Campagne starten, damit jeder mal erfährt, was der andere für Fragen für sein Vertrauen stellt (oder auch nicht) und damit wir endlich (den völlig überflüssigen Signaturen in dieser mailinglist - Hallo FlameWare!) vertrauen dürfen (oder auch nicht)? Ich meine, es ist ja ganz witzig, wenn jemand erklärt, daß er bekannt dafür ist, daß er tolle Signaturen verteilt und dabei verspircht, ganz besonders genau auf den fingerprint zu schauen... aber so richtig gut finde ich die Idee dann doch wieder nicht. Vielmehr könnte man das Thema "Verschlüsselung" mal etwas weiter propagieren... sowas funktioniert nämlich nicht nur unter den List-Topics (Hallo Fenster, hallo Knopf!)...
hej så länge.
lug-dd@mailman.schlittermann.de
-
Andreas Kretschmer -
Erik Schanze -
Konrad Rosenbaum -
Stefan Berthold