Re: GnuPG: Best practise Alter Key / Neuer Key

Autor: Martin Marcher <martin_at_marcher.name>
Datum: Thu, 26 Sep 2013 22:43:47 +0200
Hi,

On 2013-09-24, at 00:35, Raphael Eiselstein <rabe_at_uugrn.org> wrote:
> Die Frage ist halt, ob die Keyserver so ein "alter key" -> "neuer key"
> irgendwie maschinenlesbar verwalten können, damit User die meinen alten
> Key kennen beim Update mehr oder weniger eindringlich darauf hingewiesen
> werden, dass der alte Key nicht nur zurückgezogen ist sondern dass ich
> stattdessen einen anderen, neuen Key verwende. 

Ich wurde noch ein "nrtsign" empfehlen (evtl. in beide Richtungen). Das sollte man mMn maximal vorsichtig vergeben und trifft damit eine gewisse Aussage ueber die Qualitaet der Signatur. Der Rest ist Vertrauenssache am anderen Ende des Etherwebs.

---snip ggp(1)---
nrsign Same as "sign" but the signature is marked as non-revocable and can therefore never be revoked.

tsign  Make a trust signature. This is a signature that combines the notions of certification (like a regular signature), and  trust  (like the "trust" command). It is generally only useful in distinct communities or groups.

Note that "l" (for local / non-exportable), "nr" (for non-revocable, and "t" (for trust) may be freely mixed and prefixed to "sign" to create a signature of any type desired.
---snap---

> 
> Wie gesagt: maschinenlesbar, standardisiert, automatisierbar.

Eher nein.

* http://www.gnupg.de/gph/en/manual.html#AEN533
** "The power of GnuPG is that it is flexible enough to adapt to your security needs whatever they may be"
** standardisiert faellt damit vollstaendig raus :(
* http://www.gnupg.de/gph/en/manual.html#AEN574

IMHO sagt das im Grunde IMHO aus:

* Du kannst eh nicht bestimmen/voraussehen wie die Menschen ihre Keyrings behandeln.
* Das UI zu GPG ist nicht gerade brauchbar (und die meisten GUIs dazu sind aus meinem subjektiven empfinden auch nicht besser)
* Richtiges bedienen ist selten
* Machbar waere es, aber es hat noch niemand getan (AFAIK!)

LG,
Martin

PS: Ich kenne eine Leute die einen Key ohne expiration date niemals signieren werden. Das Expiration laesst sich nachtraeglich auch leicht ändern, sogar nach dem Ablauf…


-- 
UUGRN e.V. http://www.uugrn.org/
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/
Empfangen am 26.09.2013

Dieses Archiv wurde generiert von hypermail 2.2.0 : 26.09.2013 CEST