Hi Paul,
Am Mittwoch 23 Februar 2022 15:03:15 schrieb Paul Schaub:
Noch mehr Potential hat das ganze, wenn man WKD mit einer dezentralen OpenPGP CA (zB. https://openpgp-ca.org/) kombiniert.
WKD hat keine weitergehende Zertifizierungsfunktion, ist also keine CA.
Das automatisierte Vorgehen bei der Software openpgp-ca passt nicht ganz zum Begriff CA, weil es keine weitergehende Prüfung gibt, die allgemein von einer Zertifizierungsstelle erwartet werden würde. Und da die Tatsache, dass der Schlüssel sich bereits in WKD befindet, bereits die automatische Prüfung enthält, gibt es keine zusätzlichen Zusicherungen. Sprich, es gibt keine extra Vertrauensinformation durch die Verwendung, es ist unnötig und es ist deshalb aus meiner Sicht auch nicht passend deshalb den Pubkey des Mechanismus zu signieren.
Wenn es eine weitergehende Prüfung gibt, und das bei der Organisation jemand übernimmt, dann kann ein organisationsweiter öffentlicher Schlüssel tatsächlich als dezentrale Zertifizierungsstelle interessant sein.
Meiner Ansicht nach kann FSFE für die meisten Email-Adressen keine CA sein, weil wir die Identität nicht weiter prüfen können (und wollen).
Viele Grüße, Bernhard