OpenPGP Zertifikatsserver

Volker Grabsch vog at notjusthosting.com
Di Mai 24 21:45:41 UTC 2011


Bernhard Reiter schrieb:
> Am Dienstag, 24. Mai 2011 14:03:07 schrieb Werner Koch:
> >
> > Ich meine eine Blacklist um zu verhindern, das bestimmte Schlüssel auf
> > einem Server gespeichert werden können.  Das hätte vielfältige
> > Konsequenzen und würde eine riesige Kiste von Problemen aufmachen.
> 
> Sind die schon irgendwie aufgeschrieben? Ich würde sie gern im Detail sehen.

Das würde mich ebenfalls interessieren, da mein Kenntnisstand ein
völlig anderer ist. (siehe unten)

> > der Schlüssel ist eine Notwendigkeit um mit der Mailadresse etwas
> > anfangen zu können - sofern man den Ratschlägen der Datenschützer folgt
> > und Ende zu Ende Verschlüsselung betreibt.
> 
> Niemand kann garantieren, dass eine Email Adresse auch zum Schlüssel passt.
> Weiterhin könnten da auch illegale Dinge drinstehen, verbotene Fotos, 
> Beleidigungen oder Aufrufe zu Straftaten im Text der UID.

Auch wenn diese Möglichkeit theoretisch besteht - das ist realistisch?
Wer liest sich schon die Texte wildfremder PublicKeys durch? Und wie
hoch ist demzufolge der Anreiz, sowas zu tun, wo es doch so viele
effektivere Wege gibt?  (Usenet, offene Mailinglisten, Wikis,
Blog-Kommentare, Gästebücher, eigenes Blog + Aggregator, ...)

Davon abgesehen stimme ich zu, dass PublicKeys nicht unbedingt öffentlich
sein müssen. Insbesondere die Signaturen lassen sich zur Analyse der
sozialen Strukturen missbrauchen. [1]

Natürlich funktioniert das Web-of-Trust besser, wenn möglichst viele
PublicKeys inklusive Signaturen öffentlich sind. Aber zwingend notwendig
ist das nicht! Ich kann meinem Kommunikationspartner auch einfach meinen
PublicKey+Sigs per E-Mail zusenden, und wenn der Gegenüber eine der
Sigs einer Vertrauensperson zuordnen kann (bzw. einer Vertrauens-Kette),
dann reicht das ja für ihn.

Aus genau diesem Grund ist es ja auch üblich, dass man nach einer
Key-Signing-Party die von einem selbst signierten Schlüssel nicht
auf einen Keyserver hochlädt, sondern direkt (und verschlüsselt)
per E-Mail an die jeweiligen Personen zusendet. So überlässt man
ihnen selbst die Entscheidung, ob und in welchem Rahmen sie ihren
PubliyKey und ihre Sigs veröffentlichen.


Gruß
Volker


[1] Zwar sagt eine Signatur erstmal nicht mehr aus, als dass sich
    diese Personen irgendwann auf ner Key-Signing-Party flüchtig
    begegnet sind. Andererseits wird in der Kriminologie in
    Bekanntschaftsgraphen gern so viel hinein interpretiert, dass
    etwa das bloße Spenden einer Domain zu einer Hausdurchsuchung
    führen kann, auch wenn man bis auf diese Spende gar nicht in
    das Projekt involviert ist. In anderen Ländern mag es noch
    schlimmer aussehen - auch darauf sollte man Rücksicht nehmen,
    bevor man große Mengen an internationalen personenbezogenen
    Daten öffentlich anbietet.

-- 
Volker Grabsch
---<<(())>>---



Mehr Informationen über die Mailingliste FSFE-de