TheDarkRose
Anmeldungsdatum: 28. Juli 2010
Beiträge: 3459
|
Hab da mal eine Frage, trennt ihr berufliche und private Schlüssel oder habt ihr beides als zwei UIDs in einen Schlüssel? Weil eigentlich müssen ja beide auf einen Keyserver verfügbar sein, damit mein gegenüber meine Signatur mal grundlegend verifizieren kann. Oder sollte ich für beruflich lieber einen Firmeneigenen Keyserver verwenden? Ich weiß zwar das ich eine Keyserver-URL im Schlüssel angeben kann, aber wird diese auch in der Signatur mitgeschickt? Bzw. ich kann ja nicht verhindern, dass wer anderer meinen Key auf einen Keyserver lädt.
|
MPW
Anmeldungsdatum: 4. Januar 2009
Beiträge: 3729
|
Ich verwende PGP nur privat, würde es aber trennen. Denn sonst kennt jeder berufliche Kontakt auch direkt deine private Emailadresse. Ich hab z.B. alle Mailadresse mit meinem privaten Schlüssel verknüpft und jetzt kann jeder alle auslesen, wenn er nur eine kennt. Das ist etwas blöd.
|
hoerianer
Anmeldungsdatum: 14. August 2012
Beiträge: 3146
Wohnort: Bodensee badische Seite ;-)
|
Ich habe es nach mehreren Ansätzen aufgegeben mit der Verschlüsselei. Hatte aber zwischen privat und geschäftlich getrennt.
|
TheDarkRose
(Themenstarter)
Anmeldungsdatum: 28. Juli 2010
Beiträge: 3459
|
Wenn jemand nach meinen Namen auf den Keyservern sucht, findet er aber auch beide Schlüssel. Aber gut, eben nur wenn man nach meinen Namen sucht. Ansonsten holt man sich den Schlüssel eh meist per Key-ID.
|
V_for_Vortex
Anmeldungsdatum: 1. Februar 2007
Beiträge: 12085
Wohnort: Berlin
|
TheDarkRose schrieb: Wenn jemand nach meinen Namen auf den Keyservern sucht, findet er aber auch beide Schlüssel. Aber gut, eben nur wenn man nach meinen Namen sucht. Ansonsten holt man sich den Schlüssel eh meist per Key-ID.
Und wenn Du beide Schlüssel mit Deinem Namen verbindest. 🤓 Dass und welche Daten man über seinen Public Key preisgibt, muss einem klar sein.
|
TheDarkRose
(Themenstarter)
Anmeldungsdatum: 28. Juli 2010
Beiträge: 3459
|
Ja, aber natürlich geb ich meinen Namen an. Immerhin ist ja auch die Email vorname.nachname@foo.bla Denke aber, dass ich auch die Keys privat und beruflich trennen werde. Sollte der berufliche irgendwann mal widerrufen werden (i.e. ich hör mitn arbeiten auf), dann hängt mir die revocation nicht ewig im privat genutzten Schlüssel drinnen, sondern einfach nur aufn Keyserver. Beim Verein bin ich noch am überlegen. Zum privaten dazu, oder lieber einen eigenen? Oder lass ich das mal außen vor.
|
V_for_Vortex
Anmeldungsdatum: 1. Februar 2007
Beiträge: 12085
Wohnort: Berlin
|
Im Prinzip ist die Anzahl der Schlüssel nur für das Web of Trust wichtig. Wenige Schlüssel vereinen ggf. mehr Signaturen Anderer in sich.
|
TheDarkRose
(Themenstarter)
Anmeldungsdatum: 28. Juli 2010
Beiträge: 3459
|
Das hab ich noch gar nicht bedacht. Danke. Denke beruflich/privat trennen, dann kann man den beruflichen widerrufen, ohne das dieser im privaten Feld nachhängt. Für die Vereinsmails lass ich es mal bleiben. Danke euch.
|
V_for_Vortex
Anmeldungsdatum: 1. Februar 2007
Beiträge: 12085
Wohnort: Berlin
|
Nebenbei in Sachen Realnamen und Schlüssel: Viele gehen beim Signieren vom Zwang zu Realnamen und Überprüfung per Personalausweis o.ä. aus. Aber das Web of Trust unterstützt sehr wohl auch Pseudonyme, nämlich über den CERT-Level der Signatur. Auszug aus der Manpage von gpg: --default-cert-level n
The default to use for the check level when signing a key.
0 means you make no particular claim as to how carefully you verified the key.
1 means you believe the key is owned by the person who claims to own it but you could not, or did not verify the key at all. This is useful for a "persona" verification, where you sign the key of a pseudonymous user.
2 means you did casual verification of the key. For example, this could mean that you verified that the key fingerprint and checked the user ID on the key against a photo ID.
3 means you did extensive verification of the key. For example, this could mean that you verified the key fingerprint with the owner of the key in person, and that you checked, by means of a hard to forge document with
a photo ID (such as a passport) that the name of the key owner matches the name in the user ID on the key, and finally that you verified (by exchange of email) that the email address on the key belongs to the key
owner.
Note that the examples given above for levels 2 and 3 are just that: examples. In the end, it is up to you to decide just what "casual" and "extensive" mean to you.
|
TheDarkRose
(Themenstarter)
Anmeldungsdatum: 28. Juli 2010
Beiträge: 3459
|
Jup, dazu müsste aber auch meine Emailadresse ein Pseudonym sein 😛
|
TheDarkRose
(Themenstarter)
Anmeldungsdatum: 28. Juli 2010
Beiträge: 3459
|
Und doch noch ne kleine Detailfrage: Lasst ihr den privaten und beruflichen Schlüssel immer von allen unterschreiben oder unterscheidet ihr da auch?
|
V_for_Vortex
Anmeldungsdatum: 1. Februar 2007
Beiträge: 12085
Wohnort: Berlin
|
Ich habe keinen beruflichen Schlüssel, aber zwei private für verschiedene Personenumfelder. Die trenne ich strikt und lasse demnach auch nur den jeweiligen Schlüssel im jeweiligen Umfeld unterschreiben, eben wegen der oben besprochenen Datenpreisgabe. Letztlich könnte jemand Deine Unterzeichner ermitteln und dann wiederum deren weitere Unterzeichnungen im Web of Trust, um zwischen Deinen Schlüsseln eine Verbindung herzustellen. In welchem sehr theoretischen Praxisfall sowas den Aufwand lohnen würde, sei dahingestellt. ☺ Durch Deine Klarnamen-Schlüssel und Mailadresse(n) ist diese Überlegung zwar noch theoretischer, aber durch eine Trennung verhinderst Du immerhin, dass jemand mit einfachem Blick auf Deine Unterzeichner beide Umfelder überblicken kann. Auch so hat man durch den Schlüssel je nach Üblichkeit der Unterzeichnung einigen Einblick in Dein berufliches oder privates Umfeld, das muss Dir klar sein. Eine weitaus simplere Frage ist, warum zwei Schlüssel, wenn Du eh immer Beide gleich unterschreiben lässt? (Bis vielleicht auf die Widerrufsmöglichkeit eines kompromitierten Schlüssels.)
|
TheDarkRose
(Themenstarter)
Anmeldungsdatum: 28. Juli 2010
Beiträge: 3459
|
Naja, darum frage ich ja. Klingt natürlich logisch, das ich Geschäftspartner nicht meinen privaten Schlüssel unterschreiben lasse ^^ Also im Endeffekt zwei unterschiedliche Web of Trusts aufbaue, da sie ja auch unterschiedlich genutzt werden ☺ Btw. die Verbindung zwischen zwei Personen zu finden, geht ganz einfach: http://pgp.cs.uu.nl/
|
V_for_Vortex
Anmeldungsdatum: 1. Februar 2007
Beiträge: 12085
Wohnort: Berlin
|
TheDarkRose schrieb: Btw. die Verbindung zwischen zwei Personen zu finden, geht ganz einfach: http://pgp.cs.uu.nl/
Interessant, das kannte ich noch nicht. Danke!
|
TheDarkRose
(Themenstarter)
Anmeldungsdatum: 28. Juli 2010
Beiträge: 3459
|
Etwas aufwändiger, man muss sich halt den Public Key der Person und alle der unterschriebenen herunterladen (oder nur dessen Umfeld man generieren will), dann kann man sich ein schönes Bild basteln lassen:
gpg --list-sigs | sig2dot 2> /dev/null | dot -Tpng | display
|