PGP/GPG Trusted Introducer

Gregor Zattler telegraph at gmx.net
Don Mai 26 20:07:18 CEST 2005 

Hi Christian,
* Christian Barmala <christian.barmala at gmx.net> [26. Mai. 2005]:
> Hallo Gregor,
> 
> "Gregor Zattler" <telegraph at gmx.net> schrieb:
> >> Und was ist mit den 20 anderen Leuten in der Kette bis zu Bill?
> > vielleicht haben sogar welche absichtlich falsche Identitäten beglaubigt!?
> > M. E. hilft hier nur, wenn mehrere disjunkte Pfade zwischen den
> > beiden Keys existieren.  Dazu gibt es im Web mind. zwei
> > sogenannte Pfadfinder:
> 
> Danke für die Hinweise. Verstehe ich es richtig:
> - Wenn zwischen mir und dem Fremden, der mit mir Kontakt aufnehmen will 
> "möglichst viele", "möglichst kurze", disjukte Pfade bestehen, dann will ich 
> glauben, dass er der ist, der er vorgibt zu sein, obwohl ich in keinem der 
> Pfade *alle* Zwischenstationen kenne?
> - Was "möglichst" heißt, ist persönliche Geschmackssache.

so verstehe ich das.  Bin aber nur Nutzer ohne besondere
mathematische Kenntnisse etc.

> - Ob es solche Pfade gibt, finde ich nicht mit meinem lokalen PGP/GPG-Client 
> heraus, sondern dazu brauche ich einen der Pathfinder.

jupp.

> - Damit es solche Pfade gibt, reicht es nicht, dass jemand von einer 
> besonders populären und lt. Policy vertrauenswürdigen Stelle z.B. der c't 
> signiert ist, sondern jeder muss von möglichst vielen anderen
> signiert sein.

Das wäre wünschenswert.  Wenn der key direkt von zum Beispiel der
c't signiert ist, und Du denen vertraust, ist gut.  In den
anderen Fällen...

> - Wenn ich nun nach der o.g. Regel jemand fremdem glaube, Herr X zu sein, 
> würde ich ihn dann nicht-exportierbar signieren, damit sein Schlüssel in 
> meinem Keyring gültig erscheint?

Hmh, mach' ich nicht, kann aber sinnvoll sein.  mein Mailprogramm
fragt mich, ob ich den Schlüssel wirklich benutzen will und ich
sag' dann ja.  So oft schreib' ich mir nicht verschlüsselt mit
Leuten, deren key ich nicht (richtig) signiert habe.

> Noch was, ist folgende Strategie sinnvoll:
> Ich generieren mir einen nicht verfallenden "Root" Schlüsselpaar, dessen 
> öffentlichen Teil ich von möglichst vielen Leuten signieren lasse, dessen 
> privaten Teil ich aber off-line sicher aufbewahren. Damit signiere ich 
> einmal im Jahr einen Arbeitsschlüsselpaar, das nur 1 Jahr gültig ist und 
> dessen privater Teil auf allen meinen Rechnern installiert ist?

Das habe ich noch nicht gemacht, lies mal:  
http://fortytwo.ch/gpg/subkeys/

Oder suche im Web nach Diskussionen um David Shaws Key.

Gregor