Am Sonntag, 7. Oktober 2012, 13:09:14 schrieb Andreas Meyer:
aha, danke! :-) pgp-keyserver.de ist mittlerweile wohl kostenpflichtig geworden. Der zweite Aufruf im Browser sagt, Website nicht verfügbar. gpg-keyserver.de (nicht ganz pgp ;-) ) ist nicht kostenpflichtig, "Payment required" ist ein HTTP-Fehlercode. Ich vermute einfach das die Domain nicht mehr weiter gepflegt/bezahlt wird und der Registrar die abgeschaltet hat.
Wenn kgpg denn auf der openSUSE 12.2 funktionieren würde. Aber die bash tut's ja auch. Ich nutze noch openSUSE 12.1, was funktioniert denn mit kgpg nicht? Wenn du Kgpg startest müsste in der Tastleiste unten rechts ein kleines goldenes Schloss finden (evtl. auf den Pfeil nach oben ^ klicken). Die Fehlermeldung aus der ersten Mail ist u.U. garnicht wirklich von Belang für das funktionieren von kgpg.
Ok, ich habe meinen neuen key mal auf keys.gnupg.net hochgeladen. Den alten hätte ich gerne gelöscht, weis aber nicht wie ich das anstellen soll. Prinzipiell (leider) garnicht, was einmal hochgeladen wurde bleibt hängen. Um mir etwas Tipparbeit zu sparen verweise ich mal auf, dort werden nochmal kurz die Hintergründe und mögliche Behelfsmaßnahmen erklärt [0]
ja ok. Der Knackpunkt an der Sache ist ja immer die Echtheit des öffentlichen Schlüssels. Ich dachte immer, eigentlich käme für den Austausch ja nur die persönliche Übergabe in Frage, weil alles andere manipulierbar ist und somit maninthemiddle Angriffe ermöglicht. Der telefonsiche Vergleich des fingerprints und weiterer Merkmale schließt dieses Risiko aber offenbar aus. Von der technischen Seite aus richtig: Durch die eingesetzten kryptographischen Verfahren sind diese (sehr) sicher zuordbar.
Das eigentliche "Restproblem" ist halt das Vertrauen, also die Frage ob die Person mit der du kommunizieren willst auch tatsächlich die ist die sie vorgibt zu sein (wobei es bei diesem 'vertrauen' _nicht_ darum geht, ob du dieser Person deine Kinder anvertrauen würdest). Gute Bekannte erkennst du sicherlich an der Stimme am Telefon und hast wahrscheinlich auch keine Zweifel an derren Identität. Wenn du dir jetzt aber meinen Schlüssel von einem Keyserver runterlädst und mich anrufst, dann können wir zwar die technischen Daten des Schlüssels vergleichen und prüfen ob der "echt" ist, aber ob ich wirklich Michael Skiba bin weißt du nicht. Um diesen berechtigten Zweifel zu minimieren müssten wir uns tatsächlich persönlich treffen und anhand von offiziellen Dokumenten (Pass, Führerschein, Perso) unsere Identität beweisen. Weil das treffen je nach Distanz ein bisschen schwierig sein kann, gibt es das sog. Web-Of-Trust. Ob man sich da einbringt und Schlüssel mit Leuten austauscht, mit denen man sonst nicht viel zu tun hat oder die Schlüssel nur in seinem Bekanntenkreis benutzt bleibt jedem selbst überlassen. [0] http://www.rossde.com/PGP/pgp_keyserv.html#noremove -- Grüße, Michael