5 Comments

  1. Es geht nicht allein nur um Kollisionen. Es liegt in der Natur der Sache (keine zentrale Instanz), daß jedermann beliebig viele Schlüssel mit beliebigen Angaben, richtigen wie falschen, erzeugen und auf die Schlüsselserver hochladen kann. Leider gehen viele Schlüsselinhaber mit der Verbreitung ihrer ID auch sehr sparsam um und haben sie nicht auf der Webseite, in der e-Mailsignatur, auf der Visitenkarte oder dem Briefpapier. Sucht man nun anhand des Namens einer pesönlich unbekannten Person nach einem Schlüssel finden sich Etliche (spaßeshalber mal Edward Snowden ausprobieren). Welches ist nun der Echte, der Aktuelle? Mit dem WOT soll dieses Problem angegangen werden.

    Damit gpg sinnvoll eingesetzt werden kann, erwartet es Schlüssel denen man vertraut. Das sind die Eigenen und die mit vertrauenswürdiger Signatur. Lokale Signaturen sind nun immer dann sinnvoll, wenn

    dem Schlüssel zwar vertraut wird, aber man nicht für alle sichtbar nach außen tragen möchte, daß man diesen Schlüssel verwendet,
    man individuelle Gründe hat, dem Schlüssel persönlich zu vertrauen, aber man dies nicht guten Gewissens so weit verallgemeinern kann, daß man dies durch seine Unterschrift auf dem Schlüssel gegenüber Dritten zum Ausdruck bringen kann.

    ==========

    Tipp:

    Ein weiteres Problem bei der Verbreitung von PGP-Schlüsseln ist die Zuordnung von verschiedenen Pseudonymen zu einem Schlüssel z.B. Webseite, Twitter, e-Mailadresse. Da das nicht vorgesehen ist, entsteht gerade (noch alpha) das Projekt keybase (https://keybase.io), welches dieses Problem lösen möchte. Auf die Einagbe eines Pseudonyms oder Namens wird einem dann ein passender Schlüssel geliefert (natürlich nur, sofern derjenige dort angemeldet ist). Momentan kommt man erst nur auf Einladung rein und es muss sich noch zeigen wie es sich entwickelt, aber ein Blick darauf kann nicht schaden.

    • Vielen Dank für die aufschlussreiche Antwort. Ich bin einer von denen die bisher sehr sparsam mit der Verbreitung seiner ID umgegangen ist (ist z.B. nicht auf meiner Seite). Grund dafür war bisher immer das ich wenige Personen hatte welche tatsächlich auch PGP nutzen. Das werde ich aber in Zukunft auch ändern.

      Der Tipp mit keybase.io ist super. Das habe ich tatsächlich auch schon mal in einem Artikel gelesen und fand es damals schon interessant.

      • Sieh es einfach mal pragmatisch. Je mehr die Schlüsselangaben zum allgemeinen Bestandteil werden, desto größer ist die Wahrscheinlichkeit, daß auch Fremde mal fragen, was es damit auf sich hat. Meine verschüsselte Kommunikation ist auch sehr gering, vor 10 Jahren war mehr als heute, obwohl ich immer die Schlüsselangaben öffentlich verfügbar hatte. Seit Snowden habe ich mir allerdings auch wieder angewöhnt, als Werbemaßnahme, jede e-Mail zu signieren.

        • Da hast du recht. Bei mir wird auch jede E-Mail grundsätzlich signiert, außer auf Arbeit, da wurde es mir nach einem Streit darüber verboten, mit der Begründung das sich Kunden wundern würden was das soll und es sie verwirren würde und sowieso nur wir IT Leute das verstehen würden…

          • Hört sich danach an, als ob die Leute der eigenen Firma mehr verwirrt waren als die Kunden, aber der Arbeitgeber hat hier eindeutig Richtlinienkompetenz, selbst wenn es falsch ist.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.