GPG Subkeys?
Sebastian Inacker
inacker at gmx.de
Tue Jun 22 22:36:45 CEST 2004
Hallo.
On Tue, Jun 22, 2004 at 08:39:12PM +0200, Stefan Ulrich Hegner wrote:
> ich möchte mir für meine berufliche Tätigkeit auch einen GPG Key
> erzeugen. Nun wäre es dumm, mit einem neuen Key bei null anzufangen.
> [...]
Ich hab' nochmal kurz nachgedacht - angeregt durch Florians Mail.
Grade bei einem "Firmen-Key" /kann/ es unwichtig sein, ob der gut im
Web Of Trust verankert ist oder nicht. (Kommt natuerlich auch etwas
auf das Geschaeft an.)
Nehmen wir an, Du hast einen 1 Jahr gueltigen Key und Kunden, die
wissen, was PGP/GPG ueberhaupt ist. Dann tauschst Du bei Vertragsab-
schluss die Schluessel-Daten aus und ihr beide signiert den anderen
Key lokal. Dann kannst Du Informationen usw. an den Kunden schicken
und ihr beide seid euch sicher, wer das Gegenueber ist. Dafuer ist es
ja egal, ob Du im strong set drin bist oder nicht. Wichtig ist die
direkte Verbindung zum Kunden.
Lokale Signatur, weil es ggf. nicht erwuenscht sein koennte, dass
andere Kunden wissen, wer Deine anderen Kunden sind oder wer Kunde bei
Dir ist. (Kann ja vorkommen.) Du hast dann einen Key ganz ohne
oeffentliche Unterschriften - und trotzdem den vollen Vorteil von
Unterschriften.
Tschuess,
Sebastian
More information about the Linux
mailing list