Know How: Software

GnuPG / gpg

  1. Key erzeugen
  2. Software signieren
  3. Signatur testen
  4. Unbrauchbarkeit

Einige Worte zu GnuPG

  • GnuPG ist zu kompliziert. Punkt
  • Die FAQ ist unverständlich. Punkt
  • Die Dokumentation (OOPS, jetzt ist sie woanders) ist noch unverständlicher. Ausrufezeichen
  • GnuPG ist für seinen Zweck vollkommen unbrauchbar, stellt aber trozdem die derzeit einzige mir bekannte sinnvolle Lösung für Signierung dar. (Signierung setzt ein freies und quelloffenes Environment voraus.)
Weil GnuPG zu kompliziert und die FAQ so unverständlich habe ich diese FAQ geschrieben, damit ich mich selber nicht an diesen GnuPG-Mist erinnern muß.

Hier ein paar Gedanken, wie ein Programm aussehen muss, mit dem man Signaturen erstellen und prüfen kann

  • Es muss ein Kommando sein, das immer funktioniert. (Version 1.0 des Programms muss auch noch Signaturen checken können, die mit einer Programmversion erzeugt wurde, die 256 Jahre älter ist, und umgekehrt.)
  • Es muss ein Kommando sein, das man ohne Optionen nutzen kann. (Es wird mit der zu checkenden bzw. zu signierenden Datei aufgerufen. Die passende Signaturdatei wird ggf. automatisch runtergeladen!)
  • Es muss ein Kommando sein, mit dem man auch ganze Verzeichnishierarchien prüfen oder signieren kann. (Aufruf mit dem Verzeichnis.)
  • Und es muss ein Kommando sein, dass alles automatisch macht, von der Commandline (und zwar so, dass es auch in grafischen Umgebungen sinnvoll anwendbar ist)
Der Schlüssel kann natürlich vorausgesetzt werden, aber der Schlüssel muss

  • automatisch in einen Keyserver fließen, durch typische Firewalls hindurch und ohne Probleme.
  • irgendwie zertifiziert sein.
  • eine automatische Revocation erlauben.
  • Bei einer Revocation muss es automatisch möglich sein, diesen alten Datenpakete wieder zu re-signieren, ohne viel Aufhebens oder Änderung irgendwelcher der Unterschriftendateien!

Eine kurze Liste der Hauptprobleme derzeitiger Signaturen hinsichtlich Softwaresignierung

  • Bezahlbare (von Trustcentern ausgegebene) zertifizierte Schlüssel sind für den Zweck der Softwaresignierung unbrauchbar.
  • Brauchbare zertifizierte Schlüssel sind (selbst für hauptberufliche Softwareentwickler) unbezahlbar.
  • Staatlich verordnete Schlüssel ("Elektronische Unterschrift") bringen Bürgern keinen Mehrwert, subventionieren aufgrund ihres vollkommen überteuerten Preises nur die Privatwirtschaft und sind für sinnvolle Zwecke derzeit vollkommen ungeeignet (ich habe keine Hoffnung dass sich das jemals ändert).
  • Keyserver verifizieren eMail-Adressen nicht, jeder kann für eine beliebige eMail-Adresse einen Key hochladen.
  • Ein Key von einem Keyserver sagt überhaupt nichts aus, das "Web of Trust" muss man als gescheitert ansehen.
Das Problem betrifft also nicht nur GnuPG oder ähnliche freien Tools, es ist allgemeines und globales Problem, das bisher nicht gelöst ist.

-Tino 2006-11-22, Update 2008-12-27