Re: key signing party - wer darf mitspielen?

Hi !

* Sven Guckes <guckes@math.fu-berlin.de> [2003-03-16 21:36]:
> * Guenther H. Leber <gleber@gams.at> [2003-03-16 17:17]:

> > IMO muß daher der Vortrag auch das entsprechende
> > (Sicherheits-) Bewußtsein wecken und auch
> > klar sagen welche Aktion welches Risiko birgt.
>
> angenommen, es existiert solcher vortrag, der
> in einer oder wenigen stunden "alles" bringt.
> darf man dann davon ausgehen, dass ein newbie danach
> genuegend informationen hat, um an der geplanten
> KSP am abend mit seinem neuen key teilzunehmen?

Ich bin der Meinung, dass nicht jeder, der einen PGP/GPG-Vortrag gehoert
hat, sofort einen Keys generieren und an einer KSP teilnehmen muss.

Der User soll dann, wenn er glaubt, die (Computer-)Umgebung ist fuer ihn
ausreichend sicher, seinen Key generieren. Und damit kann er dann an
einer KSP teilnehmen.

Wenn ein User das will, kann er einen anderen ansprechen und auf dessen
PC/Laptop einen Key generieren. (Abgesehen davon, dass ich Disketten
nicht traue, denn in letzter Zeit haben fast alle Disketten Lesefehler.
Und den frisch generierten Schluessel dann auf einer solchen Diskette zu
haben, ist irgendwie schlecht.)

Mit der Einladung "Da hinten steht ein PC, generier deinen Key" bin ich
nicht so richtig gluecklich (auch wenn ich deine guten Absichten zu
schaetzen weiss), denn es muss jeder selber entscheiden, wann und wo er
das machen will. Das "der PC ist sicher genug" ist etwas, was ich lieber
jeden selber entscheiden lassen will.

> > Sollte dann immer noch jemand an einem vorbereiteten "fremden"
> > PC seinen Gpg-Key erzeugen wollen, dann weiß er hoffentlich
> > auch genau wofür er ihn einsetzt, bzw. wofür nicht.
>
> nun, ich bezweifle, dass jeder weiss wofuer er seinen key
> einsetzen wird - und wofuer nicht. ich bezweifle das auch
> bei auch bei vielen leuten, die pgp/gpg schon seit jahren
> "anwenden". ich zaehle mich uebrigens ebenfalls dazu.
> und ich gehe davon aus, dass viele erst spaeter erfahren
> was sie mit ihrem key haben und was sie damit tun werden.

Schoen. Aber das Anbieten eines oeffentlichen PCs zum Key-Generieren
verleitet dazu, nicht ueber Sicherheit nachzudenken. Und das sollte man
tun, bevor man einen Key erstellt. (Wofuer erzeuge ich den Key? Was ist
fuer mich sicher, was nicht? ...)

> > Aber es ist IMO ein "mit schlechtem Beispiel vorangehen".
>
> also keine newbies auf KSPs? per definition?

Nein, dass nicht. Wenn jemand dort einen Key generieren will, wird er
sicher jemanden finden, der ihm dabei hilft und seinen Rechner dafuer
zur Verfuegung stellt.
Und wenn die Veranstaltung mehrtaegig ist, kann man den Vortrag ja am
ersten Tag machen und dann am naechsten Abend eine KSP. Dann hat der User
Zeit, sich einen Key zu generieren.

> welche zugangskritierien soll es geben?
> vielleicht einen test? "haben sie schonmal
> eine crypto-software geschrieben? (y/N)"

Keine Zugangsbeschraenkung. Aber auch keinen Zwang. Und einen PC
hinzustellen und den dann anzupreisen ist IMHO schon so etwas. (Und sei
es nur Gruppenzwang. "Die machen das alle, da muss ich dabei sein.")

> > "Dürfen nur jene ihren Key signieren lassen, die ihn rechtzeitig
> > einem Moderator übergeben haben und bei der Keysigningparty die
> > Keyid/Länge/Fingerprint ihres Keys vorlesen (und damit die
> > Richtigkeit ihres Keys bestätigen) können?"
>
> ok - aber das schliesst jene natuerlich aus,
> die erst auf der veranstaltung davon hoeren,
> denn sie dann bereits diese frist verpasst.

Nein, wer genug ausgedruckte Kopien seines/r Keys mitbringt (oder dort
ausdruckt und sicherstellt, dass sie richtig sind) kann auch teilnehmen.

> > Ich halte Alfies Vorschläge .. für sehr sinnvoll und
> > teile seine Bedenken bezüglich "Key-Generierung für jeden".
>
> nun, dann sollte man natuerlich auch keine keys signieren von leute,
> die nicht mit auf der ausgedruckten liste stehen, stimmt doch, oder?

Nein. Wieso soll ich von jemandem den Key nicht signieren? (Wenn er Key
und Ausweis hat.)

> > Ich denke auch, daß eine gute Beschreibung zur
> > Key-Generierung auf der Anmeldeseite ausreichen sollte.
>
> und ich bin ziemlich sicher, dass dies allein
> nur sehr sehr wenige dazu bringt mitzumachen.

Mag sein.

> fazit: eine veranstaltung, die weitere leute
> zum mitmachen beim web of trust veranlassen will,
> braucht man mindestens eine woche - zum anmelden
> der schluessel und zum verifizieren derselben.

Nein, das sicher nicht.
Aber der Teilnehmer soll ein Gefuehl fuer Sicherheit bekommen.

> also muss es dann im vortrag heissen:
[...snip...]

Sorry Sven, aber diese Schwarz-Weiss-Malerei bzw.
Linux-ist-gut-Windows-ist-boese-Darstellung ist hier fehl am Platz.

> ObParanoia: mein schluessel wurde damals auf einem
> uni-rechner erzeugt - also nicht auf einem laptop. ich
> habe das binary von pgp damals nicht selber installiert.
> mein private key ist weiterhin in den haenden der
> sysadmins der uni - und auf den backup baendern.
> und ich besitze noch immer keinen laptop.

Wem du dein Vertrauen schenkst, bleibt dir ueberlassen.
Das hast du damals fuer dich entschieden und das ist ok.

> darf ich trotzdem noch mitspielen?

Wenn du deinem Schluessel vertraust, warum sollte ich das dann nicht
tun?

mfg @ndy

-- 
personal web site:  http://skater.priv.at/~andy/
Nachtskaten / Friday Night Skating Vienna:  http://night.skater.priv.at/
Informationen zum oesterreichischen Usenet:  http://www.usenet.at/
Verein fuer Internet-BEnutzer Oesterreichs (.AT)  http://www.vibe.at/

[ Um sich von dieser Liste abzumelden, sende bitte "unsubscribe" ]
[ an <linuxevent-request@mlist.austria.eu.net>. ]