Am Dienstag, 11. Juni 2002 20:50:20 schrieb Bernd Brodesser:
* Manfred Tremmel schrieb am 10.Jun.2002:
Am Montag, 10. Juni 2002 17:49 schrieb Bernd Brodesser:
Auch die Homepage ist ein Argument, immerhin werden öffentliche Schlüssel in aller Regel signiert (bin jetzt zu Faul, nachzuschaun, ob der von SuSE auch, wer will 'gpg --list-sigs'). Wenn Key xyz also ne Signatur (sprich Bestätigung der Echtheit) von einer vertrauenswürdigen Stelle hat, hat das durchaus was auszusagen. Natürlich bringt es mir nichts, wenn (frei Erfunden) Heinz Dietrich auch Hamburg, den ich nie selbst getroffen habe, mir seinen Key auf der Homepage oder per Mail anbietet, wenn der von seiner kleinen Schwester und einem Freund unterschrieben ist, die ich wiederum beide nicht kenne. Wenn allerdings ein zertifiziertes TrustCenter den Segen drunterklatscht, oder eine Institution wie der Heise-Verlag (Heise Crypto-Kampagne), dann hat das für mich einen Echtheitswert. Ich will ja nicht nerven, aber woher weiß ich, daß das Zertifikat von Heise Echt ist? Solange ich alles nur über das Internet habe, bringt es das nicht. Und Anrufe kann man sich auch sparen, wenn man den Angerufenen nicht kennt, und somit auch nicht seine Stimme.
Da stellt sich natürlich die Frage, wie paranoid du bist. Bei Heise erledigt sich das wohl, da - wie Bernhard geschrieben hat - der Fingerabdruck in der c't veröffentlicht wird. Aber Vorsicht. Wenn du die c't abonniert hast, hat dir vielleicht jemand ein gefälschtes Exemplar untergejubelt. Wenn du sie dir am Kiosk holst, ist die Gefahr relativ gering. Im Zweifelsfall also neu kaufen. Bei SuSE ist der key wohl irgendwo auf den CDs drauf, sollte sich also besorgen lassen. CDs zu fälschen ist auch kein so leichtes Unterfangen. Und was das Anrufen angeht: Wenn du im Telefonbuch die Nummer des Unterzeichners suchst und diesen dann anrufst, statt des Unterzeichners aber den Angreifer dran hast, hat der entweder das Telefonbuch gefälscht und in Umlauf gebracht, die Telefonleitung umgelegt oder der Unterzeichner existiert nicht mehr. In allen drei Fällen hast du glaube ich ohnehin erhebliche Probleme, sodass ein gefälschtes rpm den Kohl auch nicht mehr fett macht. ;) Martin -- when in danger or in doubt, run in circles, scream and shout! pgp-key: via wwwkeys.de.pgp.net, key id is 0x21eec9b0