PGP Zertifikat mittels PostIdent

Roland Wolters rolandwolters at web.de
Fre Aug 22 14:37:58 CEST 2003


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Once upon a time Jan-Benedict Glaw wrote:
> >
> > > > Nun aber ist mir eingefallen, dass es ja das PostIdent verfahren der
> > > > Post gibt - - dann müsste doch folgendes möglich sein:
> > >
> > > Setzen die nicht 100%ig auf SmartCard-Sicherheit? Wenn ja, dann
> > > brauchst Du mit Deinem PGP-/GPG-Key garnicht erst anzutreten...
> >
> > Was meinst du genau?
>
> Ich will das mal noch etwas ausführen. Die Institution, die Deinen key
> signen soll, übernimmt mit diesem Schritt viele Aufgaben und
> Verpflichtungen. Sie _garantiert_ (-> Signatur-Gesetz), daß eine Signatur,
> die mittels Deines keys angelegt worden ist, nur von Dir stammen kann. Das
> ist etwas anderes, als das, was ich dadurch aussagen kann, daß ich Deinen
> key (mit meinem) signe.

Na gut, aber was ist dann, wenn man die schwächere Variante nimmt, und die 
Signatur "nur" nach den Vorgaben des Geldwäschegesetzes überprüft?
Es geht ja auch nur darum, dass jemand bestätigt: ja, dieser Mensch hat einen 
Perso vorgelegt - und statt dass das jemand an irgendeinem Stand auf einer 
Messe macht, macht das eben jemand, der bei der Post arbeitet.

Alternativ kann sich die Behörde ja noch z.B. als erweiterte Dienstleistung 
den Public Key und ein Wiederrufszertifikat zuschicken lassen, und vor allen 
Dingen eben jenes bei Bedarf der Person mit dem private Key zur Verfügung 
stellen/es veröffenttlichen.


> Ich bestätige Dir nur, daß Du einmal erfolgreich Zugriff auf Deinen key
> gehabt hast (wenn ich Dir die Signatur z.B. an Dich verschlüsselt
> zuschicke). Ich würde jedoch nichtmal eine Mark^W^Weinen Euro darauf
> geben, daß Du fähig bist, dafür zu sorgen, daß dieses Key _nie_ für eine
> andere Person benutzbar ist. Versteh' das nicht falsch - selbst dem
> paranoidesten Menschen könnte jemand das Password durch Manipulationen
> an der Tastatur o.ä. klauen. ...und weil ich das weiß, _garantiere_ ich
> nicht dafür, daß mit Deinem key kein Blödsinn gemacht wird. Aber das muß
> ich ja zum Glück auch nicht, da ich ja keine Signaturen gemäß
> Signatur-Gesetz für irgendwen ausstelle:)

Hm, es geht mir ja auch nicht darum, dass ich eine Signatur nach diesem Gesetz 
ausstelle - will ich ja gar nicht, ich frage nur, ob eine solche 
Dienstleistung vergleichbar wäre von der Glaubwürdigkeit mit den Signaturen 
von Heise oder DFN.
Wenn ja, dann könnte man den Dienst entsprechend nutzen - nur weil der Dienst 
sicherer ist, als ich es benötige, heisst das nicht, dass ich ihn nicht 
trotzdem nutzen kann, oder?

> Mit dem Net of Trust kann ich (durch Signaturen, die ich anderen keys
> ausstelle) nur vage Andeutungen machen, daß mir mal wer gesagt hat, daß
> das sein key ist und er mir damals seinen Perso (o.ä.) gezeigt hat. Mehr
> geht nicht (wirklich/so ohne weiteres).

Ja, und genau diesen Schritt will ich von der Messehalle auf den Postweg 
verlegen, um es mal so zu sagen.

Ich denke, dass man so mehreren Leuten entgegen kommen würde, und auch damit 
das PGP Verfahren stärken würde.
Wenn man dann noch Cross Zertifizieren würde....

Roland
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.2-rc1-SuSE (GNU/Linux)

iD8DBQE/Rg6rnsVHlKAJG/IRAhT/AKCV3H5bkfiWPq0ot2NLTe3avZcuLgCeNn4g
irlzH8MBqcbipX1HP3iEk4U=
=gx2R
-----END PGP SIGNATURE-----