[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [lugbe] Thawte Web of Trust



On Don, Mär 21, 2002 at 12:44:57 +0100, Dietrich Feist wrote:
> Lieber Matthias,

hoi dietrich!

> wie so oft, wenn ich eine Deiner Mails lese, musste ich erst mal tief
> durchatmen bevor ich antworte. Ich will ja hier nicht gleich losflamen,
> sondern eine sinnvolle Diskussion starten.

das geht mir bei vielen andern von den über 1800 mails die ich am tag
bekomme genau gleich ;)

ich probier mich zwar immer zurück zuhalten, aber ich muss dir auch
ehrlich sagen, ich vertrete lieber meinen standpunkt als das ich zu
wischi-waschi-polit diskussionen den leuten noch weitere lügen
auftische. das kann nämlich niemand gebrauchen, selbst wenn halt mal die
fetzen fliegen ;)

> Das gehört keineswegs dazu, da die meisten der CAs heutzutage nur
> Zertifikate ausstellen, mit denen man nicht selbst signieren kann. Die
> verdienen ihr Geld nämlich damit, dass sie alle Zertifikate selbst
> signieren. Insofern ist der Ansatz von Thawte tatsächlich neu.

und er wird wieder verschwinden. seit wann bezahl ich für meine
identität wie eine unterschrift geld? das konzept ist zum scheitern
verurteilt. ich bekomm ja auch nicht einen einzahlungsschein wenn ich
zum ersten mal in der schule meine handschrift und unterschrift übe.
klar, das werkzeug und material kostet geld, aber ich werde jeden
einzahlungsschein in die tonne werfen der meine eigentliche identität
beglaubigt. nicht solange wir noch ein paar freiheitliche grundsätze
verfolgen.

meine unterschrift *muss* mir als mündige person gehören und genauso wie
ich den wohnort wechseln darf, darf ich auch meine CA wechseln. man darf
nicht abhängig von *einer* landesweiten firma sein. in den USA mag das
klappen, aber schlussendlich sieht's hier [IMHO zum glück] anders aus.
eine gemeinde die CA wäre und mit den andern gemeinden über den kanton
bis hin zum bund ein schönes vertrauensnetz aufbauen könnte, wär ein
"träumchen". technisch gesehen wie auch der schweizer tradition
entsprechend.

sorry, aber für mich ist reine geldmacherei mit halbstaatlichen, oder
manchmal nicht mal das, firmen. die diskussion auf der lugs liste
bezüglich der microsoft partnerschaft zeigt, dass wir unseren politikern
schnellstens zügeln verpassen sollten, bevor weitere
kommerz-monopolisten wie thawte, versigin und microsoft auf den plan
treten und uns freiheit plötzlich gegen geld verkaufen wollen.

> - Software zum Key-Management und Verschlüsseln/Signieren, die so simpel
> ist, dass sie auch der typische Windows-User bedienen kann. Das kann PGP
> zur Zeit nicht bieten, während Software nach dem S/MIME-Standard bereits
> in den am weitesten verbreiteten Mail-Clients (z.B. Outlook) vorhanden
> ist.

o PGP ist kompliziert. jeder tastendruck ist ein tastendruck zuviel. das
  hat mir user interfaces zu tun und nicht ob es einfach ist zum klicken
  oder nicht. es müsste fast automatisch passieren und fest integriert
  sein. brief schreiben und abschicken. mehr kann der user nicht machen.
  folgendes beispiel: generische SSL-TCP tunnel sind auch einfach, aber
  für normale leute zu kompliziert um von hand einzurichten, deswegen
  erledigt der browser das für einen. selbst das 's' bei https einzutippen
  ist vielen zu kompliziert, stichwort automatic handshaking.

  crypto im kommunikationsfluss wird erst tauglich, wenn IPSec sich [in
  der praxis] durchgesetzt hat. alles andere ist zu kompliziert (aber
  in der praxis dann tatsächlich nicht unmöglich)

o S/MIME wird von einschlägigen sicheheitsspezialisten als untauglich
  verworfen -> siehe .de usenet.

> - ein Authentisierungskonzept, dem neben Privatleuten auch Firmen und
> Behörden vertrauen können. Das Zauberwort dazu heisst PKI (= Public Key
> Infrastructure), wie sie z.B. in der EU-Richtlinie zur digitalen
> Signatur definiert wird. Aber da kommt man um staatlich kontrollierte
> offizielle Root-CAs nicht herum, die die notwendigen zig-Millionen
> Zertifikate ausstellen und die Identität der Antragssteller überprüfen.
> Das ist mit dem Grasroot-Ansatz von PGP nicht zu machen.

ein klares jein :)

der ansatz von den pgp server ist gut, aber wie du richtig siehst nicht
für meine bankgeschäfte tauglich.

hier in der schweiz würde ich solche probleme ganz unserer tradition
gemäss auf der gemeinde ebene lösen.

> Erst dann wird es möglich sein, Emails auch für die Dinge zu verwenden,
> die man nach wie vor aus rechtlichen Gründen per Brief oder Fax machen
> muss.

yup. ACK.