Re: GnuPG: Best practise Alter Key / Neuer Key

Autor: Raphael Eiselstein <rabe_at_uugrn.org>
Datum: Mon, 16 Sep 2013 12:10:48 +0200
On Mon, Sep 16, 2013 at 07:49:51AM +0200, Werner Holtfreter wrote:
> Am Montag, den 16.09.2013, 02:40 +0200 schrieb Raphael Eiselstein:
> 
> > Ich gehe nicht davon aus, dass irgendwer aufgrund dieser Info meinen
> > neuen Key signieren wird. Die bevorzugte Methode dürfte auch hier wieder
> > das "klassische Auge-in-Auge"-Verfahren mit analoger offline-Prüfung von
> > Ausweisdokumenten mit Lichtbild sein.
> 
> Letzteres ist der sichere Weg. Aber wenn man die Mitteilung verschickt,
> bevor der alte Schlüssel unsicher wurde, sollte eine solche Mitteilung
> die Neusignierung ausreichend rechtfertigen.

Die Signierung meines neuen Keys ist ja jedem selbst überlassen. Der
reinen Lehre nach sollte man das nur nach erneuter Überprüfung (analog,
offline) vornehmen. Ich selbst halte es jedenfalls so.

Mir geht es vor allem aber darum, was genau ich tun muss um folgendes zu
erreichen:

* alten Schlüssel als "veraltet" markieren, sodass er bei der Suche nach
  meinem Namen nicht mehr verwendet wird ohne ihn zu "löschen".
  Nachträglich mit Verfallsdatum versehen? Der Key ist ja weiter gültig
  für alles, was in den letzten 10 Jahren damit signiert wurde!

* Verfahrensweise, um Menschen über den Umstand zu informieren, die
  aufgrund einer persönlichen Überprüfung meiner Person mir im Laufe 
  der letzten 10 Jahre meinen PGP-Key signiert haben, dass sie ggf. 
  meinen neuen Schlüssel suchen und importieren sollten. 

Denkbar (aber genau das weiss ich eben nicht) wäre auch ein Verfahren,
dass ich an meinen alten Key einen neuen Sub-Key dranhänge und nur noch
diesen Verwende. Aber auch dann müsste ich irgendwie öffentlich
mitteilen, dass der alte Key veraltet ist. 

Deswegen meine Frage nach "Best practise", wie man auf geregeltem Weg 
diese Änderung ausführt.
 
> So macht es der Fiskus:
(Zertifikat verlängern)

Das ist halt nicht vergleichbar mit einem WoT: Bei einem Web-of-Trust
gibt es so gesehen keine Hierachie. 

Wenn das Finanzamt dir ein Zertifikat ausstellt, dann kann es auch für 
sich selbst Regeln definieren, nach dem es Zertifikate verlängert. Es 
ist sicher recht pragmatisch, wenn man Zertifikate verlängern lassen 
kann solange sie noch gültig sind.

Die Zertifikate vom Finanzamt sind sozusagen ein Web-of-Trust, bei dem
ausschließlich das Finanzamt seinen Steuerzahlern digital vertraut,
Steuerzahler untereinander stehen hingegen nicht in irgendeiner
Beziehung zueinander. 

Denkbar wäre vielleicht, dass ich Deinem Elster-Zertifikat vertraue,
weil ich dem Finanzamt als "CA" vertraue. Keine Ahnung, ob das technisch
überhaupt möglich ist. Andere Baustelle eben.

Gruß
Raphael

-- 
Raphael Eiselstein <rabe@uugrn.org>               http://rabe.uugrn.org/
xmpp:freibyter@gmx.de  | https://www.xing.com/profile/Raphael_Eiselstein   
PGP (alt):            E7B2 1D66 3AF2 EDC7 9828  6D7A 9CDA 3E7B 10CA 9F2D
PGP (neu):            4E63 5307 6F6A 036D 518D  3C4F 75EE EA14 F625 DB4E
.........|.........|.........|.........|.........|.........|.........|..



-- 
UUGRN e.V. http://www.uugrn.org/
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/

Empfangen am 16.09.2013

Dieses Archiv wurde generiert von hypermail 2.2.0 : 16.09.2013 CEST