hat schon mal jemand seinen PGP Schlüssel von Governikus signieren lassen? https://pgp.governikus.de/
Angeblich soll das auch unter Linux funktionieren, wozu es auch eine AusweisApp in einem Docker Container gibt. https://hub.docker.com/r/aklitzing/ausweisapp2
Allerdings habe ich jetzt keine Ahnung wie man sowas nutzen könnte.
Nein, aber ich wüsste auch ehrlicherweise keinen Grund, warum ich oder überhaupt jemand das machen sollte?!
Denn PGP lebt doch von der Dezentralisierung, also, dass es keine zentrale Stelle gibt, die etwas prüft oder beglaubigt. Und demnach auch nichts verändern oder manipulieren kann. Der Spielraum ist groß. Auch ein Grund mMn PGP (also damit äquivalent GPG gemeint) S/MIME vorzuziehen; neben den Kosten.
Da bin ich mir eben nicht sicher.
Bei SMIME ist es so, dass man in Outlook / Thunderbid ein Zertifikat Logo bekommt, wenn man einen „eingetragenen“ Zertifizierer hat. Wenn man einen hat der nicht eingetragen ist, dann kommt eine Warnmeldung.
Mir ginge es darum beim Empfänger vertrauen in die Nachricht zu erzeugen. Also keine Warnmeldung sondern einen grünen Hacken.
Meine Hoffnung wäre, dass das mit dem signierten PGP funktioniert. Aber ich weiß es nicht weil ich keinen kenne der es schon gemacht hat und bisher konnte ich mich da selbst noch nicht registrieren und ich weiß nicht ob sich der Aufwand lohnen wird.
Dein PGP Key bekommt einfach nur eine zusätzliche Signatur. Das ist alles.
Wenn beim Empfänger ein grüner Haken angezeigt werden soll, musst du ein gültiges S/MIME Zertifikat besitzen und deine Mail damit signieren.
Nein.
Das ist überhaupt kein Aufwand. Schlüssel hochladen, AusweisApp starten, Personalausweis ins Lesegerät, PIN eingeben, signierten Schlüssel herunterladen. Viel hast du halt nicht davon.
Ja. Unter Windows und auf einem Mac. Der Vorgang selbst geht schnell, allerdings muss der Name des PGP-Schlüssels exakt dem auf dem Personalausweis entsprechen. Schlechte Zeiten für Umlaut- und Akzentnamen.
Ansonsten kannst Du Deinen signierten Schlüssel benutzen, um anderen zu zeigen, dass Governikus meint, dass der Schlüsselinhaber zumindest dem Namen nach zu demjenigen passt, der den Schlüssel mit dem Perso hat signieren lassen.
Das ist wohl der Fall. Aktuelle Software für Key Server (Hagrid) entfernt Signaturen, außer der eigenen (wenn ich das richtig in Erinnerung habe). Also macht es nur wirklich Sinn, wenn ich meinen Schlüssel direkt anbiete (eigener Server, Cloud) oder versende.
In Ergänzung meiner vorstehenden Ausführungen hier noch mein -zumindest für mich- abschließendes Endergebnis zur Frage: Macht es Sinn sich bei Governikus zu registrieren?
Dass es keinen „grünen Haken“ gibt wussten wir ja schon…
Ich habe aber auch festgestellt, dass, wenn sich der Empfänger den Schlüssel des Absenders anzeigen lässt, keinen Hinweis auf die Registrierung bei Governikus gibt.
Was habe ich gemacht? Ich habe zunächst den von Governikus bestätigten öffentlichen PGP-Schlüssel bei mir und meiner Frau in die Schlüsselverwaltung von Thunderbird importiert. Ergänzend hierzu gleiches mit dem öffentlichen Schlüssel von Governikus. Dann habe ich mir in Thunderbird meinen Schlüssel anzeigen lassen. Die Bestätigung von Governikus wird angezeigt. Abschliessend habe ich meiner Frau eine Mail geschickt und mir auf dem Rechner meiner Frau dann in der eingegangenen Mail wieder meinen Schlüssel anzeigen lassen. Ergebnis: Governikus wird nicht angezeigt !?
Sofern ich da nichts falsch gemacht habe (?), macht die Signierung bei Governikus doch überhaupt keinen Sinn. Hat jemand hier die gleiche Erfahrung gemacht ?
Das folgende stimmt nicht; die Funktionalität ist in Thunderbird nicht vorhanden. Wenn Deine Frau den Pubkey von Governikus importiert hat und ihm voll vertraut und auch Deinen PubKey (mit der Signatur von Governikus!) importiert, dann würde die Signatur von Dir als vertrauenswürdig angezeigt werden, auch wenn Deine Frau Deinem PubKey noch nicht das Vertrauen ausgesprochen hat.
Müsste dann in etwa so aussehen:
(Bei korrekter Signatur, aber nicht vollem Vertrauen wäre die normalerweise glaube ich gelb ist da ein blaues Fragezeichen:.
)
Edit: Farbe bei fehlendem Vertrauen korrigiert und Screenshot hinzugefügt
Edit2: Das scheint so noch gar nicht bei Thunderbird implementiert zu sein…
So wie Du es beschrieben hast habe ich es gemacht und zwar mit zwei meiner Mailadressen die ich bei Governikus signiert habe…
Lasse ich mir dann auf dem Rechner meiner Frau meine Schlüssel anzeigen fehlt jeweils der Hinweis auf Governikus.
Hm, Du hast recht. Ich sehe im Thunderbird auch nur Signaturen („Zertifizierungen“) bei meinen eigenen Schlüsseln. Ich kann aber nicht sagen, ob die Signaturen nur nicht angezeigt werden, oder in dem Keyring von Thunderbird tatsächlich nicht vorhanden sind.
Letzteres könnte dann die Vertrauensstellung zu Governikus verhindern
Nachtrag: Sieht so aus, als ob die Thunderbird-Implementierung das gar nicht unterstützt:
Thunderbird vertraut weder automatisch einem Schlüssel noch akzeptiert er Schlüssel, die von anderen signiert wurden.
Damit wäre die Signierung bei Governikus, zumindest für mich, endgültig sinnlos. Apple Mail zeigt übrigens aktuell überhaupt keine Beglaubigungen an. Lediglich gültig/ungültig wird angezeigt. Allerdings ist das GPG-Plugin (aus der GPG-Suite) aktuell noch im Beta Stadium.
Signaturen spielen bei GPG kaum noch eine Rolle, das Konzept ist gescheitert. Deshalb bringt eine Governikus Signatur kaum noch Nutzen.
Ich habe meinen Schlüssel damals noch durch die c’t Krypto-Kampagne signieren lassen. Und in der Firma haben wir Signing Parties durchgeführt. Die Zeiten sind vorbei.
