martin.borchert@gmx.de schrieb:
Am Freitag, 13. Juni 2003 13:28 schrieb Konrad Neitzel:
Einer Signatur zu vertrauen ist unkritisch. So vertraue ich einer Signatur z.B. auch, wenn ich mehrmals eine eMail bekommen habe. Bestes Beispiel ist z.B. ein Security-Mailing! Wenn Max Mustermann regelmässig Security-Hinweise per eMail versendet an eine riesen Gruppe von Leuten, dann gehe ich davon aus, dass es unter diesen auch Empfänger gibt, die dies überprüfen. Wenn es nun nie einen Aufschrei gibt, dann kann ich dieser SIgnatur vertrauen. [1]
Security by Lazyness? Jeder verlässt sich auf den Anderen? Gefährlich sowas. Aber da geht's auch nur um dein stilles Kämmerlein, da hast du wohl Recht.
Es ist eine deutliche erhöhung der Sicherheit auf meiner Seite (im Vergleich zu gar keiner Prüfung!) Und gut, dass Du es noch einmal betonst: Es geht hier wirklich nur um meine kleine Bewertung. Das ist nichts, das ich nach aussen gebe! Nach aussen geht nur eine Signierung und da gelten ganz andere Dinge, die auch in der Doku zu PGP und GPG nachlesbar sind! Ansonsten ist diese Praxis sehr gut. Solange es keine besonderen Sicherheitsrichtlinien gibt, ist es IMHO vollkommen ausreichend. Und wenn es den Debian-Leuten nicht auffällt, dass da gefälschte Mails über die Security-Liste gehen ... oder den SuSE Mitarbeitern ... Und nur in diesem Rahmen ist es natürlich anwendbar! Mr. Nobody, der mal eben eine signierte eMail über die Liste schreibt ist ja auch vollkommen uninteressant. Ich nehme ja nur Schlüssel auf, die für mich wichtig sind. Sonst habe ich meinen eigenen Keyserver und beim betrachten einer signierten Mail darf ich Kaffee trinken gehen, weil er ja mein 2GB Keyring durchgehen darf! (Ich habe die Erfahrung gemacht, dass es durchaus Geschwindigkeitseinbussen geben kann. Ich habe mal aus Spass viele viele Schlüssel gezogen weil ich die Idee mit dem Web of Trust so toll fand ... Humbug sag ich jetzt nach diesen Erfahrungen!) Mit den besten Grüßen, Konrad Neitzel -- SoftMediaTec GmbH Tel: 0172 / 689 31 45 Fax: 069 / 90 50 99 53