Re: keysigning party -- idee

From: aaron (aaron@lo-res.org)
Date: Die Jun 04 2002 - 11:26:31 CEST


On Tuesday 04 June 2002 10:46, Sebastian C. B. Sauer wrote:
> On Tue, Jun 04, 2002 at 12:41:46AM +0200, Peter J. Holzer wrote:
> > On 2002-06-04 00:05:16 +0200, aaron wrote:
> > > nicht nur das. ich lasse mir (wenn moeglich) meinen key von niemanden
>
> ^^^^^^^^^^^^^
>
> > > unterschreiben (auszer "local sign" - non exportable - _das_ lasse ich
> > > aeuszerst gerne zu)
>
> IMO hast du als keyowner kaum moeglichkeiten eine sig von vornherein
> abzulehenen. (wie verhinderst du das dein key nicht auf einem keyserver
> landet? und wie verheinderst du das dein key eine sig bekommt? (klar du
> kannst die wieder rausloeschen, aber von verherein verhindere kannst du
> sie AFAIK nicht)
>
genau das stoert mich: mein netzwerk von leuten, die ich gut genug kenne (oder
auch nur fluechtig bei einer keysigning party kennengelernt habe, wie auch
immer - ich war zum selben zeitpkt in der selben stadt im selben lokal)
wird mit keyservern komplett offen gelegt.
_Jetzt_ noch kein so groszes problem, weil es sind eh nur die nerds & cryoptos
die das interessiert. Je mehr DAUs sich aber dafuer interessieren bzw. man
trainings dafuer macht, desto lueckenloser wird mein Bekanntenkreis
veroeffentlicht. (auszer bei jeder zu jedem sign - weltweit hehe)

> > Wie bitte? Wenn ich in meinem Keyring Deinen Key lokal signiere, dann
> > bekommst Du das nie mit, und kannst es schon gar nicht verhindern. Wie
> > kannst Du das "äußerst gerne zulassen"?
>
gemeint war: sehe ich gerne, weil es im sinne der mathematik von publ key
encryption ist. Auszerdem verraet es mich nicht (sofort). ein gpg --lsign
wird ja nicht exportiert.

> ACK
NACK :)))
>
> > > weil dadurch oeffentlich klar ist, wen ich kenne.
>
> IMO, wenn du's geschickt machst, kannst du dich sogar dadurch besser
> "tarnen". d.h. keysigning ist ja nicht als freund'rl-wirtschaft gedacht
> (wozu auch, wie wissen eh ob der key von dir ist od. ein fake) sonderen
> es gilt prinztip "jede/r mir jede{m|r}".
>
ja sobald es wirklich so ist (in der zwischenzeit nicht) kann ich der idee
wieder was abgewinnen. im moment bilden sich nur cluster von bekanntschaften
gut sichtbar heraus.

> > Für eine sehr freie Definition von "kennen". Ich habe mich einmal im
> > gleichen Raum mit den Leuten aufgehalten und ihren Ausweis gesehen. Mehr
> > kannst Du aus meinen Signaturen an anderer Leute Keys nicht schließen.

ja, man koennte meinen kritkpkt auch so auffassen: web of trust ist mir
persoenlich (im jetzigen stadium) zu oeffentlich und tut zu wenig zur
Anonymisiserung der leute.

Anders gesagt: ich bin gegen ausweise, weil eigentlich willst du ja nur mit
einer signatur bescheinigen, dasz ich der _kommunikations_partner bin, der
wirklich hinter dem publ. key soundso steht (aber nicht umbedingt die person)
nochmals anders gesagt: wie willst du einen group pub key (zB
sysadmin@lo-res.org) mit ausweisueberpruefung signen?

> <paranoia mode=on>
> IMO wenn geschickt gemacht ist nicht einmal das festellbar.
> < />
>
> > Ich entsinne mich, daß auf der Mailing-Liste einer aufgetaucht ist, der
> > einen anonymen Key signiert haben wollte. Welchen Zweck das haben
> > sollte, konnte er aber glaube ich niemandem klarmachen.

naja, wenn das schema anonymitaet zusaetzlich gewaehrleisten koennte, waers
doch besser oder?

naja, wenn wer lust hat kann man das ja in ein paper "current open research
problems with public key encryption for the masses" zuammenfassen und bei
SIAM oder ae. einreichen :)))

aber im sinne von cm werde ich jetzt nicht mehr (noch mal) ueber das thema
diskutieren (auszer in priv. mails)

ciao,
aaron.

[ Um sich von dieser Liste abzumelden, sende bitte "unsubscribe" ]
[ an <linuxevent-request@mlist.austria.eu.net>. ]



Dieses Archiv wurde generiert von hypermail 2.1.3 : Son Feb 02 2003 - 17:08:40 CET