Am Montag, 10. Juni 2002 22:26:22 schrieb Manfred Tremmel:
Wenn Key xyz also ne Signatur (sprich Bestätigung der Echtheit) von einer vertrauenswürdigen Stelle hat, hat das durchaus was auszusagen. Natürlich bringt es mir nichts, wenn (frei Erfunden) Heinz Dietrich auch Hamburg, den ich nie selbst getroffen habe, mir seinen Key auf der Homepage oder per Mail anbietet, wenn der von seiner kleinen Schwester und einem Freund unterschrieben ist, die ich wiederum beide nicht kenne. Wenn allerdings ein zertifiziertes TrustCenter den Segen drunterklatscht, oder eine Institution wie der Heise-Verlag (Heise Crypto-Kampagne), dann hat das für mich einen Echtheitswert.
Aber nur, wenn du den Schlüssel, mit dem Heise unterzeichnet hat einwandfrei verifizieren kannst. Und das geht nur über den Fingerabdruck des Schlüssels. Also doch mal bei Heinz Heise anrufen. Mich hält ja nichts davon ab, ein paar Schlüssel zu generieren, deren Eigentümer ich als Verisign, RSA Data Security oder Thawte ausgebe. Allein dass der Schlüssel signiert ist, sagt _nichts_ aus. Martin -- when in danger or in doubt, run in circles, scream and shout! pgp-key: via wwwkeys.de.pgp.net, key id is 0x21eec9b0