Re: GPG/PGP-Support bei Amazon

Denis Jedig <dj@xxxxxxxxxxxx>:
On Thu, 31 Aug 2006 07:46:42 +0000 (UTC) Juergen P. Meier wrote:

Ach, er verwechselt einfach die Verbreitung von S/MIME (Angewendet)
mit der Verbreitung von S/MIME-Faehigen MUAs und fertig.

Ich bin ein großer Fan der Philosophie, dass wenn ein Protokoll eine große
Anzahl potentieller Teilnehmer hat, es sofort als "verbreitet" angesehen

Uh, NFS ist das verbreiteste Datenuebertragungsprotokoll ueberhaupt.
Mit wievielen Systemen kannst du NFS sprechen? Kannst du den Inhalt des
Google-archivs per NFS ansprechen? (NFS wird von /jedem/ Unix-sysem
implementiert).

Soviel zu dieser Sichtweise :P

werden kann. Ich kann fast an jede Adresse auf dieser Welt eine
S/MIME-signierte Mail schicken und mir sicher sein, dass die Signatur ohne
großen Umstand für den Empfänger überprüfbar ist.

Falsch. Vielmehr ist es so, dass die S/MIME signatur von mehr als
99.9% aller Empfaenger ignoriert werden wird. Die Einstellungen der
meisten S/MIME MUAs ist sogar so, dass deine Signaturpruefung
fehlschlaegt, sofern du keine der vorkompilierten, fest eingebauten
PKI benutzt hast. (und die sind allesamt Wertlos, da ist es sicherer,
seine Nachricht unverschluesselt per Fluesterpost zu uebertragen).

Hingegen kann ich mir bei PGP ziemlich sicher sein, dass der Empfänger sich
mit einer für ihn unbekannten Software herumschlagen und sich in ein
komplett anderes Sicherheitskonzept eindenken muss[1]. Die Idee einer

Flasch.

vermittelnden vertrauten Instanz, die die Zugehörigkeit eines Schlüssels zu
einer Identität bestätigt, ist dank der Verbreitung von x.509 durch SSL/TLS
weit mehr verinnerlicht[2], als das bei PGP primär vorherrschende
Keyring/Relationship-Konzept.

Das dumme bei der Instanzloesung ist die Instanz. Wem vertraust du?
Und mit welchen Argumenten willst du deinen Kommunikationspartner dazu
zwingen, deiner vertrauten Instanz auch zu vertrauen? Was machst du,
wenn sich dieser weigert, deiner Instanz zu vertrauen? Was machst du,
wenn dein Kommunikationspartner einer Instanz vertraut, die du
garnicht kennst, und zu der du keinen Zugang hast?

Das alles sind *pratisch* sehr Relevante - weil taeglich vorkommende -
Probleme von S/MIME.

Diese Probleme hast du bei PGP konzeptionell schon mal nicht. Du musst
hier mindestens lediglich deinem Kommunikationspartner selbst
vertrauen, keiner Dritten Instanz.
Du kannst dritten vertrauen, die deinem PArtner vertrauen - also
Vertrauen vererben - doch das ist bei PGP vollkommen *optional*.
Diese Freiheit hast du bei S/MIME konzeptionell nicht.

Dummerweise ist bei jeder Kommunikationsform ausserhalb fester
Beziehungen zwischen Vertragspartnern die Konzeption von S/MIME
orthogonal zu der Kommunikationsform.

Das ist wohl der Hauptgrund, warum in der Praxis PGP haeufiger
verwendet wird, als S/MIME.

Die Universelle Verfuegbarkeit von PGP-Software ist ein weiterer
Grund (PGP gibts fuer praktisch jede Platform, fuer die es auch
Mailclients gibt).

[1] mit der Ausnahme der Empfänger, von denen ich sicher weiß, dass sie PGP
bereits nutzen - das ist i.A. aber eher nicht der Fall.

Falscher Ansatz. Ich gehe grundsaetzlich erstmal davon aus, dass jeder
Empfaenger PGP nutzen /kann/ und uebermittle bei Kontaktaufnahme
gleich meinen Publickey mit und fragte nach dem Publickey des
Gegenuebers.

[2] und m.E. auch wesentlich einfacher nachzuvollziehen, wegen der
bekannten, eindeutigen RL-Parallele eines Passes, dessen Echtheit in aller
Regel ja auch nicht von allen Bekannten, die man auf der Straße trifft,
bezeugt wird.

Wie wird ein Pass verifiziert?

Von Behoerden: Aehnlich wie bei S/MIME per zentraler CA
(Melderegister).

Von nicht-Behoerden (z.B. Porno-Haendler, ePay, andere privatwirtschaftliche):
Aehnlich wie bei PGP moeglich: Anschein.

PGP bietet darueberhinaus eine Moeglichkeit, die beim Pass nicht
vorhanden ist: Der des Web-of-Trust.
Wenn du das mit "allen Bekannten, die man auf der Straße trifft"
verwechselst, ist das dein Defizit, dann hast du das nicht
verstanden.

Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)
.

Relevant Pages

  • Re: GPG/PGP-Support bei Amazon
    ... Wer hat schon ein signiertes persoenliches S/MIME Zertifikat? ... Deutschland nicht vertrauen, ... Wenn ich hingegen bei PGP einem der Signierer deines Schluessels ...
    (de.comp.security.misc)
  • Re: GPG/PGP-Support bei Amazon
    ... Wer hat schon ein signiertes persoenliches S/MIME Zertifikat? ... Das ist bei PGP nicht anders. ... Nur Vollidioten und Unwissende vertrauen ...
    (de.comp.security.misc)
  • Re: GPG/PGP-Support bei Amazon
    ... meisten S/MIME MUAs ist sogar so, ... Deutschland nicht vertrauen, ... Kommunikationspartner erst vertrauen kannst, wenn er dir nachgewiesen hat, ... Vertrauen vererben - doch das ist bei PGP vollkommen *optional*. ...
    (de.comp.security.misc)
  • Re: GPG/PGP-Support bei Amazon
    ... Und bei PGP sieht das besser aus? ... Das dumme bei der Instanzloesung ist die Instanz. ... wenn sich dieser weigert, deiner Instanz zu vertrauen? ... Probleme von S/MIME. ...
    (de.comp.security.misc)
  • Re: The whole Process
    ... S/MIME aware application to fool you :-) ... > has an invalid signature. ... > embedded in email and news clients from Microsoft and Netscape for years. ... Recently Spammers illustrated this perception problem by forging PGP ...
    (microsoft.public.platformsdk.security)