Moin,
On Sun, Apr 06, 2014 at 11:04:01AM +0200, SB wrote:
> ich habe Helge meinen Schlüssel gegeben, er hat von mir die ausdrückliche
> schriftliche Erlaubnis, ihn an interessierte Debian-Mitglieder weiterzugeben.
> Ich kann ihr dir natürlich auch zusenden, wenn du das vorziehst.
Nur zur Info: Ich bin kein Schlüsselserver und habe auch nicht die
Absicht, als solcher zu fungieren.
> Am 05.04.2014 12:04, schrieb Holger Wansing:
> > [application/pgp-signature (Kein öffentlicher Schlüssel zum Verifizieren der digitalen Unterschrift)]
> >> Digitale Unterschrift ist vom Sa 05 Apr 2014 10:07:06 CEST
> >> Kein öffentlicher Schlüssel zum Verifizieren der digitalen Unterschrift
> >> Key fingerprint: 03DFD158894D06B1
> >> User-ID für diesen Schlüssel fehlt.
>
> @everybody
>
> So, und jetzt mag es vielleicht für den einen oder anderen Geschmack
> undiplomatisch werden.
>
> Also, standardmäßig werden meine Nachrichten so versandt, dass Schlüssel-ID
> anhängen aktiviert ist.
I.O., mache ich auch.
> Meinen Schlüssel erhalten diejenigen, die mit mir verschlüsselt kommunizieren
> wollen. Ich werde ihn nicht in vorauseilendem Veröffentlichungswahn auf
> irgendwelche Server hochladen. Ich stehe auch nicht im Telefonbuch, weil ich das
Warum? Ehrlich. Ich verstehe den Grund nicht.
> nicht möchte. Wem ich meine Telefonnummer geben will, dem gebe ich sie, genauso
> werde ich auch mit dem Schlüssel verfahren. Ich habe ihn wie gesagt einem
> Debian-Mitglied gegeben, mit der ausdrücklichen Erlaubnis, ihn an andere
> Debian-Mitglieder weiterzugeben. Das muss genügen.
s.o.
> Ich bin schließlich kein Software-Entwickler, dessen Programme anonym und
> massenweise von anderen heruntergeladen werden, denen man die Sicherheit der
> Software-Signierung geben muss.
Also lass es mich kurz zusammenfassen:
a) Du signierst Deine E-Mails
b) (fast) keiner kann die Signatur überprüfen, da Du den Schlüssel nur
sehr restriktiv verteilst.
Somit ist die Signierung relativ sinnlos und im Gegenteil für die
meisten Leser höchstens ein Ärgernis (Fehlermeldung beim Lesen der
E-Mail, zusätzlicher Platzbedarf, …)
Ich signiere die E-Mails, damit *jeder* die Signatur überprüfen kann.
Jeder kann prüfen, ob der gleiche Helge Kreutzmann, der schon 2005
hier E-Mails schrieb, auch diese E-Mail geschrieben hat.[1]
Was wäre der Nachteil, den Schlüssel über einen Keyserver zu
verteilen? Deine E-Mail-Adresse (anders als z.B. Deine reale Adresse,
Deine Telefonnummer, Dein Geburtsdatum) ist öffentlich bekannt, spätestens
nach der ersten E-Mail auf diese Liste. Die Tatsache, dass Du einen
Schlüssel hast, auch. D.h. aus meiner Sicht wäre das Hochladen auf
einen Schlüsselserver in diesem Fall nur positiv.[2]
Viele Grüße
Helge
[1] Ob ich wirklich Helge Kreutzmann bin, kann natürlich nur der
prüfen, der den Schlüssel entwender in einer Schlüsselsignierparty
geprüft hat oder den Schlüssel aus einer vertrauenswürdigen Quelle,
wie bspw. dem Debian-Keyring, hat.[3]
[2] Z.B. spart sie Dir und vielen anderen Zeit, für das erstellen
dieser und anderer E-Mails.
[3] Ok, das ist noch nicht alles, aber sollte hier genügen. Mehr Infos
in Literatur zu PGP/GnuPG
--
Dr. Helge Kreutzmann debian@helgefjell.de
Dipl.-Phys. http://www.helgefjell.de/debian.php
64bit GNU powered gpg signed mail preferred
Help keep free software "libre": http://www.ffii.de/
Attachment:
signature.asc
Description: Digital signature