Re: key signing party - wer darf mitspielen?

* Andreas Kreuzinger <andy@skater.priv.at> [2003-03-17 00:17]:
> Ich bin der Meinung, dass nicht jeder, der einen PGP/GPG-Vortrag gehoert
> hat, sofort einen Keys generieren und an einer KSP teilnehmen muss.
> Der User soll dann, wenn er glaubt, die (Computer-)Umgebung
> ist fuer ihn ausreichend sicher, seinen Key generieren.
> Und damit kann er dann an einer KSP teilnehmen.

*unterschreib*

> Wenn ein User das will, kann er einen anderen ansprechen und auf
> dessen PC/Laptop einen Key generieren. (Abgesehen davon, dass ich
> Disketten nicht traue, denn in letzter Zeit haben fast alle
> Disketten Lesefehler. Und den frisch generierten Schluessel dann
> auf einer solchen Diskette zu haben, ist irgendwie schlecht.)

ja, disketten sind wirklich nicht so der hit.
theoretisch wuerde ich USB sticks empfehlen -
aber nicht jeder PC hat einen port dafuer. und
ich habe bisher auch noch keine erfahrung damit.

> Mit der Einladung "Da hinten steht ein PC, generier deinen
> Key" bin ich nicht so richtig gluecklich (auch wenn ich
> deine guten Absichten zu schaetzen weiss), denn es muss
> jeder selber entscheiden, wann und wo er das machen will.
> Das "der PC ist sicher genug" ist etwas, was
> ich lieber jeden selber entscheiden lassen will.

selbstmurmelnd. ich wuerde auch nur einen rechner
hinmstellen und das anbieten. ob das nun ein PC ist,
oder ein privater laptop - wer kann den unterschied schon
feststellen, wenn er weder zeit noch ahnung hat? eben.

an sich koennte man natuerlich eine knoppix nehmen -
da sollte natuerlich alles so sein wie es jeder kennt.
natuerlich kann auch ein knoppix leicht verfaelscht sein -
aber das "nix is sicher" argument gilt eh immer.

aber damit kommen wir nicht wirklich weiter, oder?

> Schoen. Aber das Anbieten eines oeffentlichen PCs zum Key-Generieren
> verleitet dazu, nicht ueber Sicherheit nachzudenken.
> Und das sollte man tun, bevor man einen Key erstellt.
> (Wofuer erzeuge ich den Key? Was ist fuer mich sicher, was nicht?)

schoen - also warten wir eine woche ab, und gehen dann
davon aus, dass sich jeder in der zwischenzeit ganz
viele gedanken ueber das thema gemacht habt -
um dann auf einem x-beliebigen PC mal auf
die schnelle einen key zu generieren?

> > > Aber es ist IMO ein "mit schlechtem Beispiel vorangehen".
> > also keine newbies auf KSPs? per definition?
>
> Nein, dass nicht. Wenn jemand dort einen Key
> generieren will, wird er sicher jemanden
> finden, der ihm dabei hilft und seinen
> Rechner dafuer zur Verfuegung stellt.

und warum sollte dieser jemand mit seinem
rechner sicherer sein als ein rechner,
der fuer diesen zweck von den machern
der key siging party aufgestellt wurde?

genau genommen duerfte niemand an die
sicherheit irgendeines rechners glauben.

nach jeden login muesste eigentlich
noch ein prompt erscheinen:
"choose your level of paranoia!"

> Und wenn die Veranstaltung mehrtaegig ist,
> kann man den Vortrag ja am ersten Tag machen
> und dann am naechsten Abend eine KSP. Dann hat
> der User Zeit, sich einen Key zu generieren.

ja - mehr zeit dafuer faende ich auch sehr sinnvoll!

nur leider sind die meisten veranstaltungen
einmal im jahr - and *einem* wochenende...

wo findet man schon einmal eine veranstaltung,
die im abstand von ein paar wochen erst
informiert, dann aufklaert, schliesslich ueber
problem berichtet, zu einem workshop einlaedt,
und schliesslich, nach mehreren wochen,
zu einer key signing party einlaedt?

ich kenne keine. bisher.

ja - sowas musste man mal machen.

aber wer ist "man"?

eben.

> > also muss es dann im vortrag heissen:
> [...snip...]
>
> Sorry Sven, aber diese Schwarz-Weiss-Malerei bzw.
> Linux-ist-gut-Windows-ist-boese-Darstellung ist hier fehl am Platz.

och moensch - wie viele smilies muss man denn zu einem solchen text
hinzufuegen, damit man diesen als nicht ernst gemeint erkennen kann?

sollen wir zu jedem text jetzt auch noch schilder aufstellen?

  "achtung - dieser text ist *nicht* bierernst gemeint.
  er koennte humor, ironie und sarkasmus enthalten.
  menschen mit ausgepraegter humorlosigkeit sollten ihn meiden.."

oder so wie es das fernsehen macht? "dont do this at home."?

disclaimer? naaahhh.... keinen bocj auf sowas.

Sven [02:40am.. *gaehn*]

[ Um sich von dieser Liste abzumelden, sende bitte "unsubscribe" ]
[ an <linuxevent-request@mlist.austria.eu.net>. ]
Received on Mon Mar 17 20:15:30 2003