[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: GnuPG: Best practise Alter Key / Neuer Key

Subject: Re: GnuPG: Best practise Alter Key / Neuer Key
From: Raphael Eiselstein <rabe@xxxxxxxxx>
Date: Mon, 16 Sep 2013 12:10:48 +0200
To: uugrn@xxxxxxxxxxxxxxx
On Mon, Sep 16, 2013 at 07:49:51AM +0200, Werner Holtfreter wrote:
> Am Montag, den 16.09.2013, 02:40 +0200 schrieb Raphael Eiselstein:
> 
> > Ich gehe nicht davon aus, dass irgendwer aufgrund dieser Info meinen
> > neuen Key signieren wird. Die bevorzugte Methode duerfte auch hier wieder
> > das "klassische Auge-in-Auge"-Verfahren mit analoger offline-Pruefung von
> > Ausweisdokumenten mit Lichtbild sein.
> 
> Letzteres ist der sichere Weg. Aber wenn man die Mitteilung verschickt,
> bevor der alte Schluessel unsicher wurde, sollte eine solche Mitteilung
> die Neusignierung ausreichend rechtfertigen.

Die Signierung meines neuen Keys ist ja jedem selbst ueberlassen. Der
reinen Lehre nach sollte man das nur nach erneuter Ueberpruefung (analog,
offline) vornehmen. Ich selbst halte es jedenfalls so.

Mir geht es vor allem aber darum, was genau ich tun muss um folgendes zu
erreichen:

* alten Schluessel als "veraltet" markieren, sodass er bei der Suche nach
  meinem Namen nicht mehr verwendet wird ohne ihn zu "loeschen".
  Nachtraeglich mit Verfallsdatum versehen? Der Key ist ja weiter gueltig
  fuer alles, was in den letzten 10 Jahren damit signiert wurde!

* Verfahrensweise, um Menschen ueber den Umstand zu informieren, die
  aufgrund einer persoenlichen Ueberpruefung meiner Person mir im Laufe 
  der letzten 10 Jahre meinen PGP-Key signiert haben, dass sie ggf. 
  meinen neuen Schluessel suchen und importieren sollten. 

Denkbar (aber genau das weiss ich eben nicht) waere auch ein Verfahren,
dass ich an meinen alten Key einen neuen Sub-Key dranhaenge und nur noch
diesen Verwende. Aber auch dann muesste ich irgendwie oeffentlich
mitteilen, dass der alte Key veraltet ist. 

Deswegen meine Frage nach "Best practise", wie man auf geregeltem Weg 
diese Aenderung ausfuehrt.
 
> So macht es der Fiskus:
(Zertifikat verlaengern)

Das ist halt nicht vergleichbar mit einem WoT: Bei einem Web-of-Trust
gibt es so gesehen keine Hierachie. 

Wenn das Finanzamt dir ein Zertifikat ausstellt, dann kann es auch fuer 
sich selbst Regeln definieren, nach dem es Zertifikate verlaengert. Es 
ist sicher recht pragmatisch, wenn man Zertifikate verlaengern lassen 
kann solange sie noch gueltig sind.

Die Zertifikate vom Finanzamt sind sozusagen ein Web-of-Trust, bei dem
ausschliesslich das Finanzamt seinen Steuerzahlern digital vertraut,
Steuerzahler untereinander stehen hingegen nicht in irgendeiner
Beziehung zueinander. 

Denkbar waere vielleicht, dass ich Deinem Elster-Zertifikat vertraue,
weil ich dem Finanzamt als "CA" vertraue. Keine Ahnung, ob das technisch
ueberhaupt moeglich ist. Andere Baustelle eben.

Gruss
Raphael

-- 
Raphael Eiselstein <rabe@xxxxxxxxx>               http://rabe.uugrn.org/
xmpp:freibyter@xxxxxx  | https://www.xing.com/profile/Raphael_Eiselstein   
PGP (alt):            E7B2 1D66 3AF2 EDC7 9828  6D7A 9CDA 3E7B 10CA 9F2D
PGP (neu):            4E63 5307 6F6A 036D 518D  3C4F 75EE EA14 F625 DB4E
.........|.........|.........|.........|.........|.........|.........|..




-- 
UUGRN e.V. http://www.uugrn.org/
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/