AW: [linux-l] Re: pgp Keysigning Party

Mi Mär 27 19:44:57 CET 2002

* Tobias Schlottke wrote on Wed, Mar 27, 2002 at 19:01 +0100:
> On Wed, 27 Mar 2002, Dr. Bernd Freistedt wrote:
> > b) Paul zertifiziert Emma, Emma zertifiziert Charlotte,
> > Charlotte zertifiziert Klaus usw. wie bei AIDS. - Wer ist dann
> > noch wer?
> Jeder gilt ein bißchen und keiner gilt alles.
> Halte ich für kein schlechtes Konzept.
> (Und viel weniger leicht angreifbar)

Nee, macht keinen Sinn, solange Du nicht diese aus erster Hand
kennst. Und nur dann kannst Du einschätzen, was dessen
Unterschrift aussagt. Du weißt ja eben nicht, ob hinter den 1000
Signaturen 1000 Schlüssel von 1000 Leuten stecken, oder von einem
einzigen! 

Warum aus erster Hand kennen? Dazu kleine Anekdote aus der
SuSE-Mailingliste (IIRC).

Da fragt einer, was es denn bedeutet, wenn sein PGP/GPG ihm
erzählt, daß ein Schlüssel zum verschlüsseln verwendet wurde, dem
nicht vertraut wird. Die Meldung kam auf englisch, und der
Schreiber verstand diese wohl nicht vollständig, daher die Frage. 

Antwortet jemand, das ist ganz einfach, man muß nur mit Kommando
X den Schlüssel "aktivieren" (er meinte zertifizieren), und dann
dreimal "yes, I'm absolutly sure from my first hand knowledge"
sagen (wie gesagt, der Orginalposter verstand offenbar nicht
sonderlich gut englisch). Kurz, ohne ansatzweise etwas zu
erklären, wurde ihm gesagt, er solle den Schlüssel eben
zertifizieren.

Hat man nun solche Leute im Web of Trust, kann man es einfach mal
wegschmeißen. Man kann vielleicht einschätzen, daß ich nie ohne
Blick auf einen Personalausweis mit meinem Schlüssel einen
anderen zertifizieren würde, aber ich denke, daß man z.B. meine
Freundin per eMail überreden könnte, einen Schlüssel zu
zertifizieren. Sie würde da vermutlich auch nicht stuzig werden,
wenn man meinte, "das müsse man eben so machen", weil ihr (und
vermutlich 99% der Internetnutzer) das kryptographische
Hintergrundwissen fehlt.

> > c) Gilt wohl eine nichtvorhandene BeLUG als "trusted"? - Und
> > welchen Schluessel hat sie und von wem wurde dieser
> > zertifiziert....? Bleibt also wieder nur Paul - Emma - Charlotte
> > - Klaus.
> 
> ??? Das ist doch gerade der Witz: keiner und
> niemand ist trusted. Wem willst Du glauben?

Na eben keinem.

> Der deutschen Bank weil sie die größte ist? Pruha.  Sonst einer
> Institution? Sind doch alle mehr oder weniger käuflich,
> unterwanderbar, hackbar, manipulierbar etc.

Das laß hier mal bitte weg, weil so gesehen keinem vertraut
werden kann. Senken wir das Vertrauens/Sicherheitsniveau mal ein
ganz bißchen :)

Also, das funktioniert so: Die Deutsche Bank (als Beispiel) sagt:
also, wir haben hier einen geheimen Schlüssel, den wir zum
Zertifizieren einsetzen. Um von uns zertifiziert zu werden, muß
dieser jemand persönlich bei uns vorbeischauen, seinen
Personalausweis mitbringen und nüchtern sein. Dann wird im
Beisein eines Notars und eines Schriftbildsachgutachter eine
Schriftprobe genommen, diese mit der Unterschrift des
Personalausweises verglichen. Dann wird der Personalausweis von
einem Banksachbearbeiter gemäß Absatz 5 dieses Dokumentes auf
Echtheitg geprüft. Gibt es auch nur leisteste Zweifel, wird die
Polizei benachrichtigt und nach Erzeugung eines Aktenvermerk
abgebrochen. Ansonsten übergibt der Notar persönlich ein
handschriftlich unterschriebenes, gestempeltes versiegeltes
Schriftstück an den Sicherheitsbeauftragten, der es zusammen mit
den Fotokopien und Orginalen im Safe verwahrt und zu gegebener
Zeit die Zertifizierung im Sicherheitsraum (siehe Absatz 6)
durchführt. (usw.)

Klingt das sicher? Ja? Wenn es Dir sicher genug klingt, kannst Du
also DB Zertifikaten vertrauen (wenn Du den Schlüssel
verifiziert hast etc.). Das geht, wenn Du davon ausgehst, daß die
DB nicht leichtfertig ihren Ruf riskiert, in dem sie hier
pfuscht. Traust Du Insitution/Person *oder* den Richtlinien zur
Zertifizierung (oft kurz: "Policy") nicht, traust Du dem
Zertifikat also nicht. Bei Personen wird die Policy selten in
schriftlicher Form vorhanden sein, dann mußt Du das also aus dem
"Bauch" entscheiden.

> > Sorry, so einfach geht's nicht. Schoen waer's aber gewesen.
> Vorschläge?

Ja, CT und gedruckte Ausgabe mit CT-Fingerprint. Die CT wird da
wohl eher nicht pfuschen, wegen Ruf und so. 

oki,

Steffen

-- 
Dieses Schreiben wurde maschinell erstellt,
es trägt daher weder Unterschrift noch Siegel.