Re: [lugbe] Thawte Web of Trust

[Mathias Gygax <mg at trash.net>]

On Fre, Mär 22, 2002 at 10:53:55 +0100, Dietrich Feist wrote:

du schreist mich an? du wolltest polemik? du kriegst polemik.

> Vielleicht hast Du ja vor lauter Mails lesen keine Zeit gehabt, meine
> richtig zu lesen. Um es noch mal ganz laut und deutlich zu wiederholen:
> 
> DAS THAWTE WEB OF TRUST IST GRATIS! THAWTE VERDIENT KEINEN CENT DAMIT!
> AUCH DIE EMAIL-ZERTIFIKATE VON THAWTE SIND GRATIS!

gratis? was ist wenn thawte konkurs geht? ist es dann auch noch
"gratis"? meine identität ist nicht "gratis". die ist mehr wert als
alles geld von billy und co. zusammen und bedeutet mir wesentlich mehr
als mir jede marktwirtschaft auf diesem planeten liefern könnte.

> Ist das jetzt angekommen? Gut!

ja, ist angekommen. 

ich verkauf meine identität auch nicht über knebel verträge mit noch
dämlicheren sponsoring verträge und wenn dann das ganze plötzlich wegen
einem furz vom CEO nicht mehr gratis ist GARANTIERT NICHT. angekommen?

es interessiert mich einen scheiss ob ne kommerz firma was gratis abgibt
oder nicht, klaro? es geht hier um freiheit in einem rechtstaat und
nicht um ein "gratis" angebot von einer privaten firma.

begreif zuerst mal den unterschied zwischen "gratis" und "frei" bevor
du das nächste mal lauthals den schnabel aufmachst und wie alle andern das
gratisbier suchst während ich meine freiheit liebe. angekommen?

> Du vergleichst Äpfel mit Birnen.  Niemand verlangt von Dir, dass Du
> für das Signieren einer Mail etwas bezahlst. Genausowenig wie für das
> Unterschreiben eines Briefes. Aber einer unbeglaubigten Unterschrift
> entspricht eben nur ein selbst generiertes bzw. unsigniertes
> Zertifikat.  Das kannst Du Dir so oft Du willst selbst erzeugen und
> direkt an Deine Freunde weitergeben, kein Problem. Du solltest aber
> nicht erwarten, dass andere Leute auch so viel Vertrauen in Deine
> selbst signierten Zertifikate setzen wie Du.

wer sollte das erwarten? es geht hier um den vergleich der handschrift
als signatur und dem digitalen pendant.

> Einem von einer Root-CA signierten Zertifikat entspricht dagegen eher
> eine notariell beglaubigte Unterschrift oder ein offizielles
> Ausweisdokument. Und das gibt's keineswegs umsonst. Ich hatte hier schon
> öfter mit Notaren zu tun und ich kann Dir sagen, dass die nicht gratis
> arbeiten. Und da darfst Du auch noch für jede Unterschrift separat
> bezahlen, ca. 40-60 Franken je nach Notar.

aha. dann doch. für email abschicken also bezahlen. jedesmal offenbar
nach deiner logik und die ausstellung eines beliebig duplizierbaren
bithaufens (dem secret key) kostet dann auch noch geld? die einer
privaten "gratis" firma (ich bin gerne zynisch) zukommt? hast du pläne
um selber eine zu errichten?

der vergleich mit dem notar hinkt ja wohl komplett. dort wird der inhalt
des dokuments auf seine rechtsgültigkeit beglaubigt wo der notar seine
funktion beglaubigt und nicht die handschrift als solches abgegolten.
zudem kann eine unterschrift verschiedene zwecke haben und trotzdem die
gleiche sein, wie im falle eines notars. oder macht der seine privaten
geschäft mit einer andern hand? angekommen?

oder dürfen dann spez. leute mehere identitäten haben? darf ich auch?
auch haben will.

ich werde für den aufwand der ausstellung aufkommen, dass ist klar. aber
ich werde nicht mit meinen steuergeldern das marketing einer privaten
firma finanzieren, wenn diesselbe meine gültige identität auf's spiel
setzt weil sie in's ausland expandieren will (was sie ja offenbar dann
dürfte) und dabei hopps geht während dann alles futsch ist (ich vertrete
hier meine technischen und politischen standpunkte)

> Auch Ausweisdokumente gibt's in der Schweiz ja wohl nicht umsonst. 

aber meine identität als solches kostet nichts. sie darf nichts kosten
weil sie frei sein muss. verwaltungsoverhead ist eines, aber freiheit
beschränken weil ich gezwungen werde zu einer bevorzugten firma zu gehen
weil wiedermal ein korruptes pack strategische machtvorteile sieht......
das könnt ihr in den USA machen, aber nicht hier.

> Ich weiss ja nicht, wie das bei Euch Schweizern ist, aber ich als
> Ausländer darf jedes Jahr über 180 CHF (für 2 Erwachsene und 1 Kind)
> bezahlen, um meine Identität bestätigt zu bekommen. Soviel kostet die
> Verlängerung des Ausländerausweises nämlich. Und da habe ich weder
> eine Wahl, ob ich das machen lasse, noch wo. Und den Einzahlungsschein
> kann man auch nicht in die Tonne werfen, da muss man nämlich gleich
> bar bezahlen. Und wenn man das nicht tut, wird man eben aus dem Land
> geschmissen. Soviel zu den freiheitlichen Grundsätzen.

das hat mit deiner handschrift immer noch nichts zu tun. das ist der
verwaltungsoverhead der produziert wird und abgegolten wird, sprich was
ich schon gesagt habe material und werkzeug usw.

das ist aber *nicht* meine handschrift die als unterschrift gilt. die
sollte von stellen beglaubigt werden, die etwas mit meiner richtigen
identität wie z.b. meiner wohngemeinde oder meinem amt zu tun haben.

> Du kannst Deine CA so oft wechseln wie Du willst, wer hindert Dich
> daran? 

knebel verträge mit staatlich finanzierten monopolisten? siehe der bund
und microsoft. wehret den anfängen.

> Inzwischen gibt es ja einige, wenn auch noch nicht genug. Aber Du
> kannst nicht erwarten, dass die alle gratis arbeiten. 

ich zahle wie bei meiner identitätskarte für die infrastruktur und den
verwaltungsoverhead, aber nicht um meine handschrift benützen zu dürfen.

da werd ich nie eine firma um erlaubnis fragen oder ihr vertrauen. für
sowas haben wir einen staat. oder darf ich mir seit kurzem eine ID karte
im migros kaufen, weil sie dort im "freien markt" ist? zumal muss die
identität eindeutig sein. technisch kann sowas zwar eine kommerz firma
schon machen, aber mit dem vertrauen und beständigkeit wirst du mir ja
jetzt wohl nicht kommen, im sogenannten "freien markt". ausser sie
werden gezwungen, wo sich dann wiederum die sogenannten freiheitlichen
wehren werden. die wollen dann nämlich unabhängig sein. also darf ich
mir unabhängige identitäten holen. siehst du wo's an der logik happert?

über solche dinge brauchts kontrolle, die eine private firma nicht
wahrnehmen kann. sie arbeiten vielleicht billiger, aber schlussendlich
sind sie den gesetzen der marktwirtschaft ausgesetzt.

siehe beispiel swisskey. die zertifikate von vorher waren per sofort
ungültig. jetzt ist swisskey gekommen und hat's auch nicht geschafft.
jetzt ist wieder alles ungültig. willst du so mit deiner handschrift
umgehen und dein vertrauen in so ein system setzen? also ich nicht.

> Die müssen schliesslich die Leute bezahlen, die die Identität der
> Antragsteller überprüfen und (zumindest in der EU) für Folgen haften,
> die durch den Missbrauch eines Zertifikats entstehen, sofern die CA
> ihre Sorgfaltspflicht verletzt hat.

ok, der punkt stimmt.

> Die basieren ja alle auf offenen Standards und niemand
> kann verhindern, dass sich andere CAs in dem Markt breitmachen.

dann schauen wir bitte auch, dass das so bleibt.

ich bin und bleibe bürger der schweiz und nicht irgendeiner heini-firma
deren man spez. vorzüge gibt und an die ich dann ein leben lang
geknebelt werde oder die firma hops geht. basta. entweder machen wir das
demokratisch unserer tradition entsprechend oder gar nicht. das gilt
auch für den rest der EDV infrastruktur bei bund, kanton und gemeinden.

> Das wäre wünschenswert und früher oder später kommt das auch. Aber die
> Gemeinden werden das schätzungsweise outsourcen müssen. Wenn Du in jeder
> Gemeinde einen eigenen Root-CA haben willst, dann kostet das ein
> Vermögen an Infrastruktur und Personal und ist ausserdem ein
> Sicherheitsproblem.

ein sicherheitsproblem hast du, wenn es zentral gemacht wird. was
glaubst du warum wir das gemeindewesen haben? in der schweiz entsteht
vertrauen im kleinen und wird zu einem grösseren bündniss geschnürrt.
nicht umgekehrt, wie das diktaturen machen. bitte geschichtsunterricht.

> Wie gesagt, auch wenn das der Staat macht, kostet das trotzdem Geld.
> Entweder über Steuern oder über Gebühren. Aber eigentlich liesse sich
> das viel leichter über kleine lokale Unternehmen unter staatlicher
> Aufsicht regeln, so wie man es bei den Notaren ja auch macht. Dann
> werden sich die Preise auch auf einem vernünftigen Niveau einpendeln.

aber ich will nicht einen notar einschalten um dem pösteler eine
unterschrift zu geben.

> Was hat das mit IPSec zu tun? 

du hast schon eine ahnung vom OSI/catenet schichtenmodell, oder?

> Das Problem der Schlüsselübergabe kannst
> Du damit nicht lösen. Ausserdem kann dann trotzdem noch jeder Admin auf
> jedem Mail-Relay Deine Mails lesen. 

ja und? der transport ist sicher von endpunkt zu endpunkt. zudem läuft
es für den user transparent, dass mein ich. 

> Was ist denn das für ein Quatsch? Bei S/MIME verwendest Du die gleichen
> Algorithmen wie bei PGP oder SSL. Wenn Du sowas behauptest, solltest Du
> Deine Quellen schon etwas nachvollziehbarer zitieren, z.B. indem Du die
> Namen eines Deiner führenden Sicherheitsexperten nennst. S/MIME hat
> ansonsten genau die gleichen Probleme wie alle anderen PK-Systeme auch.

verdreh mir nicht die worte im mund. ich rede von untauglich in der
praxis, nicht von unsicher.

S/MIME ist ein format, nicht ein algorithmus. es ist untauglich, weil zu
haklig zum bedienen und trotz spezifikation ohne festen boden unter den
füssen. das hat zur spezifkation von openpgp geführt. bitte nochmals
geschichtsunterricht.

> Wenn Du sowas behauptest, solltest Du Deine Quellen schon etwas klarer
> machen. 

das ist ein konsens, der zu openpgp spezifikation geführt hat.

> Im übrigen ist es mir egal, ob Mails mit PGP oder S/MIME
> verschlüsselt bzw. signiert  werden, den meisten CAs übrigens auch. Du
> brauchst aber bei jedem PK-System ein Netzwerk von vertrauenswürdigen
> Zertifizierungsinstanzen, sonst funktioniert das Signieren nicht.

aha. und wer soll das sein? firma-heini-xy oder firma-heini-yx wo dann
der staat untereinander wieder als schlichter fungieren muss, wenn
wieder mal ein new economy unternehmen das zeitliche segnet und ich dann
mit meinen steuergeldern einen neuen wasserkopf auffüllen soll? nein danke.

da zahl ich lieber mehr steuern und hab was das ein leben lang
funktioniert, als mich jeden monat um meine handschrift kümmern zu
müssen weil eine private CA das zeitliche segnet.

auch meine digitale unterschrift hat was mit meiner identität zu tun
womit ich alle rechtsgültigen unterzeichnungen vornehmen kann. auch
dann, wenn dann plötzlich so eine firma auf idee kommt, ich dürfe dort
nicht unterschreiben weil dort eben die konkurrenz die finger im spiel
hat. das wäre der freie markt wie ihn die USA vorleben. ich will sowas
nicht hier in der schweiz.

ich bin schweizer und basta. also hol ich mir meine ID auch von der
schweiz und nicht einem multi-nationalen-pseudo-corp die mich "gratis"
verscherpelt.

macht das in den USA, von mir aus. dann kommt der nächste börsencrash
und das ganze land hat nicht mal mehr eine gültige digitale handschrift.

es gibt dinge die müssen funktionieren, weil wenn sie nicht mehr
funktionieren, dann überhaupt nichts mehr funktionieren wird.

der brüllende löwe geht jetzt schlafen :o)