Vertrauensnetzwerk

[Gregor Zattler]

Hi Simon,
* Simon Scheithauer <Simon.Scheithauer at uni-weimar.de> [01. Apr. 2010]:
> Ich habe eine kurze Frage. Gestern habe ich ein Programm und
> die dazugehörige Signatur runtergeladen. Beim Download der
> letzteren erschien der Hinweis, dass die Signatur durch einen
> Fehler womöglich ungültig erscheinen könnte -was dann auch
> passierte- obwohl sie eigentlich gültig sei. Man müsse, so der
> Hinweis, diese zunächst signieren um sie dadurch als
> vertrauenswürdig einzustufen: "That's how PGP and GPG work".

Es wäre hilfreich die Fehlermeldung genau zu kennen.

Du hast ein Programm aus dem Internet gezogen und eine Signatur.
Die Signatur soll zum Programm passen, prüfen kann man das aber
nur mit dem Publik Key / öffentliche Schlüssel der
Programmiererin oder des Unternehmens..

Wenn die Signatur zum Programm passt und der publik key /
öffentliche Schlüssel aus vertrauenswürdig eingestuft ist, dass
kommt eine Meldung, dass alles o.k. ist.

Wenn die Signatur passt, der key / Schlüssel aber nicht als
Vertrauenswürdig bekannt ist, dann kommt eine Meldung, dass die
Signatur passt, es aber keinen Hinweis gibt, von wem sie
ausgestellt wurde.  

> Ich bin in der Hinsicht eher ein Anfänger, aber irgendwie macht
> mich das doch stutzig!? Wenn das Hauptproblem ist, sich der
> Echtheit der Signaturen zu versichern, dann ist es doch etwas
> merkwürdig wenn ich mir diese selbst nachweise? Ich weiß zwar
> von wo ich das Programm her habe, aber die Signatur kommt
> schließlich von der selben Seite.

Richtig.  Im letzten Fall oben kann man die "störende" Meldung
beseitigen, in dem man selbst den öffentlichen Schlüssel
unterschreibt.  Das ist dann unproblematisch, wenn man vorher
geprüft hat, dass er tatsächlich von der Programmiererin oder dem
Unternehmen stammt.  Bloß: Wie soll man das tun?  Und: Warum
sollte man dann nicht gleich sicherstellen, dass das Programm von
ihr / dort kommt?

Wenn Dein Key und der Key der Programmiererin / des Unternehmens
je weiter keine Unterschriften hat, dann hilft die Signatur nicht
mehr, als eine Checksumme.

Wenn sich die Programmiererin / das Unternehmen Mühe gibt, dann
ist der fragliche Key ins Vertrauensnetz / web of trust
eingebunden, d. h. der Umstand, dass der Schlüsselt zu denen
gehört wurde von (mehreren) anderen Personen geprüft und
bestätigt durch Unterschriften unter diesen Schlüssel.  Wenn Dein
eigener Schlüssel selbst Teil des selben Vertrauensnetzes ist,
dann kann es sein, dass bereits eine oder mehrere Kette(n) von
Vertrauensbeziehungen zwischen Deinem Schlüssel und dem der
Programmiererin / des Unternehmens besteht.

Es gibt im Netz Services, die Vertrauenspfade zwischen öffentlich
gemachten öffentlichen Schlüsseln darstellen.  Einer ist z. B.: 
http://pgp.cs.uu.nl/

Damit kann man feststellen, ob (mehrere) disjunkte Pfade -- d. h. 
solche die sich nicht kreuzen -- zwischen zwei Schlüsseln bestehen.
Angenommen es bestehen mehrere solche Ketten von Unterschriften
von Deinem Schlüssel zu dem der Programmiererin und weiter
angenommen, dass Dir der Service dieses Ergebnis nicht einfach
nur vorspiegelt, obwohl es diese Unterschriften nicht gibt, dann
kannst Du Dir überlegen, ob Du es für ausreichend wahrscheinlich
hältst, dass diese disjunkten Ketten *nicht* dadurch zustande
gekommen sind, dass Dich jemand reinlegen will, der sich in alle
die Ketten geschmuggelt hat und sie durch ungeprüfte
beziehungsweise schlich falsche Unterschriften irreführend
gemacht hat.


Puh!


Ciao, Gregor
-- 
 -... --- .-. . -.. ..--.. ...-.-