TheDarkRose schrieb:
Dann ist es aber so auf der Cryptoparty so vereinbart oder mit den gegenüber abgesprochen. Also wenn ich einen Key unterschreibe, dann frag ich schon ob ich wieder hochladen soll, oder ihm zusenden.
Gut, unsere (und jugs) unterschiedlichen Erfahrungen mögen daran liegen, dass ich selten auf Cryptoparties bin und Keys in der Regel „aus der Ferne“ signiere, wann immer ich mir der Identität eines Inhabers hinreichend sicher bin (persönliche Kommunikation, regelmäßige Signatur von E-Mails etc.) Die verschiedenen Cert-Level lassen ja eine gute Abstufung der Prüfungsgenauigkeit zu.
edit: Da die Cert-Level meiner Erfahrung nach selbst bei langjährigen GPG-Nutzern oft unbekannt sind:
0 means you make no particular claim as to how carefully you verified the key.
1 means you believe the key is owned by the person who claims to own it but you could not, or did not verify the key at all. This is useful for a "persona" verification, where you sign the key of a pseudonymous user.
2 means you did casual verification of the key. For example, this could mean that you verified the key fingerprint and checked the user ID on the key against a photo ID.
3 means you did extensive verification of the key. For example, this could mean that you verified the key fingerprint with the owner of the key in person, and that you checked, by means of a hard to forge document with a photo ID (such as a passport) that the name of the key owner matches the name in the user ID on the key, and finally that you verified (by exchange of email) that the email address on the key belongs to the key owner.
Folgendes sollte man zudem immer im Hinterkopf behalten:
Note that the examples given above for levels 2 and 3 are just that: examples. In the end, it is up to you to decide just what "casual" and "extensive" mean to you.
Je nach eigenem Sicherheitsbedarf kann man mit der Option --min-cert-level
einen Cert-Level setzen, unter dem Signaturen nicht berücksichtigt werden.