AW: AW: [linux-l] Re: pgp Keysigning Party

Mortimer Graf zu Eulenburg Mortimer.Eulenburg at y-e-p.de
Mi Apr 3 11:54:26 CEST 2002 

Also wenn man nicht mehr sicher ist, ob das wirre Zeug in einer Mail
wirklich von XY stammt würde ich eher kurz in den Knochen sprechen (vulgo:
ihn anrufen) als dass ich mich durch ein Web of trust bis zur Kusine 4.
Grades durchhangeln muss.

Gruss, Mortimer

-----Ursprüngliche Nachricht-----
Von: linux-l-admin at mlists.in-berlin.de
[mailto:linux-l-admin at mlists.in-berlin.de]Im Auftrag von Steffen Dettmer
Gesendet: Mittwoch, 3. April 2002 11:24
An: linux-l at mlists.in-berlin.de
Betreff: Re: AW: [linux-l] Re: pgp Keysigning Party


* Henrik Hempelmann wrote on Tue, Apr 02, 2002 at 13:58 +0200:
> Steffen Dettmer wrote:
> Du gehts beim Web Of Trust nur von einer Vertrauens-Kette aus. Solange
> Du nur einen kuerzesten Pfad betrachtest, hast Du Recht, das Vertrauen
> schwindet mit dem Knotenabstand. Da es aber viele Wege zwischen mir
> und Dir im >WEB< Of Trust gibt, steigt die Wahrscheinlichkeit bei hoher
> Vermaschung erheblich, dass auch entfernte Knoten sinnvoll
> authentifiziert/signiert sind.

Wenn Du die nicht mehr kennst, also Knotenabstand > 1, dann
kannst Du eben ja nicht entscheiden, ob das wirklich echte
Signaturen von Personen etc. sind, oder ob sich eine Person
einfach 1000 Sigs mit "falschem" Namen erstellt hat.

Ich kann doch einen "Henrik Hempelmann" Schlüssel erzeugen, auf
Keyserver hochladen, und damit andere Schlüssel zertifizieren.
Ich kann z.B. alle Namen aus der Liste nehmen, Keys erzeugen, und
hochladen. Mit all diesen zertifiziere ich meinen Key, direkt und
indirekt, schön vermascht. Dann hab ich viele Signaturen und es
sieht authentisch aus, ist es aber nicht. Also sagt die Anzahl
der Signaturen gar nichts aus.

> Deswegen reicht es auch nicht, sich von CT oder der DB allein signieren zu
> lassen, je mehr Signaturen, desto gut!

Da ich mir beliebig viele erzeugen könnte, ist es eben nicht so.
Es ist entscheidend, ob eine Sigantur dabei ist, der man traut
(und verifizieren kann). Da die CT recht gut verifizierbar ist
(weil gedruckte Ausgaben schwer fälschbar sind), kann man das
nehmen. Aber irgentwelche Namen nützen nur, wenn ich die kenne
und prüfen kann. Und wenn ich die kenne und einen Schlüssel
prüfen kann, reicht das ja auch wieder aus.

oki,

Steffen

--
Dieses Schreiben wurde maschinell erstellt,
es trägt daher weder Unterschrift noch Siegel.
_______________________________________________
linux-l mailing list
linux-l at mlists.in-berlin.de
https://mlists.in-berlin.de/mailman/listinfo/linux-l

Mehr Informationen über die Mailingliste linux-l