AW: [linux-l] Re: pgp Keysigning Party

[Tobias Schlottke]

On Wed, 27 Mar 2002, Steffen Dettmer wrote:

> Nee, macht keinen Sinn, solange Du nicht diese aus erster Hand
> kennst. Und nur dann kannst Du einschätzen, was dessen
> Unterschrift aussagt. Du weißt ja eben nicht, ob hinter den 1000
> Signaturen 1000 Schlüssel von 1000 Leuten stecken, oder von einem
> einzigen!

Ich meinte mit Nachbarn nicht den
Wohnungsnachbarn, sondern eine mir nahestehende,
auch ohne Personalausweis gut bekannte Person.
Einen Perso zu fälschen ist für _mich_ schwierig
bzw eher unmöglich. Für manch anderen aber
durchaus machbar.

> Warum aus erster Hand kennen? Dazu kleine Anekdote aus der
> SuSE-Mailingliste (IIRC).

> Hat man nun solche Leute im Web of Trust, kann man es einfach mal
> wegschmeißen. Man kann vielleicht einschätzen, daß ich nie ohne

Jein. Wenn Du die Leute kennst, denen Du
vertraust, dann weißt Du auch wem Du nicht traust.
Meint, wenn Du jmd menschlichst vertraust, dann
heißt es noch nicht, das Du ihm technisch
vertraust. Tragischerweise bleibt das web dann
natürlich ziemlich löchrig.

Du hast aber recht das man den DAU nicht
vernachlässigen darf. Und wenn man nur daran
denkt, wieviele Probleme es bei dem relativ
einfachen Verfahren EC-Karte + PIN (nur aus Benutzer
Sicht!) gibt, dann kann man (fast) aufgeben.

<...>
> Klingt das sicher? Ja? Wenn es Dir sicher genug klingt, kannst Du
> also DB Zertifikaten vertrauen (wenn Du den Schlüssel

Das Problem sehe ich sozusagen in der
Attraktivität für einen Angreifer. Und die ist bei
der DB groß.

> Ja, CT und gedruckte Ausgabe mit CT-Fingerprint. Die CT wird da
> wohl eher nicht pfuschen, wegen Ruf und so.

...und die Attraktivität bei der CT (IMHO) noch
eher kleiner.

Gruß,
Toby