Ashura: "Öffentliche Zertifikate"?

Beitrag lesen

Hallo Sven.

Da der Private Key geheim bleiben muß, vergleicht man ihn natürlich nicht. Man vergleicht den Public Key. :)

Ja, ist soweit klar, nur am Verständnis mangelt es bei mir noch.

Jeder Dritte aber hat sich den Public Key nur aus einer möglicherweise unsicheren Quelle oder über einen unsicheren Übertragungsweg geholt, weshalb dieser manipuliert sein könnte.

Und wenn er nicht manipuliert worden ist, also wirklich korrekt ist?

Es hindert einen ja beispielsweise niemand daran, für eine gegebene Mailadresse einfach noch ein weiteres Key-Paar zu erstellen, um die Öffentlichkeit zu verwirren.

Eigentlich eine gute Idee, werde ich mir merken.

Erst die Kontrolle des Fingerprints (natürlich kann man auch den gesamten Schlüssel checken - das wäre aber wohl etwas zu aufwendig) klärt, ob Hersteller und Nutzer beide den gleichen Public Key haben.

Der Fingerprint ist meines Wissens ein Hash des öffentlichen Schlüssels.
Aber wenn der öffentliche Schlüssel beider Teilnehmer nun identisch ist, heißt dies doch aber noch lange nicht, dass der zu Überprüfende auch wirklich den zum öffentlichen Schlüssel gehörigen privaten Schlüssel besitzt, oder?

Einen schönen Freitag noch.

Gruß, Ashura

--
sh:( fo:} ch:? rl:( br: n4:~ ie:{ mo:| va:) de:> zu:} fl:( ss:) ls:[ js:|
„It is required that HTML be a common language between all platforms. This implies no device-specific markup, or anything which requires control over fonts or colors, for example. This is in keeping with the SGML ideal.“
[HTML Design Constraints: Logical Markup]