On Wed, 12 Jun 2002 at 00:31 (+0200), Martin Borchert wrote:
Am Dienstag, 11. Juni 2002 20:50:20 schrieb Bernd Brodesser:
* Manfred Tremmel schrieb am 10.Jun.2002:
Am Montag, 10. Juni 2002 17:49 schrieb Bernd Brodesser:
Auch die Homepage ist ein Argument, immerhin werden öffentliche Schlüssel in aller Regel signiert (bin jetzt zu Faul, nachzuschaun, ob der von SuSE auch, wer will 'gpg --list-sigs'). Wenn Key xyz also ne Signatur (sprich Bestätigung der Echtheit) von einer vertrauenswürdigen Stelle hat, hat das durchaus was auszusagen. Natürlich bringt es mir nichts, wenn (frei Erfunden) Heinz Dietrich auch Hamburg, den ich nie selbst getroffen habe, mir seinen Key auf der Homepage oder per Mail anbietet, wenn der von seiner kleinen Schwester und einem Freund unterschrieben ist, die ich wiederum beide nicht kenne. Wenn allerdings ein zertifiziertes TrustCenter den Segen drunterklatscht, oder eine Institution wie der Heise-Verlag (Heise Crypto-Kampagne), dann hat das für mich einen Echtheitswert. Ich will ja nicht nerven, aber woher weiß ich, daß das Zertifikat von Heise Echt ist? Solange ich alles nur über das Internet habe, bringt es das nicht. Und Anrufe kann man sich auch sparen, wenn man den Angerufenen nicht kennt, und somit auch nicht seine Stimme.
Da stellt sich natürlich die Frage, wie paranoid du bist.
Bei Heise erledigt sich das wohl, da - wie Bernhard geschrieben hat - der Fingerabdruck in der c't veröffentlicht wird. Aber Vorsicht. Wenn du die c't abonniert hast, hat dir vielleicht jemand ein gefälschtes Exemplar untergejubelt. Wenn du sie dir am Kiosk holst, ist die Gefahr relativ gering. Im Zweifelsfall also neu kaufen.
Wozu kaufen, Du brauchst ja nur im Kiosk den Fingerabdruck zu vergleichen. Mal ehrlich: Wenn man eine Zeitschrift abonniert, dann länger. Und wie groß wäre der Aufwand, Dir 24 Ausgaben gefälschte c'ts zu schicken. Zumal der Fälscher verdammt schnell sein muss: Die c't bekommt man, wenn man sie abonniert hat, am Samstag; am Kiosk erst am Montag. D. h. der Fälscher müsste bei Heise arbeiten und gleichzeitig sehr gute Beziehungen zur Post haben. => irrelevant In dem Zusammenhang gilt der Satz "Ein System ist so sicher, wie der Aufwand, es zu knacken in keinem Verhältnis dazu steht, was man davon hat." Ein 100 % sicheres System gibt es schlicht nicht. Gruß, Bernhard -- At least Microsoft offers updates to keep your selection of bugs fresh. -- Alan Shutko, hating Corel even more, in asr