PGP/GPG Trusted Introducer
Gregor Zattler
telegraph at gmx.net
Mit Mai 25 16:15:02 CEST 2005
Hi Christian,
* Christian Barmala <christian.barmala at gmx.net> [22. Mai. 2005]:
> ich habe mich damit beschäftigt, wie man die Identität einer signierenden
> Person überprüft:
> PGP:
[...]
> Nachdem ich unzählige Leute auf die Art "kennen gelernt" und mich beim
> Verfolgen der Signaturkette mehrmals im Kreis gedreht habe komme ich, wenn
> ich Glück und Ausdauer habe, irgenwan bei Key 0x99999, meinem Kollegen Klaus
> Müller an.
> Aaah den kenne ich doch, den ruf ich mal an und frage, ob ihm wirklich der
> Schlüssel mit dem Fingerprint "AD935 BC456 FC537 ...." gehört. Ja, das
> stimmt! Und jetzt geht's rückwärts los:
>
> Klaus will ich ja noch glauben, dass er Jens Hansen aus Bremen korrekt
> identifiziert hat, aber hat Jens sorgfältig gearbeitet, als er Hans Jensen
> aus Hamburg besucht hat? Und was ist mit den 20 anderen Leuten in der Kette
> bis zu Bill?
vielleicht haben sogar welche absichtlich falsche Identitäten beglaubigt!?
> Sehe ich das richtig oder übersehe ich Hilfsmittel, die mich schneller zum
> Ziel führen?
Informationen auf Englisch unter:
http://en.wikipedia.org/wiki/Web_of_trust
Eine deutschsprachige Erklärung unter:
http://www.rubin.ch/pgp/weboftrust.de.html
M. E. hilft hier nur, wenn mehrere disjunkte Pfade zwischen den
beiden Keys existieren. Dazu gibt es im Web mind. zwei
sogenannte Pfadfinder:
http://the.earth.li/~noodles/pathfind.html
funktioniert gerade nicht
http://www.cs.uu.nl/people/henkp/henkp/pgp/pathfinder/
findet z.B. zwischen meinem Key 0xD25307CA und einem Key, der von
Richard M. Stallmann sein soll (0x135EA668) 5 disjunkte Pfade
zwischen 4 und 6 Keys Länge (je inkl. der Endkeys). Dabei gibt es
aber je zwei Pfade in denen je ein Beglaubiger in beiden Pfaden
vorkommt, d. h. ich kann von mindestens 3 verschiedenen Pfaden
ausgehen. Die Identitäten der 3 je ersten Personen, die auf dem
Weg von meinem zu RMS Key liegen habe ich bei zwei verschiedenen
Key Signing Partys selbst geprüft (womit ich natürlich noch nichts
über deren Absichten und Vertrauenswürdigkeit aussagen kann).
Jetzt kommt's auf meinen Paranoialevel an, ob ich glaube, dass
die Mächte der Finsternis (Disney) so eng um mich gestellt sind,
dass sie in gleich 3 solchen Pfaden ihre Helfershelfer platzieren
konnten, um einen Double von Richard M. Stallman einführen zu
können.
Ciao, Gregor