User‐Ids ohne E‐Mail‐Adressen (was: Re: Frage zu User‐Id und Notations des Signierenden in der Fremdsignatur eines signierten User‐Ids)

[Dirk Gottschalk]

Am Dienstag, den 15.05.2018, 15:39 +0200 schrieb Friedhelm Waitzmann:
> Dirk Gottschalk:
> 
> > In deinem Falle bei dieser mail fehlt zum Beispiel eine zur Email-
> > Adresse passende UID, weshalb Evolution "Alarm schlägt".
> 
> Dass die fehlt (*), ist volle Absicht.  Die Leute sollten sich
> abgewöhnen, Zertifikate anhand von User‐Ids (oder darin
> enthaltenen E‐Mail‐Adressen) auszuwählen, weil sie ohne
> Fremdsignaturen wertlos sind.  Die wahre Personenkennung an diesem
> Schlüssel sind die Selbstsignaturen an User‐Ids und primary und
> Sub‐Schlüsseln.  Denn nur darin unterscheide ich mich von allen
> Anderen:  Ich bin der Einzige, der sie erstellen kann.  Wer ich
> allerdings bin, muss offen bleiben.
> 
> [...snip...]

Prinzipiell hast du natürlich Recht. Allerdings muss zur Prüfung ja
dein Key dem Empfänger vorliegen, spätestens dann fällt die Abweichung
des Fingerprints usw. auf. Dann muss schon jemand einen gefälschten Key
importiert haben. Ein Key wird erst trusted, wenn der Empfänger ihn als
solches einordnet, oder entsprechende Signaturen vertrauter
Fremdsignierer vorhanden sind.

Email-Clients validieren die Absender-Adresse auch gegen die UIDs,
weshalb in diesem Falle immer eine Warnung geworfen wird.

Nichtsdestotrotz ist dein Standpunkt nachvollziehbar und ein
interessantes Szenario.

Danke für deine eingehende Ausführung.

Gruß,
Dirk


-- 
Dirk Gottschalk
Paulusstrasse 6-8
52064 Aachen
Tel.: +49 1573 1152350
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 833 bytes
Beschreibung: This is a digitally signed message part
URL         : <https://lists.gnupg.org/pipermail/gnupg-de/attachments/20180515/389d6ec9/attachment.sig>