OpenPGP Zertifikatsserver

Werner Koch wk at gnupg.org
Mi Mai 25 07:24:26 UTC 2011


On Tue, 24 May 2011 15:27, reiter at fsfeurope.org said:
>> Ich meine eine Blacklist um zu verhindern, das bestimmte Schlüssel auf
>> einem Server gespeichert werden können.  Das hätte vielfältige
>> Konsequenzen und würde eine riesige Kiste von Problemen aufmachen.
>
> Sind die schon irgendwie aufgeschrieben? Ich würde sie gern im Detail sehen.

Allein die dadurch bedingte Unterdrückung von Revocations sollte schon
als Argument reichen: ein kompromitierter Schlüsseln kann dann nicht
mehr zurückgezogen werden.  Angriffszenario ist einfach: Mallory ist in
den Besitz des privaten Schlüssels von Alice geraten; er fügt die User
ID fsfe-sucks at fsfe.org hinzu; die FSFE findet diese User ID nicht gut
und sperrt den Schlüssel; Alice ist damit nicht mehr in der Lage Ihren
Schlüssel zu widerrufen.

Desweiteren würden alle Keyserver laufend versuchen den Schlüssel wieder
zu senden - ich kann mir namlich nicht vorstellen, das so ein Blacklist
Ansatz von der Mehrheit der Keyserver Betreiber gebilligt würde.  In der
gegenwärtigen Struktur könnte jeder Betreiber eines Keyservers damit
beliebige Schlüssel sperren.

Zu weiteren Argumenten verweise ich auf die Debatten zu DNS Einträgen,
Warenzeichen und Abmahnungen.

> Nein, eine Email-Adresse ist genauso wenig öffentlich, wie Deine 
> Telefonnummer. Jeder kann sie verwenden, wenn sie bekannt ist, wenn jetzt 

Sobald ich meine Mail Adresse veröffentliche (z.B. auf dem Keyserver)
ist sie öffentlich.  Im Telefonbuch ist das genauso.

> aber einer Deiner Kritiker auf eine Webseite stellt: Hier der "böse" W. Koch,
> Telefonnummer+Email-Addresse, dann kannst natürlich Löschung verlangen.
> Das halte ich auch für richtig und gut.

Wie soll ich denn das machen?  Das geht doch vollkommen an der Realität
vorbei.  Glücklicherweise haben wir _noch_ keine global einheitlich
Exekutive.  Über kurz oder lang werden solche Informationen sowieso in
anonymen dezentralen Strukturen abgelegt werden und damit jeglicher
Zensur entzogen.

> eine Sperrliste sein. Die kann ja teilweise öffentlich sein, also ID 123456 
> gesperrt, wg. Gerichtsbeschluß XY oder Hinweis auf ABC oder Authorisierte 

s.o.  Ich stelle mir gerade mal "0x12345678 <aiweiwei at documenta.de>
blocked on order by Beijing court, file number XY42424242" vor.

Ursprünglich ging es hier um eine Verbesserung der FSFE Repudation; mit
Deinem Vorschlag kannst Du die FSFE dann aber auch gleich begraben.
Sorry, mit Zensur kannst Du mir nicht kommen.  Wenn da Unfug getrieben
wird, dann ist das eben so; immer noch besser als ein weiteres
Zensursystem zu installieren.


Salam-Shalom,

   Werner

-- 
Die Gedanken sind frei.  Ausnahmen regelt ein Bundesgesetz.




Mehr Informationen über die Mailingliste FSFE-de