On Sat, Mar 15, 2003 at 10:05:19PM +0100, Sven Guckes wrote:
> * Peter Kuhm <peter.kuhm@plus.at> [2003-03-15 08:25]:
> > At 03:08 15.03.03 +0100, Sven Guckes wrote:
> > >.. die erzeugung eines schluesselpaares fuer und
> > >mit den newbies. abspeichern direkt auf der diskette.
> > >und die koennen sie dann mit nach hause nehmen.
> >
> > es ist *keine* gute Idee ein weiterzuverwendendes
> > keypair auf einem fremden Rechner zu generieren.
Ich würde sowas auch nicht tun.
[...]
> prinzipiell gebe ich ja recht - muss man aufpassen!
> schon allein, wenn einer von der regierung kommt,
> um den persoenlichen schluessel zu ueberbringen...
>
> aber ich frage mich wie viele leute sich die muehe
> machen bei einer pgp key signing party die leute mit
> einem vorbereiteten rechner in die pfanne zu hauen.
Und wer kann garantieren, daß es nicht doch jemand tut? Was ist an den
Leuten, die eine Keysigningparty durchführen, vertrauenswürdiger als an
Leuten von der Regierung, die die persönlichen Schlüssel vorbeibringen?
[...]
> wieauchimmer - wenn der einfuehrungsvortrag allen
> weiss macht, dass man *niemandem* trauen darf,
> dann kann man eigentlich die ganze pgp key
> signing party auch gleich sagen.. oder nicht?
Es ist meines Erachtens ein ziemlich großer Unterschied, ob ich jemandem
glaube, daß der präsentierte Schlüssel zur Person und seinem Ausweis gehört
und ich damit höchstens riskiere einen Schlüssel mit der falschen Person in
Verbindung zu bringen (was ich ja sowieso riskiere, denn wie kann ich
wissen, daß die E-Mail Adresse tatsächlich zu dieser Person gehört), oder
ob ich das Risiko eingehe möglicherweise jemandem Zugang zu an mich
gerichteten vertraulichen Information zu geben.
Wenn ich in den Leuten kein Sicherheitsbewußtsein entwickle (oder es
zumindest versuche), ja ihnen sogar Sachen vormache, die
sicherheitstechnisch höchst bedenklich sind, dann laße ich sie wohl besser
ohne Keys. Better no sense of security than a false sense of security.
Insofern war die Tirade gegen Peter höchst unfair und auch unqualifiziert.
[...]
> wenn man nun jenen leuten zu einem neuen key verhelfen will,
> die auch ihren eigenen rechner mitbringen, nun, dann
> werde ich schon jetzt an dem "erfolg" zweifeln.
> eine gross veranstaltung wird das jedenfalls nicht.
Sollen die Leute an Sicherheit und Sicherheitsbewußtsein gewinnen, oder
soll nur die Zahl derer, die einen Key bekommen, maximiert werden?
-GünthER
-- GünthER H. Leber @ home PGP KeyID: 1024/68279259 PGP Public Key: https://www.luga.at/pgppubkeys/68279259.asc PGP Fingerprint: 4B 12 AD B5 4E ED AB 56 F7 3F B2 02 25 FD 95 98 [ Um sich von dieser Liste abzumelden, sende bitte "unsubscribe" ] [ an <linuxevent-request@mlist.austria.eu.net>. ]Received on Sun Mar 16 17:08:01 2003
This archive was generated by Hypermail 2.1.8 on Die 06 Jan 2004 - 16:30:31 CET.
(c) Andreas R. Slejs - http://linuxevent.slejs.at.