WKD und OpenPGP Crypto (Re: Einladung zur 'CryptoParty' am 22.2.22, eine Veranstaltung der FLOSS-Werkstatt)

Paul Schaub vanitasvitae at fsfe.org
Do Feb 24 17:32:03 UTC 2022 

Hey,

Am 24.02.22 um 18:12 schrieb Bernhard E. Reiter:
> Hi Paul,
>
> Am Mittwoch 23 Februar 2022 15:03:15 schrieb Paul Schaub:
>> Noch mehr Potential hat das ganze, wenn man WKD mit einer dezentralen
>> OpenPGP CA (zB. https://openpgp-ca.org/) kombiniert.
> WKD hat keine weitergehende Zertifizierungsfunktion, ist also keine CA.
Hab ich auch nicht behauptet :D

Das Web Key Directory dient m.E.n primär der Key Discovery.

Kombinieren kann man das ganze trotzdem wunderbar mit der OpenPGP-CA 
(erläutere ich weiter unten).

> Das automatisierte Vorgehen bei der Software openpgp-ca passt nicht ganz zum
> Begriff CA, weil es keine weitergehende Prüfung gibt, die allgemein von einer
> Zertifizierungsstelle erwartet werden würde.
Kommt drauf an, was zertifiziert wird.
>   Und da die Tatsache, dass der
> Schlüssel sich bereits in WKD befindet, bereits die automatische Prüfung
> enthält, gibt es keine zusätzlichen Zusicherungen. Sprich, es gibt keine
> extra Vertrauensinformation durch die Verwendung, es ist unnötig und es ist
> deshalb aus meiner Sicht auch nicht passend deshalb den Pubkey des
> Mechanismus zu signieren.
Das kommt darauf an, wie man die OpenPGP-CA verwendet. Eine Bank mag zum 
Beispiel die Schlüssel ihrer Mitarbeiter nur nach strenger, manueller 
Prüfung signieren. Für einen Verein wie die FSFE reicht es ja, ob das 
Mitglied nachweisen kann, den Schlüssel und die FSFE Mailadresse zu 
kontrollieren.
> Wenn es eine weitergehende Prüfung gibt, und das bei der Organisation jemand
> übernimmt, dann kann ein organisationsweiter öffentlicher Schlüssel
> tatsächlich als dezentrale Zertifizierungsstelle interessant sein.
>
> Meiner Ansicht nach kann FSFE für die meisten Email-Adressen keine CA sein,
> weil wir die Identität nicht weiter prüfen können (und wollen).

Kommt drauf an. Es gibt Informationen, bei der eine maschinelle Prüfung 
ausreichend ist. Zum Beispiel kann die Frage, ob eine Person die EMail 
Addresse XYZ at fsfe.org kontrolliert durch eine einfache Challenge (zB. 
Bestätigungslink an die Mailadresse) geprüft werden.

Somit wäre die OpenPGP-CA zB. für die FSFE tatsächlich interessant, da 
mit ihr zB. die @fsfe.org Aliase der Mitglieder und Unterstützer 
signiert werden könnten. Fügt dann ein Nutzer die FSFE CA als Trusted 
Introducer hinzu, so kann er komfortable mit anderen FSFE Mitgliedern 
verschlüsselt Kontakt aufnehmen.

Ich persönlich finde das Projekt auf jeden Fall mega spannend. Meiner 
Meinung nach müssen wir weg von "Zeig mir deinen Perso, sonst signiere 
ich dir gar nichts!", hin zu nutzbarer Kryptogafie und die OpenPGP-CA 
ist dafür ein wichtiger Baustein.

Paul

>
> Viele Grüße,
> Bernhard
>
>
> _______________________________________________
> FSFE-de mailing list
> FSFE-de at lists.fsfe.org
> https://lists.fsfe.org/mailman/listinfo/fsfe-de
>
> Diese Mailingliste wird durch den Verhaltenskodex der FSFE abgedeckt.
> Alle Teilnehmer werden gebeten, sich gegenseitig vorbildlich zu
> behandeln: https://fsfe.org/about/codeofconduct

Mehr Informationen über die Mailingliste FSFE-de