Re: GnuPG: Identitaet ohne persoenlichen Kontakt pruefen (lassen)?

Autor: Raphael H. Becker (Raphael.Becker_at_gmx.de)
Datum: 07. Jan 2004


On Tue, Jan 06, 2004 at 01:23:06PM +0100, Thimo Neubauer wrote:
> On Tue, Jan 06, 2004 at 09:42:13AM +0100, Raphael H. Becker wrote:
> > Wie würdet Ihr das machen? Man bräuchte zu mindest EINEN
> > vertrauenswürdigen Dritten, der den Fingerprint mit der Identität prüft.
>
> Ich würde versuchen auf http://www.biglumber.com/ einen Dritten in der
> selben Stadt zu finden. Zumindest wenn die Zielperson an der Uni ist
> sollte sich da ja etwas einrichten lassen. Mit etwas Glück kannst Du
> über ein paar Ecken so einen Trust-Path bekommen, auf jeden Fall wird
> das Web of Trust dichter, was sicher auch nicht verkehrt ist.

Es besteht in der Fragestellung per Definition kein Digitaler
Vertrauenspfad. Mir geht es um einen guten Ersatz fuer das, was man auf
KeySigning-Parties fuer gewöhnlich tut: Person, Ausweis und Fingerprint
vergleichen bzw in Verbindung setzen und validieren.
 
> Kennst Du die Zielperson persönlich? Besonders bei guten Freunden
> finde ich es ausreichend anzurufen, die Stimme zu erkennen, über
> privaten Krempel (shared secret :) zu reden und dann die Fingerprints
> durchzusagen.

Gute Freunde oder persönliche Bekannte kann ich zB an der Stimme
validieren. Oder halt durch wie Du sagtest "shared secrets". Im Fall
geht es um eine Person, von der ich nur wenige Daten habe und die nicht
persönlich validiert habe.
 
> Ansonsten fällt mir als einziger vertrauenswürdiger Dritter die c't
> Kryptokampagne ein, aber vermutlich willst Du nicht bis zur nächsten
> cebit warten ;-)

Na dazu muss derjenige, dem ich was schicken will, auch a) davon wissen
und b) dort erscheinen. Das entspricht etwa dem Aufwand, ein
persönliches Treffen zu vereinbaren. Ich bin von Natur aus ein fauler
Mensch und will das ohne großen Aufwand und mit Minimalem Kostenaufwand
(zB Porto, Telefongeburen, ... ) bewerkstelligen können.

Dabei zB auf bereits bestehende Vertrauensbeziehungen aufbauen, zB
Person <--> Kontoverbindung oder Person <--> Telefonanschluss, welches
ich ggf auch als "Validierung" anerkennen wuerde ... bis zu einem
gewissen Grad. Muss ich drüber nachdenken, wo das Systen verwundbar
wäre.

Siehe auch die andere Antwort von vor ein paar Minuten.

Gruß

-- 
Raphael Becker                                     http://rhb.uugrn.org/
                            http://schnitzelmitkartoffelsalat.uugrn.org/
.........|.........|.........|.........|.........|.........|.........|..



Dieses Archiv wurde generiert von hypermail 2.1.7 : 07. Jan 2004 CET