[linux-l] Die OpenPGP-Schulung wird besser

Hauke Laging mailinglisten at hauke-laging.de
Do Dez 6 20:35:16 CET 2012 

Moin,

Am Do 06.12.2012, 19:38:31 schrieb Norman Steinbach:


> > Und den paranoid signierten eigenen OpenPGP-Schlüssel kann man dann
> > natürlich auch gleich ranhängen.
> 
> Wie das geht (und auch so manches Andere aus der Schulung) habe ich
> noch nicht ganz verstanden, oder mir nicht merken können (was sicher
> auch an mir/meinem Sieb-Gedächtnis liegen mag). Daher erst mal nur die
> signierte Mail.

es ist ja fast ein bisschen tragisch, aber Deine Mail hat eine ungültige 
Signatur... ;-)  Das liegt einerseits wohl daran, dass Du als PGP/Inline 
verschickt hast statt als PGP/MIME, aber auf den Quelltext losgelassen sagt 
gpg:

...  | gpg --list-packets
:packet 63: length 19 - gpg control packet
:literal data packet:
        mode t (74), created 0, name="",
        raw data: unknown length
gpg: Prüfsummenfehler; 353a62 - dc3353
gpg: "quoted printable" Zeichen in der ASCII-Hülle gefunden - möglicherweise
 war ein fehlerhafter Email-Transporter("MTA") die Ursache

Ooooops :-)  Das scheinen die "=3D" am Ende zu sein.

Damit meinte ich übrigens die beiden Dateien ananlog zu denen, die ich 
rumgeschickt habe.


> (Noch so Gedanke, der mir da kam: Wäre es wohl möglich, eine komplett
> verschlüsselte Mailingliste aufzusetzen, indem der Listen-Server
> verschlüsselte Mails bekommt, diese entschlüsselt und für jeden
> Listen-Teilnehmer neu verschlüsselt zustellt?

Das geht nicht nur, sondern es gibt sogar eine Mailingliste, die das macht. 
Ich war da nie drauf, habe aber schon mehrfach davon gehört. Das ist wohl ein 
echter Stresstest in puncto "Was kann alles schiefgehen?", aber genau dafür 
ist das wohl gedacht. Es ist offensichtlich, dass das nur mit Gruppen 
begrenzter Größe funktioniert, weil jeder Mailserver (sofern der Traffic nicht 
nahe null ist) platzt, wenn er für mehrere hundert Empfänger asymmetrisch 
verschlüsseln muss. Für Listen wie diese müsste man statt dessen wohl 
Schlüssel verteilen, die nur für diese Liste genutzt werden, und mehr oder 
weniger regelmäßig durch neue ersetzen.

Was man als sinnigeres Experiment machen könnte: Wenn E-Mails gesichert 
eingeliefert werden (z.B. per X.509-Clientzertifikat auf einen submission host 
bei IN statt beim eigenen Mailprovider), aber nicht signiert sind, könnte der 
Mailinglistenserver diese Mails signieren, um deutlich zu machen, dass sie 
authentisch sind.


CU

Hauke
-- 
☺
PGP: 7D82 FB9F D25A 2CE4 5241 6C37 BF4B 8EEF 1A57 1DF5 (seit 2012-11-04)
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 572 bytes
Beschreibung: This is a digitally signed message part.
URL         : <https://mlists.in-berlin.de/pipermail/linux-l-mlists.in-berlin.de/attachments/20121206/08b88a4f/attachment.sig>

Mehr Informationen über die Mailingliste linux-l