Re: [lugbe] Thawte Web of Trust

["Walter Neuhaus" <wneuhaus at mcnet.ch>]

Hallo

Auch von meiner Seite her wäre es wünschenswert, dass CA's in den Kantonen
entstehen/bleiben. Was aber das Level "Gemeinde" anbelangt, so denke ich,
dass viele kleine Gemeinden überfordert wären, als CA's aufzutreten. Manche
Gemeindebüros sind aus Kostengründen nicht immer belegt...

br/walter

----- Original Message -----
From: "Mathias Gygax" <mg at trash.net>
To: "Linux User Group Bern" <lugbe at lugbe.ch>
Sent: Saturday, March 23, 2002 5:03 AM
Subject: Re: [lugbe] Thawte Web of Trust


> On Fre, Mär 22, 2002 at 10:53:55 +0100, Dietrich Feist wrote:
>
> du schreist mich an? du wolltest polemik? du kriegst polemik.
>
> > Vielleicht hast Du ja vor lauter Mails lesen keine Zeit gehabt, meine
> > richtig zu lesen. Um es noch mal ganz laut und deutlich zu wiederholen:
> >
> > DAS THAWTE WEB OF TRUST IST GRATIS! THAWTE VERDIENT KEINEN CENT DAMIT!
> > AUCH DIE EMAIL-ZERTIFIKATE VON THAWTE SIND GRATIS!
>
> gratis? was ist wenn thawte konkurs geht? ist es dann auch noch
> "gratis"? meine identität ist nicht "gratis". die ist mehr wert als
> alles geld von billy und co. zusammen und bedeutet mir wesentlich mehr
> als mir jede marktwirtschaft auf diesem planeten liefern könnte.
>
> > Ist das jetzt angekommen? Gut!
>
> ja, ist angekommen.
>
> ich verkauf meine identität auch nicht über knebel verträge mit noch
> dämlicheren sponsoring verträge und wenn dann das ganze plötzlich wegen
> einem furz vom CEO nicht mehr gratis ist GARANTIERT NICHT. angekommen?
>
> es interessiert mich einen scheiss ob ne kommerz firma was gratis abgibt
> oder nicht, klaro? es geht hier um freiheit in einem rechtstaat und
> nicht um ein "gratis" angebot von einer privaten firma.
>
> begreif zuerst mal den unterschied zwischen "gratis" und "frei" bevor
> du das nächste mal lauthals den schnabel aufmachst und wie alle andern das
> gratisbier suchst während ich meine freiheit liebe. angekommen?
>
> > Du vergleichst Äpfel mit Birnen.  Niemand verlangt von Dir, dass Du
> > für das Signieren einer Mail etwas bezahlst. Genausowenig wie für das
> > Unterschreiben eines Briefes. Aber einer unbeglaubigten Unterschrift
> > entspricht eben nur ein selbst generiertes bzw. unsigniertes
> > Zertifikat.  Das kannst Du Dir so oft Du willst selbst erzeugen und
> > direkt an Deine Freunde weitergeben, kein Problem. Du solltest aber
> > nicht erwarten, dass andere Leute auch so viel Vertrauen in Deine
> > selbst signierten Zertifikate setzen wie Du.
>
> wer sollte das erwarten? es geht hier um den vergleich der handschrift
> als signatur und dem digitalen pendant.
>
> > Einem von einer Root-CA signierten Zertifikat entspricht dagegen eher
> > eine notariell beglaubigte Unterschrift oder ein offizielles
> > Ausweisdokument. Und das gibt's keineswegs umsonst. Ich hatte hier schon
> > öfter mit Notaren zu tun und ich kann Dir sagen, dass die nicht gratis
> > arbeiten. Und da darfst Du auch noch für jede Unterschrift separat
> > bezahlen, ca. 40-60 Franken je nach Notar.
>
> aha. dann doch. für email abschicken also bezahlen. jedesmal offenbar
> nach deiner logik und die ausstellung eines beliebig duplizierbaren
> bithaufens (dem secret key) kostet dann auch noch geld? die einer
> privaten "gratis" firma (ich bin gerne zynisch) zukommt? hast du pläne
> um selber eine zu errichten?
>
> der vergleich mit dem notar hinkt ja wohl komplett. dort wird der inhalt
> des dokuments auf seine rechtsgültigkeit beglaubigt wo der notar seine
> funktion beglaubigt und nicht die handschrift als solches abgegolten.
> zudem kann eine unterschrift verschiedene zwecke haben und trotzdem die
> gleiche sein, wie im falle eines notars. oder macht der seine privaten
> geschäft mit einer andern hand? angekommen?
>
> oder dürfen dann spez. leute mehere identitäten haben? darf ich auch?
> auch haben will.
>
> ich werde für den aufwand der ausstellung aufkommen, dass ist klar. aber
> ich werde nicht mit meinen steuergeldern das marketing einer privaten
> firma finanzieren, wenn diesselbe meine gültige identität auf's spiel
> setzt weil sie in's ausland expandieren will (was sie ja offenbar dann
> dürfte) und dabei hopps geht während dann alles futsch ist (ich vertrete
> hier meine technischen und politischen standpunkte)
>
> > Auch Ausweisdokumente gibt's in der Schweiz ja wohl nicht umsonst.
>
> aber meine identität als solches kostet nichts. sie darf nichts kosten
> weil sie frei sein muss. verwaltungsoverhead ist eines, aber freiheit
> beschränken weil ich gezwungen werde zu einer bevorzugten firma zu gehen
> weil wiedermal ein korruptes pack strategische machtvorteile sieht......
> das könnt ihr in den USA machen, aber nicht hier.
>
> > Ich weiss ja nicht, wie das bei Euch Schweizern ist, aber ich als
> > Ausländer darf jedes Jahr über 180 CHF (für 2 Erwachsene und 1 Kind)
> > bezahlen, um meine Identität bestätigt zu bekommen. Soviel kostet die
> > Verlängerung des Ausländerausweises nämlich. Und da habe ich weder
> > eine Wahl, ob ich das machen lasse, noch wo. Und den Einzahlungsschein
> > kann man auch nicht in die Tonne werfen, da muss man nämlich gleich
> > bar bezahlen. Und wenn man das nicht tut, wird man eben aus dem Land
> > geschmissen. Soviel zu den freiheitlichen Grundsätzen.
>
> das hat mit deiner handschrift immer noch nichts zu tun. das ist der
> verwaltungsoverhead der produziert wird und abgegolten wird, sprich was
> ich schon gesagt habe material und werkzeug usw.
>
> das ist aber *nicht* meine handschrift die als unterschrift gilt. die
> sollte von stellen beglaubigt werden, die etwas mit meiner richtigen
> identität wie z.b. meiner wohngemeinde oder meinem amt zu tun haben.
>
> > Du kannst Deine CA so oft wechseln wie Du willst, wer hindert Dich
> > daran?
>
> knebel verträge mit staatlich finanzierten monopolisten? siehe der bund
> und microsoft. wehret den anfängen.
>
> > Inzwischen gibt es ja einige, wenn auch noch nicht genug. Aber Du
> > kannst nicht erwarten, dass die alle gratis arbeiten.
>
> ich zahle wie bei meiner identitätskarte für die infrastruktur und den
> verwaltungsoverhead, aber nicht um meine handschrift benützen zu dürfen.
>
> da werd ich nie eine firma um erlaubnis fragen oder ihr vertrauen. für
> sowas haben wir einen staat. oder darf ich mir seit kurzem eine ID karte
> im migros kaufen, weil sie dort im "freien markt" ist? zumal muss die
> identität eindeutig sein. technisch kann sowas zwar eine kommerz firma
> schon machen, aber mit dem vertrauen und beständigkeit wirst du mir ja
> jetzt wohl nicht kommen, im sogenannten "freien markt". ausser sie
> werden gezwungen, wo sich dann wiederum die sogenannten freiheitlichen
> wehren werden. die wollen dann nämlich unabhängig sein. also darf ich
> mir unabhängige identitäten holen. siehst du wo's an der logik happert?
>
> über solche dinge brauchts kontrolle, die eine private firma nicht
> wahrnehmen kann. sie arbeiten vielleicht billiger, aber schlussendlich
> sind sie den gesetzen der marktwirtschaft ausgesetzt.
>
> siehe beispiel swisskey. die zertifikate von vorher waren per sofort
> ungültig. jetzt ist swisskey gekommen und hat's auch nicht geschafft.
> jetzt ist wieder alles ungültig. willst du so mit deiner handschrift
> umgehen und dein vertrauen in so ein system setzen? also ich nicht.
>
> > Die müssen schliesslich die Leute bezahlen, die die Identität der
> > Antragsteller überprüfen und (zumindest in der EU) für Folgen haften,
> > die durch den Missbrauch eines Zertifikats entstehen, sofern die CA
> > ihre Sorgfaltspflicht verletzt hat.
>
> ok, der punkt stimmt.
>
> > Die basieren ja alle auf offenen Standards und niemand
> > kann verhindern, dass sich andere CAs in dem Markt breitmachen.
>
> dann schauen wir bitte auch, dass das so bleibt.
>
> ich bin und bleibe bürger der schweiz und nicht irgendeiner heini-firma
> deren man spez. vorzüge gibt und an die ich dann ein leben lang
> geknebelt werde oder die firma hops geht. basta. entweder machen wir das
> demokratisch unserer tradition entsprechend oder gar nicht. das gilt
> auch für den rest der EDV infrastruktur bei bund, kanton und gemeinden.
>
> > Das wäre wünschenswert und früher oder später kommt das auch. Aber die
> > Gemeinden werden das schätzungsweise outsourcen müssen. Wenn Du in jeder
> > Gemeinde einen eigenen Root-CA haben willst, dann kostet das ein
> > Vermögen an Infrastruktur und Personal und ist ausserdem ein
> > Sicherheitsproblem.
>
> ein sicherheitsproblem hast du, wenn es zentral gemacht wird. was
> glaubst du warum wir das gemeindewesen haben? in der schweiz entsteht
> vertrauen im kleinen und wird zu einem grösseren bündniss geschnürrt.
> nicht umgekehrt, wie das diktaturen machen. bitte geschichtsunterricht.
>
> > Wie gesagt, auch wenn das der Staat macht, kostet das trotzdem Geld.
> > Entweder über Steuern oder über Gebühren. Aber eigentlich liesse sich
> > das viel leichter über kleine lokale Unternehmen unter staatlicher
> > Aufsicht regeln, so wie man es bei den Notaren ja auch macht. Dann
> > werden sich die Preise auch auf einem vernünftigen Niveau einpendeln.
>
> aber ich will nicht einen notar einschalten um dem pösteler eine
> unterschrift zu geben.
>
> > Was hat das mit IPSec zu tun?
>
> du hast schon eine ahnung vom OSI/catenet schichtenmodell, oder?
>
> > Das Problem der Schlüsselübergabe kannst
> > Du damit nicht lösen. Ausserdem kann dann trotzdem noch jeder Admin auf
> > jedem Mail-Relay Deine Mails lesen.
>
> ja und? der transport ist sicher von endpunkt zu endpunkt. zudem läuft
> es für den user transparent, dass mein ich.
>
> > Was ist denn das für ein Quatsch? Bei S/MIME verwendest Du die gleichen
> > Algorithmen wie bei PGP oder SSL. Wenn Du sowas behauptest, solltest Du
> > Deine Quellen schon etwas nachvollziehbarer zitieren, z.B. indem Du die
> > Namen eines Deiner führenden Sicherheitsexperten nennst. S/MIME hat
> > ansonsten genau die gleichen Probleme wie alle anderen PK-Systeme auch.
>
> verdreh mir nicht die worte im mund. ich rede von untauglich in der
> praxis, nicht von unsicher.
>
> S/MIME ist ein format, nicht ein algorithmus. es ist untauglich, weil zu
> haklig zum bedienen und trotz spezifikation ohne festen boden unter den
> füssen. das hat zur spezifkation von openpgp geführt. bitte nochmals
> geschichtsunterricht.
>
> > Wenn Du sowas behauptest, solltest Du Deine Quellen schon etwas klarer
> > machen.
>
> das ist ein konsens, der zu openpgp spezifikation geführt hat.
>
> > Im übrigen ist es mir egal, ob Mails mit PGP oder S/MIME
> > verschlüsselt bzw. signiert  werden, den meisten CAs übrigens auch. Du
> > brauchst aber bei jedem PK-System ein Netzwerk von vertrauenswürdigen
> > Zertifizierungsinstanzen, sonst funktioniert das Signieren nicht.
>
> aha. und wer soll das sein? firma-heini-xy oder firma-heini-yx wo dann
> der staat untereinander wieder als schlichter fungieren muss, wenn
> wieder mal ein new economy unternehmen das zeitliche segnet und ich dann
> mit meinen steuergeldern einen neuen wasserkopf auffüllen soll? nein
danke.
>
> da zahl ich lieber mehr steuern und hab was das ein leben lang
> funktioniert, als mich jeden monat um meine handschrift kümmern zu
> müssen weil eine private CA das zeitliche segnet.
>
> auch meine digitale unterschrift hat was mit meiner identität zu tun
> womit ich alle rechtsgültigen unterzeichnungen vornehmen kann. auch
> dann, wenn dann plötzlich so eine firma auf idee kommt, ich dürfe dort
> nicht unterschreiben weil dort eben die konkurrenz die finger im spiel
> hat. das wäre der freie markt wie ihn die USA vorleben. ich will sowas
> nicht hier in der schweiz.
>
> ich bin schweizer und basta. also hol ich mir meine ID auch von der
> schweiz und nicht einem multi-nationalen-pseudo-corp die mich "gratis"
> verscherpelt.
>
> macht das in den USA, von mir aus. dann kommt der nächste börsencrash
> und das ganze land hat nicht mal mehr eine gültige digitale handschrift.
>
> es gibt dinge die müssen funktionieren, weil wenn sie nicht mehr
> funktionieren, dann überhaupt nichts mehr funktionieren wird.
>
> der brüllende löwe geht jetzt schlafen :o)