[linux-l] RFCs und Vorschlaege...

Steffen Dettmer steffen at dett.de
Mi Okt 8 10:33:44 CEST 2003 

* Kendy Kutzner wrote on Wed, Oct 08, 2003 at 09:56 +0200:
> On 2003-10-08T01:42:03+0200, Steffen Dettmer wrote:
> > Ich bin der Meinung, daß das WebOfTrust nicht funktioniert.
> 
> > Fetzt der Angriff, oder? Ich find den Klasse :-)
> > 
> > Hab ich was übersehen?
> 
> Meiner Meinung nach ja. Zum ersten kostet die Erzeugung von
> Schluesseln relativ viel Rechenzeit, es ist demnach nicht
> praktikabel fuer jede spam-mail einen neuen Satz von Schluesseln
> zu erstellen. 

Ich hab ja auch einen Angriff aufs WOT geschildert. Ein
SpamschutuOfTrust muß man sicherlich anders angreifen, weil es
vermutlich anders funktioniert.

> Zum Zweiten ist die vergroesserte Pfadlaenge feststellbar. Die
> durschschnittliche Pfadlaenge heutiger PGP-Schluessel ist 4-7.
> Eine Verlaengerung von 4 (oder wie Du schriebst in einem Fall
> sogar 10) ist ein Achtungszeichen. 

Ich schrieb ja: *auf* 4-10. Durch den exponentiellen Character
sollte man da doch nix erkennen können?

> Vorschlag: Jeder Schluessel erhaelt ein lokales Punktekonto. Fuer
> jede eingegangene legitime Mail erhaelt dieser Schluessel 10
> Pluspunkte, alle Unterschreiber zusammen ebenfalls 50+ (dh. bei
> 25 Unterschriften fuer jeden 2+), evtl. alle Unterschreiber der
> Unterschreiber nochmal 100+.

Moment. Du bekommst ja ne neue Mail von einem Fremden mit
unbekannten Schlüssel und vielen Signaturen. Das Punktekonto ist
ja dann immer 0. Damit bringt ja dies modifizierte WOT nix.
Außerdem könnte man dann ja fast doch wieder die Schlüssel
"persönlich besorgen", also eben nicht das WOT "verwenden",
sondern einen anderen, funktionierenden Weg gehen :)

> Mein Fazit: Dein Verfahren macht beides, Spam-Senden und
> Mail-Empfangen aufwaendiger.

Es zeigt IMHO, daß das WOT nicht funktioniert und hat nix mit
Spam direkt zu tun. Das WOT definiert auch keine Heuristiken über
"schlechte" Schlüssel und "schlechten Pfaden", soweit ich weiß.

> 2) Examine if your scheme still works if *everybody* does it -
> for instance, many "look for this header as spamsign" schemes
> don't work because spammers will just change what they do
> (which is why SpamAssassin keeps shipping new rulesets - this
> is NOT a long-term sustainable scheme).

Ich glaub, daß ist essentiell. Hier scheitert das WOT, weil es
Etliche gibt, die die Konzepte nicht wirklich verstanden haben,
und Spamschutz, wenn man ihn mit etwas Aufwand umgehen kann (der
sich dann ja lohnt).

oki,

Steffen

-- 
Dieses Schreiben wurde maschinell erstellt,
es trägt daher weder Unterschrift noch Siegel.

Mehr Informationen über die Mailingliste linux-l