Am Montag, 10. Juni 2002 17:49 schrieb Bernd Brodesser:
* Michael Schulz schrieb am 10.Jun.2002:
auf der Homepage, auf der CD/DVD.
CD/DVD ist ein Argument. Homepage aber nicht. Wenn es nicht zuverlässig ist, daß das Heruntergeladene tatsächlich von SuSE ist, dann ist es auch nicht zuverlässig, daß der Schlüssel auf der Homepage stimmt.
Auch die Homepage ist ein Argument, immerhin werden öffentliche Schlüssel in aller Regel signiert (bin jetzt zu Faul, nachzuschaun, ob der von SuSE auch, wer will 'gpg --list-sigs'). Wenn Key xyz also ne Signatur (sprich Bestätigung der Echtheit) von einer vertrauenswürdigen Stelle hat, hat das durchaus was auszusagen. Natürlich bringt es mir nichts, wenn (frei Erfunden) Heinz Dietrich auch Hamburg, den ich nie selbst getroffen habe, mir seinen Key auf der Homepage oder per Mail anbietet, wenn der von seiner kleinen Schwester und einem Freund unterschrieben ist, die ich wiederum beide nicht kenne. Wenn allerdings ein zertifiziertes TrustCenter den Segen drunterklatscht, oder eine Institution wie der Heise-Verlag (Heise Crypto-Kampagne), dann hat das für mich einen Echtheitswert. -- Machs gut | http://www.iiv.de/schwinde/buerger/tremmel/ Manfred | http://www.knightsoft-net.de