Moin,
* Christoph Maurer
auf einer Mailingliste macht es keinen Sinn, die Mails zu signieren, hier werden keine vertraulichen Informationen ausgetauscht, d.h. Sicherheit der Mailkommunikation ist nicht notwendig.
Die Mails sind signiert, nicht verschlüsselt.
Zweitens, das Du Deine Mail signierst, sagt allein noch gar nichts. Selbst wenn ich wissen wollte, daß wirklich Du, Marcus Franke, die Mail abgeschickt hat, so reicht dazu Deine Signatur nicht. Dein Schlüssel müßte auf einem öffentlichen Keyserver liegen
Stimmt.
und von einer für mich absolut vertrauenswürdigen Person signiert sein.
Das muß nicht sein. Ich traue zB. Schlüsseln, die von der c't unterschrieben sind.
Wenn ich Deinen Schlüssel hätte, der aber nicht signiert wäre, müßte ich, um Dir vertrauen zu können, Deinen Fingerprint überprüfen, das heißt, wir telefonieren heute abend, prüfen die Fingerprints, dann weiß ich für die Zukunft, daß Du die Mails, bei denen Du als Absender erscheinst, auch wirklich schreibst.
Du kannst den Schlüssel auch ohne weitere Authentifizierung lokal unterschreiben. Dann würdest Du sofort mitbekommen, wenn jemand eine Mail mit diesem Absender fälscht.
=> PGP/GPG ist was für den privaten Mailverkehr bzw. bei der Kommunikation zwischen Unternehmen (obwohl da wohl eher S/MIME eingesetzt wird) nicht aber für Mailinglisten.
Würden mehr Leute in MLs GPG einsetzen, wäre es vermutlich weiter verbreitet und man könnte auf S/MIME verzichten. Das verursacht noch mehr Traffic. Thorsten -- If I have seen further, it is by standing on the shoulders of giants. - Sir Isaac Newton