[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: GnuPG: Best practise Alter Key / Neuer Key


Hi,

On 2013-09-24, at 00:35, Raphael Eiselstein <rabe@xxxxxxxxx> wrote:
> Die Frage ist halt, ob die Keyserver so ein "alter key" -> "neuer key"
> irgendwie maschinenlesbar verwalten koennen, damit User die meinen alten
> Key kennen beim Update mehr oder weniger eindringlich darauf hingewiesen
> werden, dass der alte Key nicht nur zurueckgezogen ist sondern dass ich
> stattdessen einen anderen, neuen Key verwende. 

Ich wurde noch ein "nrtsign" empfehlen (evtl. in beide Richtungen). Das sollte man mMn maximal vorsichtig vergeben und trifft damit eine gewisse Aussage ueber die Qualitaet der Signatur. Der Rest ist Vertrauenssache am anderen Ende des Etherwebs.

---snip ggp(1)---
nrsign Same as "sign" but the signature is marked as non-revocable and can therefore never be revoked.

tsign  Make a trust signature. This is a signature that combines the notions of certification (like a regular signature), and  trust  (like the "trust" command). It is generally only useful in distinct communities or groups.

Note that "l" (for local / non-exportable), "nr" (for non-revocable, and "t" (for trust) may be freely mixed and prefixed to "sign" to create a signature of any type desired.
---snap---

> 
> Wie gesagt: maschinenlesbar, standardisiert, automatisierbar.

Eher nein.

* http://www.gnupg.de/gph/en/manual.html#AEN533
** "The power of GnuPG is that it is flexible enough to adapt to your security needs whatever they may be"
** standardisiert faellt damit vollstaendig raus :(
* http://www.gnupg.de/gph/en/manual.html#AEN574

IMHO sagt das im Grunde IMHO aus:

* Du kannst eh nicht bestimmen/voraussehen wie die Menschen ihre Keyrings behandeln.
* Das UI zu GPG ist nicht gerade brauchbar (und die meisten GUIs dazu sind aus meinem subjektiven empfinden auch nicht besser)
* Richtiges bedienen ist selten
* Machbar waere es, aber es hat noch niemand getan (AFAIK!)

LG,
Martin

PS: Ich kenne eine Leute die einen Key ohne expiration date niemals signieren werden. Das Expiration laesst sich nachtraeglich auch leicht aendern, sogar nach dem Ablaufâ?¦


-- 
UUGRN e.V. http://www.uugrn.org/
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/