hi *!
wow, das war mit abstand die laengste selbstverfasste mail, die ich seit
dem day_of_the_creation_of_my_first_email_address() empfangen habe...
On Sun, Mar 16, 2003 at 09:36:39PM +0100, Sven Guckes wrote:
> newbies haben per definition keine informationen
> und sind damit natuerlich auch nicht vorbereitet.
> sie koennen daher auch kein risiko einschaetzen
> und kryptographie weder verstehen noch anwenden.
>
> oder sieht das jemand anders?
seit wann interessieren sich newbies fuer cryptostuff, privacy, etc.?
wenn newbies == otto normaluser, dann zaehlt bloss der ease of use, da sie
sonst mit argumenten, wie "was hab ich schon zu verstecken und wozu das
ganze?", kommen.
> angenommen, es existiert solcher vortrag, der
> in einer oder wenigen stunden "alles" bringt.
> darf man dann davon ausgehen, dass ein newbie danach
> genuegend informationen hat, um an der geplanten
> KSP am abend mit seinem neuen key teilzunehmen?
KSP und web of trust sind imho flawed! nicht nur kann man beliebig generierte
keys mit gefakten entries auf den keyserver uploaden und dann auf lustig diese
keys signen und signen lassen. (versuch mal den boesewicht zu tracken...),
sondern auch gemuetlich von zuhause andere keys signen, von leuten, denen man
nie begegnet ist und deren fingerprint man nie persoenlich verifiziert hat,
die man am keyserver dann nicht mehr los wird (mangels vollstaendiger
implementation oder whatever...).
und wieviele erst setzen den trust level einfach nach oben, um den laestigen
prompts nach den hinweisen des level of trusts zu entgehen?
der alert level und die uebersicht auf auf solchen keysigning parties bedingt
durch zeitdruck und anzahl der leute ist generell lim0.
aber ich kann ja komplett falsch liegen damit...
was ich damit sagen will, ist, dass es imho ueberhaupt keinen sinn macht,
leute auf massigst auf KSP's zu rekrutieren, wenn ihnen nicht mal klar ist,
wozu sie das ganze brauchen, einsetzen wollen und die damit verbundenen
gefahren kennen. das ganze wuchert dann schnell in ein web of massive untrust
aus! ein guter vortrag dazu, waere nichts desto trotz unbedingt notwendig und
sehr sinnvoll!
vertrau ich einer signierten mail? nein! warum nicht? ich bin paranoid!
es haengt sehr davon ab, wo der key gespeichert ist. wieviele legen ihren
key z.b. auf dem uni rechner ab oder einem anderem rechner, den sie sich mit
anderen usern sharen, die man nicht kennt und trauen kann? danke fuer das
passwort und den private key!
wieviele erst legen ihren key auf direkt vom internet zugaenglichen rechnern
ab? danke fuer das passwort und fuer die private keys, da man immer davon
ausgehen darf, dass ein vulnerable service mit root exploitability rennt...
in beiden faellen ist es ein kinderspiel, nachdem das gpg binary ausgetauscht
worden ist, an die passwoerter fuer die private keys ranzukommen. das selbe
gilt natuerlich auch fuer ssh und jeden anderen crypto dienst...
aber das ist ein generelles problem!
was bringt mir dann eine key signing und encryption auf unsicheren systemen?
nada, /dev/null! aka. game over situation...
ich mal zwar grad den teufel an die wand, aber der teufel steckt halt leider
im detail...
wieviele von euch, haben den private key nicht auf der platte, sondern auf
ner sorgfaeltig weggelegten cd, die sie dann immer dann reinschieben und
mounten, wenn sie signieren und encrypten tun und danach wieder sorgfaeltig
unmounten und weglegen?
ich wette keiner! ich bin da auch keine ausnahme! warum nicht? ease of use,
convenience...
> also keine newbies auf KSPs? per definition?
> welche zugangskritierien soll es geben?
> vielleicht einen test? "haben sie schonmal
> eine crypto-software geschrieben? (y/N)"
wohl eher, hast du einen selbsterstellten key, liegt dein public key auf nem
keyserver und hast du dir den fingerprint davon ausgedruckt? weisst du was
das ganze soll und warum du an der keysigning party teilnehmen moechtest?
bist du sicher, dass du teilnehmen moechtest? wenn ja, warum? kennst du den
damit verbundenen sinn und bist du willens, damit so verantwortlich wie
moeglich umzugehen?
meine erfahrung hat gezeigt, dass ich an keiner KSP teilnehmen moechte und
meinen key nicht von irgendwelchen leuten signieren lassen will, weil sie
eben nicht damit verantwortlich umgehen koennen. warum? weil sie es entweder
nicht besser wissen oder es einfach nicht besser wissen wollen oder es
einfach tun, weil es chique ist... aka. gruppenzwang!
und wenn veranstalter von KSP's hergehen und darueber zu diskutieren anfangen,
dass man ja keys fuer die neuzugaenge auf rechnern von unbekannter herkunft,
installation und unbekannter sicherheit herstellen kann, dann bestaerkt mich
das nur in meiner annahme das KSP's completely flawed und gefaehrlich sind...
just my 2 cents,
tamer.
-- -////- | Tamer Fahmy, cs student at the univ. of technology Vienna --o o -- | irc, fics: tuhtah gpg - public key 0xB7735735 --- < --- | web:http://www.tammura.at/ mailto:tamer@tammura.at - v - | Support bacteria -- it's the only culture some people have!
[ Um sich von dieser Liste abzumelden, sende bitte "unsubscribe" ]
[ an <linuxevent-request@mlist.austria.eu.net>. ]
This archive was generated by Hypermail 2.1.8 on Die 06 Jan 2004 - 16:30:31 CET.
(c) Andreas R. Slejs - http://linuxevent.slejs.at.