Fragen zur Option --import-options

Klara Hofmann k.hofmann81 at web.de
Fr Feb 26 11:16:35 CET 2016 

Am 25.02.2016 um 22:16 schrieb Helmut Waitzmann:
> Klara Hofmann <k.hofmann81 at web.de>:
>
>> In der Beschreibung zur Option --import-options import-local-sigs Ist
>> von einem Schlüsselbund-Schema
>> die Rede. Was ist damit gemeint?
> Ja, von einem „shared keyring scheme“ ist die Rede.  Ich vermute,
> auf Deutsch nicht „verteiltes Schlüsselringschema“ sondern „Schema
> mit verteiltem Schlüsselring“, also eine Art, einen Schlüsselring
> zu verwenden, bei der mehrere Personen einen Schlüsselring
> gemeinsam benutzen.

Super, ich glaube, das ist die Antwort, nach der ich gesucht habe.

>
> Eine nicht‐lokale sondern „normale“ Signatur (eigentlich eher ein
> Zertifikat, denn es geht hier um das Unterschreiben anderer Leute
> Schlüssel) ist eine Beglaubigung, die jemand an einem öffentlichen
> Schlüssel einer anderen Person anbringt, um seinem GnuPG und der
> ganzen Welt mitzuteilen:  Ich weiß, dass derjenige, dessen User‐Id
> ich unterschrieben habe, wirklich so heißt, und, dass die
> E‐Mail‐Adresse, die er angegeben hat, wirklich seine ist.
> Außerdem weiß ich, dass der Schlüssel, an dem das User‐Id hängt,
> sein Schlüssel ist.
>
> Beispiel:
>
> Anne möchte Bernds Schlüssel beglaubigen.  Dazu trifft sie sich mit
> ihm.  Bernd bringt ausgedruckt das User‐Id
>
> „Bernd Mustermann <Bernd_Mustermann at mailprovider.example>“
>
> und das Fingerprint seines Schlüssels und außerdem seinen
> Personalausweis mit.
>
> Dann lässt sich Anne den Personalausweis zeigen und nimmt das
> User‐Id und das Fingerprint in Empfang.
>
> Zuhause lädt sie sich Bernds Schlüssel anhand des Fingerprints von
> einem Schlüsselserver herunter und unterschreibt das User‐Id
>
> „Bernd Mustermann <Bernd_Mustermann at mailprovider.example>“
>
> an Bernds Schlüssel, das den Namen, der auf dem Personalausweis
> stand, und die E‐Mail‐Adresse, die Bernd ihr gegeben hat, enthält.
>
> Dann schickt sie Bernd den so zertifizierten Schlüssel zurück,
> damit er ihn auf den Schlüsselserver hochlädt (oder sie lädt ihn
> selber auf den Schlüsselserver hoch).
Ich hab einmal irgendwo gelesen, dass das einige
Schlüsselbesitzer gar nicht wollen. Die laden lieber selbr hoch ..
(angeblich; mich würde es derzeit nicht so stören ...)
>   
> Nun könnte es sein, dass Anne, da sie sich mit Personalausweisen
> nicht auskennt, nicht entscheiden kann, ob der Personalausweis,
> den Bernd ihr gezeigt hat, gefälscht oder echt ist.  Deshalb
> möchte sie auch nicht vor der ganzen Welt dafür geradestehen, dass
> sie Bernds Personalausweis geprüft hat und für echt hält.  Das
> bedeutet:  Sie darf Bernds Schlüssel nicht zertifizieren.
OK, das ist ein interessanter Anwendungsfall von lokalen Zertifikaten.
Ich habe immer geschlossene Benutzergruppen im Sinn: Die treffen sich
einmal
und tauschen die Daten aus (Fingerprints, Benutzer-Kennungen, Ausweise
etc.).
Dann zertifizieren sie sich gegenseitig und verwenden vielleicht nicht
einmal
Keyserver.

> Trotzdem möchte sie Bernds Schlüssel mit ihrem GnuPG verwenden.
>
> Damit Annes GnuPG Bernds Schlüssel anerkennt, braucht es aber
> Annes Zertifikat an Bernds Schlüssel.  Was kann Anne tun?  Sie
> beglaubigt Bernds Schlüssel mit einem lokalem Zertifikat.

> Dann ist ihr GnuPG zufrieden.  Wenn sie Bernds Schlüssel
> exportiert, wird das lokale Zertifikat nicht
> mit exportiert, es sei denn, sie würde an ihrem GnuPG
>
>   `--export-options `parameters''
>        This is a space or comma delimited string that gives
>        options for exporting keys. Options can be prepended with a
>        `no-' to give the opposite meaning. The options are:
>
>       export-local-sigs
>             Allow exporting key signatures marked as "local". This
>             is not generally useful unless a shared keyring scheme
>             is being used.  Defaults to no.
>
> einstellen.

Soweit klar.

> Jetzt zur Anfangsfrage zurück:
>
>> In der Beschreibung zur Option --import-options
>> import-local-sigs Ist von einem Schlüsselbund-Schema die
>> Rede. Was ist damit gemeint?
> Ich vermute, damit ist einfach gemeint:  Wie verwendet Anne ihren
> Schlüsselring?  Exportiert sie ihn auf einen anderen Rechner?
> Teilt sie ihn mit anderen Personen in ihrem engsten Umfeld?
>
> Je nachdem, wie sie export-local-sigs und import-local-sigs
> einstellt, wird dabei die lokale Signatur mit übertragen oder
> nicht.
OK. Ich stell mir das einmal wie einen zentralen Schlüsselbund
für eine Support-Abteilung (z.B.) vor.
Die Mitarbeiter zertifizieren alle lokal (nicht-exportierbar) oder sie
tun das nur teilweise, exportieren
und importieren dann aber trotzdem die lokalen Zertifikate.
>
>> In der Beschreibung zum Wert repair-pks-subkey-bug ist von einem Bug der
>> Keyserver-Software die Rede. Existiert dieser Bug eigentlich noch? Oder
>> ist dieser Options-Wert vielleicht schon obsolet?
> Soweit ich gelesen habe, gibt es längst Patches für die Software.
> Aber ich habe es nicht in der Hand, ob wirklich alle
> Schlüsselserverbetreiber ihren Server auf Vordermann gebracht
> haben.
OK, danke; so was habe ich vermutet (aber nicht gewusst ;-)

Liebe Grüße und danke nochmal.
Klara

Mehr Informationen über die Mailingliste Gnupg-de