Re: key signing party - wer darf mitspielen?

Autor: Rene Pfeiffer <lynx@luchs.at>
Datum: Mon 17 Mär 2003 - 00:39:15 CET

On Mar 16, 2003 at 2311 +0100, Tamer Fahmy appeared and said:
> wow, das war mit abstand die laengste selbstverfasste mail, die ich seit
> dem day_of_the_creation_of_my_first_email_address() empfangen habe...

Wir können ja mal kurz Inbox tauschen...;-)

> On Sun, Mar 16, 2003 at 09:36:39PM +0100, Sven Guckes wrote:
> > newbies haben per definition keine informationen
> > und sind damit natuerlich auch nicht vorbereitet.
> > sie koennen daher auch kein risiko einschaetzen
> > und kryptographie weder verstehen noch anwenden.
> >
> > oder sieht das jemand anders?
>
> seit wann interessieren sich newbies fuer cryptostuff, privacy, etc.?

Na ja, solange man ihnen keine Aufklärung bietet und das Bewußtsein
erweckt, dürfte Desinteresse vorherrschen. Das kann aber anders werden,
sobald man Erklärungen bieten kann bzw. Zusammenhänge beleuchtet.

> > angenommen, es existiert solcher vortrag, der
> > in einer oder wenigen stunden "alles" bringt.
> > darf man dann davon ausgehen, dass ein newbie danach
> > genuegend informationen hat, um an der geplanten
> > KSP am abend mit seinem neuen key teilzunehmen?
>
> KSP und web of trust sind imho flawed! nicht nur kann man beliebig generierte
> keys mit gefakten entries auf den keyserver uploaden und dann auf lustig diese
> keys signen und signen lassen. [...]

Genau solche Informationen finde ich auch recht nützlich. Damit kann
dann jeder aufgrund seines persönlichen Paranoia-Levels entscheiden, ob
{er,sie,es} wirklich an der KSP teilnimmt oder das ganze wirklich nur
mit ausgewählten Vertrauensmenschen durchführt. Magst Du diese
Problematik nicht in einem kleinen Vortrag beleuchten? Ist zwar nicht
für Newbies geeignet, aber dürfte durchaus interessant sein.

Apropos Keyserver: Wer benutzt denn welche gern und warum? Einige
erscheinen mir auch gelegentlich als Dumping Ground für weggeworfene
Keys. Hat da wer Präferenzen oder Keyserver Ratings?

> und wieviele erst setzen den trust level einfach nach oben, um den laestigen
> prompts nach den hinweisen des level of trusts zu entgehen?

Ja, da gibt's sicher einige, nur sind wir dann schon beim
GPG-Führerschein...

> es haengt sehr davon ab, wo der key gespeichert ist. wieviele legen ihren
> key z.b. auf dem uni rechner ab oder einem anderem rechner, den sie sich mit
> anderen usern sharen, die man nicht kennt und trauen kann? danke fuer das
> passwort und den private key!

Es steht Dir aber frei solche Bedingungen bzw. Checks in Deine Signing
Policy aufzunehmen. Man muß tatsächlich nicht alles signieren, was eine
passende Zahl von Hex-Stellen produziert, die mit anderen Hex-Zahlen
übereinstimmen.

> wieviele erst legen ihren key auf direkt vom internet zugaenglichen rechnern
> ab?

Ein Wort: Laptop.

> [...*lotsofwearealldoomedstuffsnipped*...]
> aber das ist ein generelles problem!

Richtig.

> was bringt mir dann eine key signing und encryption auf unsicheren systemen?
> nada, /dev/null! aka. game over situation...

Ok, dann mach' einen Vorschlag für eine bessere Signing-Architektur.
Würde ganz gut zu einem kleinen Vortrag über die Gefahren des Web of
Antitrust passen.

> ich mal zwar grad den teufel an die wand, aber der teufel steckt halt leider
> im detail...

Du hast Dir zuviele OpenBSDM CDs angeschaut...;-)

Luchsgrüße.

-- 
 GNU/Linux Manages! - Linux Solution Provider
  RP551296-NICAT    - Free Software for Open Minds

[ Um sich von dieser Liste abzumelden, sende bitte "unsubscribe" ]
[ an <linuxevent-request@mlist.austria.eu.net>. ]

Received on Mon Mar 17 20:15:30 2003

This archive was generated by Hypermail 2.1.8 on Die 06 Jan 2004 - 16:30:31 CET.
(c) Andreas R. Slejs - http://linuxevent.slejs.at.