ubuntuusers.de

Ich meinte die Warnung sei da auch schon einmal gewesen, finde sie aber nicht mehr: Die Wahrscheinlichkeit nach dem Hochladen auf den Schlüsselserver Spam an die angegebene eMailadresse zu bekommen ist gross. Ich habe es ausprobiert: Ich habe eine Mailadresse (als Weiterleitung auf meine normale) gemacht, und sie nur bei dem Schlüssel eingetragen und sonst nie verwendet. Ich bekomme Spam an diese Adresse.

Vielleicht sollte man die hinzufügen? Ist das auch schon anderen passiert?

T4b schrieb:

Vielleicht sollte man die hinzufügen?

Falls es verloren gegangen ist, muesstest Du es nochmal nachtragen.

Ist das auch schon anderen passiert?

Kein Ahnung. Aber moeglich waere es, da Key-Server nun mal per se oeffentlich sind.

Ich habe mal noch genauer gesucht, keine Warnung gefunden und dann eine eingefügt. Gut so?

T4b schrieb:

Ich habe mal noch genauer gesucht, keine Warnung gefunden und dann eine eingefügt. Gut so?

Der Artikel enthaelt schon ziemlich viele Warnungen - eine einfache Hinweisbox haette es nach meinem Geschmack auch getan (zumal die Key-Server nicht wesentlich zum globalen Spam-Aufkommen beitragen duerften). Aber nun denn... ☺

Servus ☺

ich habe noch nie spam an die Angegebene Adresse bekommen. Liegt vllt auch daran, das ich generell sehr wenig spam bekomme.

Nutzt Du die E-Mailadresse auch noch für andere Zwecke?

Gruß
kaputtnik

kaputtnik schrieb:

Nutzt Du die E-Mailadresse auch noch für andere Zwecke?

Nein, eben nicht.

Ich kriege ebenfalls generell kaum Spam, fast alle Spam-Mails, die ich kriege, kommen an die Adresse, die ich nur bei dem Schlüssel angegeben habe. Gelegentlich lösche ich die mal.

Kann es sein, dass der Schlüssel-Server http://gpg-keyserver.de nicht mehr existiert? Wenn man die URL direkt aufruft, landet man bei einem Domain-Händler.

lennaron schrieb:

Kann es sein, dass der Schlüssel-Server http://gpg-keyserver.de nicht mehr existiert?

Scheint so. Hab ihn mal gelöscht.

Aufgrund von https://code.firstlook.media/the-death-of-sks-pgp-keyservers-and-how-first-look-media-is-handling-it müsste man den Artikel IMO auf "Ausbaufähig" setzen. Ich bin aber kein absoluter Experte auf dem Gebiet.

Jedenfalls ist der im Artikel genannte und verlinkte Server nicht mehr erreichbar: https://www.sks-keyservers.net/.

Das gilt auch für https://keys.gnupg.net/.

Weiter erreichbar sind:

• https://keyserver.ubuntu.com/

• https://pgp.mit.edu/

• https://pgp.surfnet.nl/

IMO müsste das im Artikel aber auf alle Fälle problematisiert werden, wozu mir allerdings die Expertise fehlt - zumindest wenn es um ein zeitnahes Realisieren geht.

Einwände?

LG, Newubunti

Das Web of Trust steht sowieso eigentlich vor dem Aus. Man sollte über eine Archivierung nachdenken.

karzer schrieb:

[…] Man sollte über eine Archivierung nachdenken.

Dafür sehe ich keine Veranlassung. Das "Web of Trust" mag aus der Mode gekommen sein, aber das macht den Artikel an sich ja weder schlecht noch falsch. Ich finde im Artikel eigentlich nur zwei offensichtliche Schwachstellen:

1. Die SKS-Keyserver gibt es nicht mehr. Das kann durch Entfernen der Links und sachter Überarbeitung im Text berücksichtigt werden.

2. Die Verwendung des E-Mail-Programms mutt in einem Befehl wirkt anachronistisch, aber die betreffende Stelle ist ja nach wie vor richtig und es werden ja auch Alternativen genannt.

Ich kümmere mich mal um den Punkt 1.

Grundsätzliche Probleme sehe ich bei diesem Artikel aber nicht.

kB schrieb:

[…] Ich kümmere mich mal um den Punkt 1.

Getan.

kB schrieb:

[...] Grundsätzliche Probleme sehe ich bei diesem Artikel aber nicht.

Das sehe ich anders. Mit dieser GnuPG-Version sind einige sicherheitsrelevante Änderungen vorgenommen worden, die das grundlegende Konzept des Web of Trust, wie beschrieben in der Einleitung, untergraben.

Zwar kann der alte Umgang mit Keyservern mit einigen Optionen wiederhergestellt werden, aber das sollte zumindest erwähnt werden.

kB schrieb:

kB schrieb:

[…] Ich kümmere mich mal um den Punkt 1.

Getan.

Danke!

Ich finde aber noch einen Punkt unklar:

Mehrere Keyserver können sich auch zu einem Netzwerk zusammenschließen und synchronisieren sich dann gegenseitig.

1. Welche sind denn aktuell noch zusammengeschlossen?

2. Auf welcher technischen Basis sind sie das gegebenenfalls?

Denn es heißt ja dann weiter:

Die Keyserver des SGS-Pools sind seit April 2021 nicht mehr erreichbar: Hintergründe

Ich nehme an, dass sollte SKS-Pools heißen. Aber mal unabhängig von dem Typo. Wenn der SKS-Pool down ist, wie erfolgt dann wie oben bereits erwähnt der Zusammenschluss?

Auf z.B. https://keyserver.ubuntu.com/#about heißt es noch:

This server is powered by the open-source keyserver software Hockeypuck. Hockeypuck is a synchronising keyserver that acts as part of a decentralised networked database for OpenPGP public keys.

Also landet man hier: https://spider.pgpkeys.eu/

Das ist dann wieder von SKS die Rede. Könnte theoretisch natürlich auch eine veraltetet Info sein.

LG, Newubunti

EDIT:

karzer schrieb:

Zwar kann der alte Umgang mit Keyservern mit einigen Optionen wiederhergestellt werden, aber das sollte zumindest erwähnt werden.

+1! Ich finde die ganze Web-of-Trust-Problematik sollte hier wenigstens sachlich kurz dargestellt werden, damit der Anwender auf Grundlage aller Informationen eine Entscheidung über den Einsatz treffen kann.

Newubunti schrieb:

[…] Ich finde aber noch einen Punkt unklar:

Mehrere Keyserver können sich auch zu einem Netzwerk zusammenschließen und synchronisieren sich dann gegenseitig.

1. Welche sind denn aktuell noch zusammengeschlossen?

2. Auf welcher technischen Basis sind sie das gegebenenfalls?

Das mögen interessante technische Informationen sein, sprengen aber jedenfalls das Thema dieses Artikels. Ein modernere Software als SKS ist jedenfalls:

[…] Auf z.B. https://keyserver.ubuntu.com/#about heißt es noch:

This server is powered by the open-source keyserver software Hockeypuck. Hockeypuck is a synchronising keyserver that acts as part of a decentralised networked database for OpenPGP public keys.

Aus Sicht des hiesigen Wiki-Artikel ist nur bedeutsam, dass eine solche Synchronisation erfolgt, d.h. was man einem Server anvertraut, bleibt nicht sicher auf diesen beschränkt. Das mag man aus Gründen des Datenschutzes verteufeln, ist aber i.d.F. wohl meist im Interesse des Schlüsselinhabers.