From Fabian.Schuh at gmx.de Thu Sep 8 13:37:48 2016 From: Fabian.Schuh at gmx.de (Gnupg-de) Date: Thu, 8 Sep 2016 14:37:48 +0300 Subject: just hard facts Message-ID: <0000958e8090$aab497b9$fc6b89fd$@gmx.de> Hi, I've just made a report that is based just on hard facts, you can find it here Thanks for your consideration, Gnupg-de -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From wk at gnupg.org Sun Sep 11 20:29:28 2016 From: wk at gnupg.org (Werner Koch) Date: Sun, 11 Sep 2016 20:29:28 +0200 Subject: Anwerkungen zum Web Key Service Message-ID: <87zinep9x3.fsf@wheatstone.g10code.de> Hallo! Das Web Key Directory wurde bereits vor einiger Zeit auf den englischen GnuPG Listen diskutiert. Ich möchte hier ein paar Antworten auf häufige Fragen aus den letzten Tagen geben: ** Warum ein Hash der User ID? Obgleich es möglich wäre, in einer URL beliebige Zeichen zu verwenden und so auch direkt die Mailadresse anzugeben, habe ich diesen Weg nicht gewählt. Ein Hash der User ID hat den Vorteil, daß er direkt auf das Dateisystem abgebildet werden kann, ohne ein fehleranfälliges "Quoting" zu benutzen. Hierdurch wird es möglich, die Schlüssel auf jedem beliebigen Webserver zu speichern ohne CGIs verwenden zu müssen. Selbstverständlich können auch Datenbanken benutzt werden; posteo.de macht das zum Beispiel so. Der Hash wird nicht in Hex-Format dargestellt, damit man ihn nicht mit einem Fingerprint verwechselt. z-Base-32 ist das beste Codierungsverfahren auf einem 32 Bit Zeichensatz; es gibt hier genau eine Variante und diese ist optimiert um Verwechslungen zu minimieren. Base-64 geht nicht, da es nicht für einen Dateinamen verwendet werden kann (wg. Gross-/Kleinschreibung auf Windows und dem Slash). ** Muss ich dem Mailprovider vertrauen? Ja und Nein. Das Verfahren ist lediglich dazu gedacht, zu einer Mailadresse erstmalig den Schlüssel zu finden. Sobald der Schlüssel bekannt ist, wird ein lokales Verfahren (TOFU) sicherstellen, daß ein geänderter Schlüssel entdeckt werden kann. Über die Zeit bildet sich so ein Vetrauensverhältniss zu der Kombination von Mailadresse und Schlüssel. ** Kann ich das Web-of-Trust weiter verwenden? Ja. Die Voreinstellung von GnuPG wird "tofu+pgp" sein. Auf diese Weise kann ein vorhandenes Web-of-Trust weiter verwendet werden. Ferner erlaubt es auch individuell bestätigte Schlüssel (Fingerprint auf Vistitenkarte) für höhere Sicherheitsanforderungen. ** Große Provider werden das nicht anbieten Das kann schon sein; wir können nur einen Vorschlag machen und hoffen. Wichtig war es uns, ein einfaches Verfahren zu erstellen, das jeder Betreiber eines Web- oder Mailservers aufbauen kann. Die wesentliche Arbeit ist nicht das Schreiben von Code, sondern Provider zu überzeugen dieses Feature Ihren Kunden bereitzustellen. ** Ist das Verfahren schon ausgereift? Nein. Ich habe noch eine Reihe von Änderungen in Planung. Das grundlegende Verfahren und die Schnittstelle zu den bereitgestellten Tools wird sich aber voraussichtlich nicht mehr ändern. Bespielsweise wird die Anforderung an einen bestimmten MIME Content-Type gelockert werden. Shalom-Salam, Werner -- Die Gedanken sind frei. Ausnahmen regelt ein Bundesgesetz. -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : nicht verfügbar Dateityp : application/pgp-signature Dateigröße : 162 bytes Beschreibung: nicht verfügbar URL : From bernhard at intevation.de Wed Sep 14 10:47:57 2016 From: bernhard at intevation.de (Bernhard Reiter) Date: Wed, 14 Sep 2016 10:47:57 +0200 Subject: Anwerkungen zum Web Key Service In-Reply-To: <87zinep9x3.fsf@wheatstone.g10code.de> References: <87zinep9x3.fsf@wheatstone.g10code.de> Message-ID: <201609141048.01243.bernhard@intevation.de> Am Sonntag 11 September 2016 20:29:28 schrieb Werner Koch: > Das Web Key Directory wurde bereits vor einiger Zeit auf den englischen > GnuPG Listen diskutiert. Ich möchte hier ein paar Antworten auf > häufige Fragen aus den letzten Tagen geben: https://wiki.gnupg.org/WKD verlinkt diesen und andere Beiträge. -- www.intevation.de/~bernhard   +49 541 33 508 3-3 Intevation GmbH, Osnabrück, DE; Amtsgericht Osnabrück, HRB 18998 Geschäftsführer Frank Koormann, Bernhard Reiter, Dr. Jan-Oliver Wagner -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 473 bytes Beschreibung: This is a digitally signed message part. URL :