Hallo,
was ist denn nun aus den Plaenen fuer eine LUG CA geworden? Soll da nun eine "richtige" CA daraus werden? Im Moment muss ich sagen, wuerde ich als Fremder keinem einzigen Key des Servers trauen. Kein einziger Key fuehrt zu einer anderen CA. Somit beschraenkt sich die Nuetzlichkeit des Servers auf lokale Zwecke. Da ich es versaeumt habe, mir den Fingerprint des CA Keys aufzuschreiben, kann ich jetzt aus der Ferne keinen Key auf Echtheit ueberpruefen. Dies ist ja nun aber der Zweck einer PKI. Auch ist der Keyserver erst dann richtig nutzbar, bis der auch LUG fremde keys bereitstellen kann, sonst nuetzt es ja nix, den als Standard in .gnupg/options einzutragen.
Auch ist die Policy wohl ein Witz: http://lug-dd.schlittermann.de:11371/policy.html Da steht nichts darueber drin, in welcher Art und Weise die CA Keys erzeugt, verwahrt und benutzt werden. Auf welchem Rechner wird das gemacht, wie ist der zugaenglich usw. Man sollte sich z.B. an der Policy des Individuel Network oder des DFN orientieren, um ernstgenommen zu werden: http://www.in-ca.individual.net/policy.html
Um nicht einen falschen Eindruck zu vermitteln: ich halte eine CA fuer sinnvoll, aber nur, wenn die auch allen Anforderungen genuegt. Wenn also ernsthaft eine nuetzliche CA aufgebaut werden soll, sollten wir versuchen, eine IN-CA zu werden (als Teil des Individual Network e.V.) http://www.in-ca.individual.net/policy.html#Regeln IN-CA
So eine Inselloesung wie jetzt bringt keinen Vorteil gegenueber einem individuellen Exportieren der teilnehmenden User an z.B. www.keyserver.net
andre
On Sun, Nov 26, 2000 at 03:52:07PM +0100, Andre Schulze wrote:
ueberpruefen. Dies ist ja nun aber der Zweck einer PKI.
Unter einer PKI versteht man im allgemeinen ein System nach X.509 und keines auf Basis pgp/gpg.
Um nicht einen falschen Eindruck zu vermitteln: ich halte eine CA fuer sinnvoll, aber nur, wenn die auch allen Anforderungen genuegt. Wenn also ernsthaft eine nuetzliche CA aufgebaut werden soll, sollten wir versuchen, eine IN-CA zu werden (als Teil des Individual Network e.V.) http://www.in-ca.individual.net/policy.html#Regeln IN-CA
Die Diskussion gabs ja schonmal. Wenn ich mich recht erinnere, sind wir zu dem Schluss gekommen, dass wir es nicht so einfach packen, eine vernünftige CA auf die Beine zu stellen.
Abgesehen davon: Den Sinn des Betreibens eines Keyservers habe ich vom Anfang an nicht kapiert und dabei ist es bis heute geblieben. Es ist ja nicht so, dass keyserver knapp sind.
Reinhard
On Sun, Nov 26, 2000 at 05:05:43PM +0100, Reinhard Foerster wrote:
On Sun, Nov 26, 2000 at 03:52:07PM +0100, Andre Schulze wrote:
ueberpruefen. Dies ist ja nun aber der Zweck einer PKI.
Unter einer PKI versteht man im allgemeinen ein System nach X.509 und keines auf Basis pgp/gpg.
Um nicht einen falschen Eindruck zu vermitteln: ich halte eine CA fuer sinnvoll, aber nur, wenn die auch allen Anforderungen genuegt. Wenn also ernsthaft eine nuetzliche CA aufgebaut werden soll, sollten wir versuchen, eine IN-CA zu werden (als Teil des Individual Network e.V.) http://www.in-ca.individual.net/policy.html#Regeln IN-CA
Die Diskussion gabs ja schonmal. Wenn ich mich recht erinnere, sind wir zu dem Schluss gekommen, dass wir es nicht so einfach packen, eine vernünftige CA auf die Beine zu stellen.
Abgesehen davon: Den Sinn des Betreibens eines Keyservers habe ich vom Anfang an nicht kapiert und dabei ist es bis heute geblieben. Es ist ja nicht so, dass keyserver knapp sind.
Wo bleibt der flame von Konrad? ;)
Ciao, Tobias
On Sunday 26 November 2000 18:29, Tobias Koenig wrote:
On Sun, Nov 26, 2000 at 05:05:43PM +0100, Reinhard Foerster wrote:
Abgesehen davon: Den Sinn des Betreibens eines Keyservers habe ich vom Anfang an nicht kapiert und dabei ist es bis heute geblieben. Es ist ja nicht so, dass keyserver knapp sind.
Wo bleibt der flame von Konrad? ;)
Keine Lust ;-)
Konrad
On Sunday 26 November 2000 15:52, Andre Schulze wrote:
was ist denn nun aus den Plaenen fuer eine LUG CA geworden? Soll da nun eine "richtige" CA daraus werden? Im Moment muss ich sagen, wuerde ich als Fremder keinem einzigen Key des Servers trauen. Kein einziger Key fuehrt zu einer anderen CA.
jupp. Ich hatte noch nicht die Zeit/Gelegenheit zum Signierenlassen der "CA"-Keys.
Irgendwie scheint es hier auch an Interesse zu mangeln, deswegen habe ich mich nicht dahintergeklemmt.
Somit beschraenkt sich die Nuetzlichkeit des Servers auf lokale Zwecke. Da ich es versaeumt habe, mir den Fingerprint des CA Keys aufzuschreiben, kann ich jetzt aus der Ferne keinen Key auf Echtheit ueberpruefen. Dies ist ja nun aber der Zweck einer PKI. Auch ist der Keyserver erst dann richtig nutzbar, bis der auch LUG fremde keys bereitstellen kann, sonst nuetzt es ja nix, den als Standard in .gnupg/options einzutragen.
Kann ich machen, dauert aber etwas...
Auch ist die Policy wohl ein Witz: http://lug-dd.schlittermann.de:11371/policy.html
wohl eher ein "draft" als ein Witz... :-(
Da steht nichts darueber drin, in welcher Art und Weise die CA Keys erzeugt, verwahrt und benutzt werden. Auf welchem Rechner wird das gemacht, wie ist der zugaenglich usw.
Der Key wurde auf meinem lokalen Rechner erzeugt und liegt auf einer ZIP-Disk in meinem Regal. Also nicht durch Cracking erreichbar. Dafür aber durch Einbruch... ;-)
(Bitte! Das war jetzt keine Aufforderung! ;-) )
Man sollte sich z.B. an der Policy des Individuel Network oder des DFN orientieren, um ernstgenommen zu werden: http://www.in-ca.individual.net/policy.html
Um nicht einen falschen Eindruck zu vermitteln: ich halte eine CA fuer sinnvoll, aber nur, wenn die auch allen Anforderungen genuegt. Wenn also ernsthaft eine nuetzliche CA aufgebaut werden soll, sollten wir versuchen, eine IN-CA zu werden (als Teil des Individual Network e.V.) http://www.in-ca.individual.net/policy.html#Regeln IN-CA
Vorschlag: reden wir Mittwoch nochmal gründlich da drüber. Wenn wirklich Interesse besteht bin ich bereit die Implementation so weit aufzubohren, dass das alles vollständig nutzbar wird.
So eine Inselloesung wie jetzt bringt keinen Vorteil gegenueber einem individuellen Exportieren der teilnehmenden User an z.B. www.keyserver.net
...naja, es ist übersichtlicher... :-P
Konrad "der-Pseudo-CA-Admin,-der-das-alles-nicht-so-ernst-nimmt" Rosenbaum
Am Son den 26 Nov 2000 um 06:44:52 +0100 schrieb Konrad Rosenbaum:
On Sunday 26 November 2000 15:52, Andre Schulze wrote:
jupp. Ich hatte noch nicht die Zeit/Gelegenheit zum Signierenlassen der "CA"-Keys.
Das ist ja nun nicht mir "Signierenlassen" getan. Man muss jemanden von einer anderen CA erst mal gruendlich davon ueberzeugen, dass unsere Policy und Infrastruktur auch vertrauenserregend ist.
Irgendwie scheint es hier auch an Interesse zu mangeln, deswegen habe ich mich nicht dahintergeklemmt.
Hm, naja - ich dachte auch eher daran, dass man wie schon mal in der frueheren Diskussion erwaehnt haben, eine "CA fuer den Raum Dresden" auf die Beine zu stellen. Leider macht das ja die Uni nicht, wie die RWTH hier in Aachen. Aber nur sowas macht Sinn. Das jetzige Konzept ist ja ein Web of Trust + Keyserver, das ist aber keine CA.
Auch ist die Policy wohl ein Witz: http://lug-dd.schlittermann.de:11371/policy.html
wohl eher ein "draft" als ein Witz... :-(
Nun gut, da kann man vom DFN abkupfern. Nur muss man diese Policy dann selbstredend auch praktizieren.
Der Key wurde auf meinem lokalen Rechner erzeugt und liegt auf einer ZIP-Disk in meinem Regal. Also nicht durch Cracking erreichbar. Dafür aber durch Einbruch... ;-)
Sowas muss in der Policy auch festgehalten werden.
Vorschlag: reden wir Mittwoch nochmal gründlich da drüber. Wenn wirklich Interesse besteht bin ich bereit die Implementation so weit aufzubohren, dass das alles vollständig nutzbar wird.
Ok, aber ich kann nicht kommen, da ich noch bis Ende Februar in Aachen bin ;-)
andre
lug-dd@mailman.schlittermann.de
-
Andre Schulze -
Konrad Rosenbaum -
Reinhard Foerster -
Tobias Koenig