Reinhard Foerster rf11@inf.tu-dresden.de writes:
mehrer Leute signen jede Mail an die Liste per PGP oder GNUPG. Seht ihr darin wirklich Sinn? Ist eine Diskussion in einer Mailingliste (zumindest in dieser) nicht eher vergleichbar mit einem Plausch in der Kneipe? Dort will ich jedenfalls nicht von jedem Gegenueber wissen, ob er wirklich der ist, fuer den er sich ausgibt.
Aber in der Kneipe kannst du meist sicherstellen, daß nicht irgendein dir Unbekannter erfolgreich als ein dir Bekannter auftritt.
Sowas läßt sich mit Signatur vermeiden, wenn der Absender jede Nachricht signiert und der Empfänger jede Signatur prüft.
Das Signieren aller ausgehenden Nachrichten ist bei realistischem Volumen nur automatisiert machbar, was ein gewisses Vertrauen in die Sicherheit des eigenen Systems erfordert (Man möchte nicht für jede ausgehende Nachricht eine Paßphrase eingeben.)
In meinen Augen ist das Signen in Listen wie unserer unnötiger Traffic. Dazu kommt der nicht unerheblich Aufwand zum Verfizieren der Keys bei Leuten, die so lose zusammengewuerfelt sind wie wir.
Man müßte nur beim nächsten Stammtisch Schlüssel tauschen. Wäre vielleicht mal was sinnvolles.
Sven
Reinhard Foerster rf11@inf.tu-dresden.de writes:
mehrer Leute signen jede Mail an die Liste per PGP oder GNUPG. Seht ihr darin wirklich Sinn?
Der Sinn sollte doch seit der Flut an Emailviren in letzter Zeit ganz offensichtlich sein.
On Sun, May 28, 2000 at 09:03:43PM +0200, Sven Rudolph wrote:
Man muesste nur beim naechsten Stammtisch Schluessel tauschen. Waere vielleicht mal was sinnvolles.
Das ist eine wirklich gute Idee.
Torsten
Am Sun den 28 May 2000 um 10:36:54PM +0200 schrieb Torsten Werner:
Reinhard Foerster rf11@inf.tu-dresden.de writes:
mehrer Leute signen jede Mail an die Liste per PGP oder GNUPG. Seht ihr darin wirklich Sinn?
klar doch, wenn es auch nur darum geht, authentifizierung etwas bekannter zu machen. imho sollte jede mail von jedem identifizierbar sein. wuerde jeder alles signieren, koennte man spam ganz einfach filtern. nicht signiertes landet dann automatisch im muell. viele leute vertrauen mails wie einem brief, der mit der post kommt. ausserdem macht man durch das signieren auf krypto zeugs aufmerksam. das ist gut. anderenseits ist es nicht gut, wenn man nicht zertifizierte schluessel benutzt. da sehe ich keinen sinn drin.
On Sun, May 28, 2000 at 09:03:43PM +0200, Sven Rudolph wrote:
Man muesste nur beim naechsten Stammtisch Schluessel tauschen. Waere vielleicht mal was sinnvolles.
Das ist eine wirklich gute Idee.
richtig, dein key ist nicht zertifiziert und auch nicht bei einem keyserver erhaeltlich. das macht nicht sooo sehr viel sinn ;-)
ps.: wer zertifiziert denn eigentlich noch private leute, ausser heise (hab ich mal auf der cebit gemacht)?
andre
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
On Mon, 29 May 2000, Andre Schulze wrote: [cut]
On Sun, May 28, 2000 at 09:03:43PM +0200, Sven Rudolph wrote:
Man muesste nur beim naechsten Stammtisch Schluessel tauschen. Waere vielleicht mal was sinnvolles.
Das ist eine wirklich gute Idee.
richtig, dein key ist nicht zertifiziert und auch nicht bei einem keyserver erhaeltlich. das macht nicht sooo sehr viel sinn ;-)
ps.: wer zertifiziert denn eigentlich noch private leute, ausser heise (hab ich mal auf der cebit gemacht)?
Eben deswegen wollen wir ja die Schluessel beim Treffen austauschen. Damit zertifizieren wir uns gegenseitig. Das ist der Sinn hinter dem Begriff "Web of Trust".
Konrad
On Mon, May 29, 2000 at 08:27:25AM +0200, Andre Schulze wrote:
mehrer Leute signen jede Mail an die Liste per PGP oder GNUPG. Seht ihr darin wirklich Sinn?
klar doch, wenn es auch nur darum geht, authentifizierung etwas bekannter zu machen. imho sollte jede mail von jedem identifizierbar sein.
Bis hierher OK. Das waere wünschenswert
wuerde jeder alles signieren, koennte man spam ganz einfach filtern. nicht signiertes landet dann automatisch im muell.
Hier hört es auf. Wie willst du es schaffen, dass die Keys *aller* Leute, die dir mailen vorher schon von dir oder einem Vertrauten unterschrieben sind? Ein Wunschtraum.
anderenseits ist es nicht gut, wenn man nicht zertifizierte schluessel benutzt. da sehe ich keinen sinn drin.
Die Begriffe "(un)zertifizierter Schlussel"sind bei nicht streng hierarchischer Public-Key-Kryprografie immer nur die die Sichet eines Betrachters.
Das ist eine wirklich gute Idee.
richtig, dein key ist nicht zertifiziert und auch nicht bei einem keyserver erhaeltlich. das macht nicht sooo sehr viel sinn ;-)
...siehe oben. Er ist aus deiner Sicht nicht zertifiziert, aus der Sicht anderer vielleicht. Dabei spielt es natuerlich keine Rolle, ob der Key auf einem Keyserver rumlungert.
ps.: wer zertifiziert denn eigentlich noch private leute, ausser heise (hab ich mal auf der cebit gemacht)?
Es gibt Leute, die der Heise-CA nicht trauen (warum sollte man auch?). Fuer die ist dein Key noch immer nicht zertifiziert. Du merkst jetzt sicher, worauf ich hinaus will und warum ich obigen Idee von dir nicht fuer praktikabel halte. Apropos Spamschutz: Wenn der SPAM aus einem Land kommt, in dem SPAM erlaubt ist, kann ER dir supertoll signierten Muell schicken und du wirst nicht viel ausrichten koennen.
Reinhard
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
On Sun, 28 May 2000, Torsten Werner wrote: [cut]
On Sun, May 28, 2000 at 09:03:43PM +0200, Sven Rudolph wrote:
Man muesste nur beim naechsten Stammtisch Schluessel tauschen. Waere vielleicht mal was sinnvolles.
Das ist eine wirklich gute Idee.
Kennt sich jemand mit Key-Servern aus oder weiss, wo ich nachschauen muss? Wenn's nicht zu kompliziert ist und mir jemand Zugriff auf unseren Server gibt koennte ich den verwalten.
Wir werden wohl kaum jeder 30 Disketten mitbringen wollen. ;-) Zumindest kann ich beim naechsten Treff die Schluessel auf meinem SchleppTop sammeln und dann wieder auf die Disketten verteilen. (Ablauf: jeder der einen Schluessel mithat gibt ihn wenn er kommt bei mir ab und holt sich wenn er geht die Disk mit allen anderen Schluesseln drauf wieder ab.)
Konrad
Thus spake Konrad Rosenbaum (htw6966@htw-dresden.de):
Hi,
On Sun, 28 May 2000, Torsten Werner wrote:
[...]
Man muesste nur beim naechsten Stammtisch Schluessel tauschen. Waere
[...]
Das ist eine wirklich gute Idee.
Ja.
Kennt sich jemand mit Key-Servern aus oder weiss, wo ich nachschauen muss?
http://wwwkeys.pgp.net/ kennst Du sicher schon. Ich nehme z. Zt. http://math-www.uni-paderborn.de/pgp/
Wenn's nicht zu kompliziert ist und mir jemand Zugriff auf unseren Server gibt koennte ich den verwalten.
Willst Du einen eigenen Key-Server aufsetzen?
Zumindest kann ich beim naechsten Treff die Schluessel auf meinem SchleppTop sammeln und dann wieder auf die Disketten verteilen. (Ablauf: jeder der einen Schluessel mithat gibt ihn wenn er kommt bei mir ab und holt sich wenn er geht die Disk mit allen anderen Schluesseln drauf wieder ab.)
Sehr gute Idee.
Gruß,
Frank
Hallo Leute,
On Mon, May 29, 2000 at 10:26:45AM +0200, Frank Becker wrote:
Thus spake Konrad Rosenbaum (htw6966@htw-dresden.de):
Kennt sich jemand mit Key-Servern aus oder weiss, wo ich nachschauen muss?
http://wwwkeys.pgp.net/ kennst Du sicher schon.
Diese kommen leider nicht mit den standardmaessigen gnupg-Schluesseln klar, weshalb http://www.keyserver.net/ besser geeignet ist.
On Mon, May 29, 2000 at 12:05:13PM +0200, Reinhard Foerster wrote:
Könnte man machen. 2 Varianten: (1) paerchenweises Auskungeln der Keys oder (2) jemand sammelt die Keys, macht eine Liste der UIDs+KeyIDs+Fingerprints, druckt diese Liste fuer alle aus und wir setzten uns 10 Minuten hin und vergleichen die Fingerprints. Signieren kann jeder zu Hause. Ich bin eher fuer die (2).
Das klingt am einfachsten, ich haenge gleich meinen Schluessel an. Konrad, kannst Du das ausdrucken uebernehmen?
P. S.: Auf Arbeit habe ich keinen privaten Schluessel und kann deswegen auch nicht signieren.
Vielleicht ein 2. Schluesselpaar verwenden um damit den heimischen Key nicht zu schweachen?
Das waere dann aber nur ein schwacher Schluessel und vielleicht keine gute Idee. Gibt es eine Moeglichkeit, das gnupg beim Signieren eine Diskette automatisch einhaengt?
Tschuess Torsten
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
- -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
On Mon, 29 May 2000, Frank Becker wrote:
Thus spake Konrad Rosenbaum (htw6966@htw-dresden.de):
Hi,
On Sun, 28 May 2000, Torsten Werner wrote:
[...]
Man muesste nur beim naechsten Stammtisch Schluessel tauschen. Waere
[...]
Das ist eine wirklich gute Idee.
Ja.
Kennt sich jemand mit Key-Servern aus oder weiss, wo ich nachschauen muss?
http://wwwkeys.pgp.net/ kennst Du sicher schon. Ich nehme z. Zt. http://math-www.uni-paderborn.de/pgp/
danke.
Wenn's nicht zu kompliziert ist und mir jemand Zugriff auf unseren Server gibt koennte ich den verwalten.
Willst Du einen eigenen Key-Server aufsetzen?
sowas in der Art hatte ich gedacht. Damit braucht nur einer sicherzustellen, dass der Schluessel echt ist. Die Notwendigkeit entfiele natuerlich, wenn es in der Gegend eine ordentliche CERT Stelle gaebe.
Es muss ja kein richtiger Key-Server sein, nur eine Moeglichkeit alle Lug-DD'ler zu erfassen.
Zumindest kann ich beim naechsten Treff die Schluessel auf meinem SchleppTop sammeln und dann wieder auf die Disketten verteilen. (Ablauf: jeder der einen Schluessel mithat gibt ihn wenn er kommt bei mir ab und holt sich wenn er geht die Disk mit allen anderen Schluesseln drauf wieder ab.)
Sehr gute Idee.
Konrad
On Tue, May 30, 2000 at 08:23:15AM +0200, Konrad Rosenbaum wrote:
sowas in der Art hatte ich gedacht. Damit braucht nur einer sicherzustellen, dass der Schluessel echt ist. Die Notwendigkeit entfiele natuerlich, wenn es in der Gegend eine ordentliche CERT Stelle gaebe.
Zum einem CERT geht man, wenn entweder alles schon zu spaet ist oder man sich davor bewahren will.
Uebrigens sind Signaturen fuer Mailprogramme realtiv schwer zu checken, wenn man nicht die entsprechenden MIME-Header setzt.
Reinhard
On Tue, May 30, 2000 at 08:23:15AM +0200, Konrad Rosenbaum wrote: : -----BEGIN PGP SIGNED MESSAGE----- : > Willst Du einen eigenen Key-Server aufsetzen? : : sowas in der Art hatte ich gedacht. Damit braucht nur einer sicherzustellen, : dass der Schluessel echt ist. Die Notwendigkeit entfiele natuerlich, wenn es : in der Gegend eine ordentliche CERT Stelle gaebe. : : Es muss ja kein richtiger Key-Server sein, nur eine Moeglichkeit alle : Lug-DD'ler zu erfassen. :
Den Server koennte ich bereitstellen, nur -- die Frage der Software bleibt.
Heiko
On Wed, 31 May 2000, Heiko Schlittermann wrote:
On Tue, May 30, 2000 at 08:23:15AM +0200, Konrad Rosenbaum wrote: : -----BEGIN PGP SIGNED MESSAGE----- : > Willst Du einen eigenen Key-Server aufsetzen? : : sowas in der Art hatte ich gedacht. Damit braucht nur einer sicherzustellen, : dass der Schluessel echt ist. Die Notwendigkeit entfiele natuerlich, wenn es : in der Gegend eine ordentliche CERT Stelle gaebe. : : Es muss ja kein richtiger Key-Server sein, nur eine Moeglichkeit alle : Lug-DD'ler zu erfassen. :
Den Server koennte ich bereitstellen, nur -- die Frage der Software bleibt.
Ich bin noch dabei zu suchen. Aber ich denke fuers erste reicht es, wenn der Keyring auf der Webpage zum Download steht.
Konrad
On Wed, 31 May 2000, Heiko Schlittermann wrote:
On Tue, May 30, 2000 at 08:23:15AM +0200, Konrad Rosenbaum wrote: : -----BEGIN PGP SIGNED MESSAGE----- : > Willst Du einen eigenen Key-Server aufsetzen? : : sowas in der Art hatte ich gedacht. Damit braucht nur einer sicherzustellen, : dass der Schluessel echt ist. Die Notwendigkeit entfiele natuerlich, wenn es : in der Gegend eine ordentliche CERT Stelle gaebe. : : Es muss ja kein richtiger Key-Server sein, nur eine Moeglichkeit alle : Lug-DD'ler zu erfassen. :
Den Server koennte ich bereitstellen, nur -- die Frage der Software bleibt.
Ich habe das Protokoll inzwischen weitestgehend auseinandergepflueckt. Der Server (Software) sollte in den naechsten Tagen fertig sein.
Kurzbeschreibung: *ein minimalistischer HTTP-Daemon lauscht auf Port 11371 *er interpretiert verschiedene Kombinationen von GET/POST diversen Pseudo-URLs und kodierten Parametern *nur was es zurueckliefert muss ich noch austesten (wahrscheinlich output von GnuPG)
Konrad
On Mon, May 29, 2000 at 08:52:59AM +0200, Konrad Rosenbaum wrote:
Kennt sich jemand mit Key-Servern aus oder weiss, wo ich nachschauen muss? Wenn's nicht zu kompliziert ist und mir jemand Zugriff auf unseren Server gibt koennte ich den verwalten.
Was willst du verwalten?
Wir werden wohl kaum jeder 30 Disketten mitbringen wollen. ;-)
Wozu? Wir haben doch alle e-mail?
Zumindest kann ich beim naechsten Treff die Schluessel auf meinem SchleppTop sammeln und dann wieder auf die Disketten verteilen. (Ablauf: jeder der einen Schluessel mithat gibt ihn wenn er kommt bei mir ab und holt sich wenn er geht die Disk mit allen anderen Schluesseln drauf wieder ab.)
Welchen Vorteil versprichts du dir von dieser Methode der Schluesselverteilung gegenueber Keyservern/Mail/ftp/www ?
Reinhard
On Sun, May 28, 2000 at 10:36:54PM +0200, Torsten Werner wrote:
mehrer Leute signen jede Mail an die Liste per PGP oder GNUPG. Seht ihr darin wirklich Sinn?
Der Sinn sollte doch seit der Flut an Emailviren in letzter Zeit ganz offensichtlich sein.
Das sehe ich völlig anders. Die Leute, die die Makro-Viren weiterverteilen, wuerden pgp und Co. -wenn ueberhaupt- sowieso ohne Mantra betreiben. Dann wird der Virus eben signiert weitergeschickt.
Selbst wenn man obiges ausschlisst wirst du nicht die Mehrheit der Menschen dazu bringen, Attachements aus unsignierten Mails ungelesen in die Tonne zu werfen. *Theoretisch* wäre das automatisierbar. Nur wuerde des Aufwands wegen dann jeder alles signieren, natuelich samt Virus. Damit sind wir wieder da, wo wir angefangen haben. Effekt == 0. Nur die Security-Industrie hat ein paar Mark verdient.
Reinhard
Hallo Reiner,
On Mon, May 29, 2000 at 12:40:06PM +0200, Reinhard Foerster wrote:
On Sun, May 28, 2000 at 10:36:54PM +0200, Torsten Werner wrote:
Der Sinn sollte doch seit der Flut an Emailviren in letzter Zeit ganz offensichtlich sein.
Das sehe ich voellig anders. Die Leute, die die Makro-Viren weiterverteilen, wuerden pgp und Co. -wenn ueberhaupt- sowieso ohne Mantra betreiben. Dann wird der Virus eben signiert weitergeschickt.
Dann koennte man aber im Prinzip Schadenersatz fordern.
Selbst wenn man obiges ausschlisst wirst du nicht die Mehrheit der Menschen dazu bringen, Attachements aus unsignierten Mails ungelesen in die Tonne zu werfen. *Theoretisch* waere das automatisierbar. Nur wuerde des Aufwands wegen dann jeder alles signieren, natuelich samt Virus. Damit sind wir wieder da, wo wir angefangen haben. Effekt == 0.
Die Tatsache, dass bei > 90 % der Outlook-Benutzer das Gehirn fehlt :), heisst doch nicht, das fuer *mich* der Einsatz von GNUpg automatisch sinnlos wird.
Nur die Security-Industrie hat ein paar Mark verdient.
Ich bin erstaunt zu lesen, dass hinter mutt und GNUpg eine Security-Industrie steht.
Tschuess Torsten
P. S.: Auf Arbeit habe ich keinen privaten Schluessel und kann deswegen auch nicht signieren.
On Mon, May 29, 2000 at 01:33:25PM +0200, Torsten Werner wrote:
Dann koennte man aber im Prinzip Schadenersatz fordern.
Ja. Bestimmt spassig, wenn zwei grosse, eng zusammenarbeitende Firmen ihre Logfiles inspizieren wer wem zuerst den Uebeltaeter uebermittlent hat.
Die Tatsache, dass bei > 90 % der Outlook-Benutzer das Gehirn fehlt :), heisst doch nicht, das fuer *mich* der Einsatz von GNUpg automatisch sinnlos wird.
Völlig richtig. Dummerweise funktioniert auch gpg trotz Knete vom Staat nicht ohne Hirn. Theorie: Um den nötigen Hirnschmalz beim Anwender zu verringern hat man sich bei GnuPG dazu entschlossen, fuer die viele GNU-style long options keine entsprechende Kurzform vorzusehen. :-(
Nur die Security-Industrie hat ein paar Mark verdient.
Ich bin erstaunt zu lesen, dass hinter mutt und GNUpg eine Security-Industrie steht.
Dort nicht, richtig. Im Einzugsgebiert der aktuellen Makrovieren haben dise beiden kaum keine Chance. Insofern erwarte ich, daß in dem Bereich kommerzielle Anbieter die Lösungen liefern werden.
Reinhard
P. S.: Auf Arbeit habe ich keinen privaten Schluessel und kann deswegen auch nicht signieren.
Vielleicht ein 2. Schluesselpaar verwenden um damit den heimischen Key nicht zu schweachen?
Reinhard
On Sun, May 28, 2000 at 09:03:43PM +0200, Sven Rudolph wrote:
Reinhard Foerster rf11@inf.tu-dresden.de writes:
Aber in der Kneipe kannst du meist sicherstellen, daß nicht irgendein dir Unbekannter erfolgreich als ein dir Bekannter auftritt.
Dort schon, da der richtige Bekannte u.U. von der Aktion nichts mitbekomt. Wenn sich auf der Liste ein Fremder, nennen wir ihn FAKE, fuer einen anderen ausgibt (Herrn ECHT), wird Herr ECHT das beim Lesen der Liste merken und an die Liste melden. Insofern ist ein "Angriff" in dieser Form von Herrn FAKE ziemlich sinnlos und wird deshalb in der Prxis unterbleiben.
Man müßte nur beim nächsten Stammtisch Schlüssel tauschen. Wäre vielleicht mal was sinnvolles.
Könnte man machen. 2 Varianten: (1) paerchenweises Auskungeln der Keys oder (2) jemand sammelt die Keys, macht eine Liste der UIDs+KeyIDs+Fingerprints, druckt diese Liste fuer alle aus und wir setzten uns 10 Minuten hin und vergleichen die Fingerprints. Signieren kann jeder zu Hause. Ich bin eher fuer die (2).
Reinhard
Am Mon, 29 May 2000 schrieben Reinhard Foerster:
Könnte man machen. 2 Varianten: (1) paerchenweises Auskungeln der Keys oder (2) jemand sammelt die Keys, macht eine Liste der UIDs+KeyIDs+Fingerprints, druckt diese Liste fuer alle aus und wir setzten uns 10 Minuten hin und vergleichen die Fingerprints. Signieren kann jeder zu Hause. Ich bin eher fuer die (2).
Jo, das ist nicht so aufwendig... ;)
Ciao, Tobias
lug-dd@mailman.schlittermann.de