Fingerprint des öffentlichen PGP-Schlüssels

Meinungen und Kommentare zu MetaGer: Was könnte besser sein? Was ist gut? Was könnte/sollte Neues dazukommen?
Post Reply
Message
Author
Andreas
Posts: 2
Joined: Fri 6. Feb 2015, 09:31
Contact:

Fingerprint des öffentlichen PGP-Schlüssels

#1 Post by Andreas » Tue 30. May 2017, 14:38

Hallo,

wo erhalte ich den Fingerprint des öffentlichen PGP-Schlüssels.

Gruß

Andreas

Dominik
Posts: 28
Joined: Mon 11. Feb 2013, 12:06
Contact:

Re: Fingerprint des öffentlichen PGP-Schlüssels

#2 Post by Dominik » Wed 7. Jun 2017, 13:27

Hallo,

da der Fingerprint eines PGP-Schlüssel in diesem selbst enthalten ist bzw. aus diesem generiert werden kann, wäre es redundant ihn ebenfalls auf die Webseite zu stellen. Der Schlüssel auf unserer offiziellen Webseite stammt in jedem Fall von uns. Diesen findest du unter https://metager.de/kontakt
Nach dem Einfügen in die jeweilige PGP Software kannst du den Fingerprint in den Eigenschaften des neu hinzugefügten Schlüssels auslesen.

Gruß
Dominik

Andreas
Posts: 2
Joined: Fri 6. Feb 2015, 09:31
Contact:

Re: Fingerprint des öffentlichen PGP-Schlüssels

#3 Post by Andreas » Wed 7. Jun 2017, 18:49

Hallo Dominik,

ich muß Dich an einigen Stellen korrigieren, da es sich bei PGP um ein Netz des Vertrauens (WOT) handelt und nicht so funktioniert wie Du es darstellst.
>da der Fingerprint eines PGP-Schlüssel in diesem selbst enthalten ist bzw. aus diesem generiert werden kann, wäre es redundant ihn ebenfalls auf die >Webseite zu stellen.
Diese Aussage ist völlig richtig in jeder Beziehung und auch die Grundlage um einem Schlüssel zu vertrauen., denn wäre die Seite kompromittiert, wären sowohl der Schlüssel als auch der Fingerabdruck zwar passend, aber dennoch könnten sie ebenfalls kompromittiert sein.
>Der Schlüssel auf unserer offiziellen Webseite stammt in jedem Fall von uns.
Das ist aus 2 Gründen falsch:
1. Der Schlüssel kann auf dem Server ausgetauscht worden sein. Ich muß wohl nicht erklären Wie.
2. Im Falle Metager wegen des guten Zertifikats der Seite zwar kaum möglich, aber prinzipiell ist der Schlüssel auf dem Transport-Weg austauschbar.
Aus diesen Gründen muß vor dem erteilen einer hohen Vertrauensstufe oder gar dem Beglaubigen des Schlüssels müssen Schlüssel und Fingerabdruck über 2 verschiedene Wege übertragen werden um sie dann zu vergleichen. Der ideale Weg wäre natürlich das persönliche Treffen. Das ist natürlich meistens illusorisch, also kann man sich mit Telephon oder Fax behelfen. Auch das ist oft zu unpraktikabel, weshalb man sich mit Diensten wie keybase.io behelfen kann. Eine letzte Möglichkeit wäre das gegenseitige Zusenden verschlüsselter E-Post, die die Fingerabdrücke enthalten und Vergleich der Daten mit denen auf Schlüssel-Servern.
Ich hoffe, ich konnte das WOT etwas verdeutlichen und euch anschubsen eine Möglichkeit zu schaffen damit dem Schlüssel vertraut werden kann.

Gruß
Andreas

Post Reply

Who is online

Users browsing this forum: No registered users and 3 guests