Re: keysigning party -- idee

From: Peter J. Holzer (hjp@wsr.ac.at)
Date: Die Jun 04 2002 - 00:25:08 CEST


On 2002-06-03 23:32:29 +0200, Erich M wrote:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> On Mon, Jun 03, 2002 at 07:44:41PM +0200, Karin Kosina wrote:
>
> > > Then, everyone only needs to show his credentials (passport,
> > > driver's license, visa photo card) and read his fingerprint out
> > > loud. Everyone else just checks the fingerprint against his
> > > copy of the sheet
> > >
> > >
> > > ich find das ziemlich schlau
> Pass herzeigen müssen ist "ziemlich schlau"? Warum dann die
> Fingerprints nur rezitieren, man könnte auch echte Fingerprints dazu
> anfertigen und irgendwie mit den Signatures matchen.

Das OpenPGP-Fileformat erlaubt m.W. auch Bilder. Du kannst ja Deinen
Fingerabdruck reinpacken, wenn es Dir Spaß macht.

Im Ernst: Der Sinn einer Key-Signing-Party ist ja, Public-Keys und
Personen einander zuordnen zu können. Eine KSP ohne Identitätsnachweis
ist einigermaßen sinnfrei.

Ob ein Pass dafür die sinnvollste Methode ist, darüber kann man
streiten. Den meisten Leuten, die irgendwelche Mails von mir lesen, ist
höchstwahrscheinlich völlig egal, ob in meinem Pass wirklich "Peter
Holzer" steht, wichtiger ist, daß ich eben der "Peter Holzer" bin, den
sie schon kennen und nicht ein anderer (ich bin ja nicht der einzige).

Man könnte natürlich auch eine KSP organisieren, wo mehrere Leute
bezeugen, daß ich der Typ mit dem Bart bin, der bei den LUGA-Treffen
immer als einer der Letzten geht. Aber das können sie eigentlich auch,
indem sie auf meinem Key die User-Id "der Typ mit dem ..." signieren,
dazu müssen weder sie noch ich anwesend sein.

> Danach alles mit Klarnamen am besten ins Netz, damit alle wissen, was
> für einen Super Keyring die Key Signing Party ergeben hat mit lauter
> nachweislich vorhanden gewesenen echten Personen.

Das haben wir uns immerhin bei der letzten Keysigning-Party gespart. Du
weißt zwar, welche Keys angemeldet wurden, aber nicht wer dort war.

Nicht, daß sich diese Information nicht mit relativ hoher Genauigkeit
aus dem Keyring der Anmeldungen und Keys auf Public Keyservern
rekonstruieren ließe.

> nur so, als "modest proposal" zu betrachten

Danke für den Denkanstoß.

> -----BEGIN PGP SIGNATURE-----
> Version: PGP 6.5.8 -- QDPGP 2.61c
> Comment: ftp://ftp.quintessenz.at/pub/me/public_key/

Den Key dort mag GPG 1.0.6 irgendwie nicht importieren.

        hp

-- 
   _  | Peter J. Holzer      | Aeltere Sources (also solche, die schon
|_|_) | Sysadmin WSR / LUGA  | aelter als 12 Stunden sind) sollte man
| |   | hjp@wsr.ac.at        | bei Linux generell nicht einsetzen -
__/   | http://www.hjp.at/   | Real Time Linux??    -- Gerhard Schneider


[ Um sich von dieser Liste abzumelden, sende bitte "unsubscribe" ] [ an <linuxevent-request@mlist.austria.eu.net>. ]



Dieses Archiv wurde generiert von hypermail 2.1.3 : Son Feb 02 2003 - 17:08:40 CET