<<< Date Index >>>     <<< Thread Index >>>

spam, opportunistic encryption



Hallo,

On Wed, Jan 07, 2004 at 11:55:48PM +0100, Jan Lühr wrote:
> > On Thu, Jan 01, 2004 at 09:28:11PM +0100, Jan Lühr wrote:
> > Wie kommst Du zu dieser These? Es sieht eher so aus, als wollten
> > sie SMTP Spam-resistenter machen. Die Idee ist alt und gut, und ich
> > wünsche Ihnen viel Glück dabei!
> 
> Wie denn ohne ein eigenes geschlossenens Monopol zu bauen?

Das ist die große Frage. Ich kann mir aber nicht vorstellen,
daß irgendjemand auf ein Mail-System umsteigen möchte, mit dem
er keine Mails mehr von allen anderen Leuten empfangen kann, die
noch konventionelle Email benützen.

> > > Ich finde es aber wirklich witzig. Seid nunmehr über einen Jahrzehnt
> > > besteht mit Krypthographie die Möglichkeit genau das zu unterdrücken.
> > > Würde M$ zwangsweise einen PGP-Schlüssel für jeden Computer generieren -
> > > könnte man mühelos durch RBLs Spam vermeiden, aber so...
> > > Warum einfach wenn es auch kompliziert geht.
> >
> > Verschlüsseln aller Mails wäre für Spammer sicher ein Problem,
> > ist aber auch nicht so einfach einzuführen.
> 
> Sorry, war wohl ein missverständnis. Ich dachte an signieren und web-of-trust.

Das Web-Of-Trust skaliert nicht über Communities hinaus. Selbst
noch recht kleine Communities wie Debian kommen nicht ohne
eine strikte Signing-Policy aus, um ein ausreichenes Web-Of-Trust
zu etablieren.

Mein Vorschlag wäre: Von Email-Adressen auf die PGP-Fingerprints
als Adresse umsteigen. Der Mail-Client kann aus den Fingerprints
über die (denzentralen) Key-Server die Email-Adresse ermitteln
und die Mail zustellen. Außerdem wird jede Mail verschlüsselt
und signiert. Bei IM, Telefon, etc.. kommt man auch gut mit
Nummern als Adresse aus und die Mailprogramme könnten das
benutzerfreundlich mit lokalen Adressbüchern (so wie das IM-Clients
oder Handys machen) umsetzen. Mit etwas mehr Metadaten lassen
sich die Keyserver zu nützlichen "Telefon"büchern machen mit
Suchfunktion in den Mailclients. Adressen halten außerdem ewig
und man könnte das System auch auf Telefon, IM, ... ausdehnen,
so daß man nurnoch eine Adresse für alles hat.

Das Web-Of-Trust ist eine Scheiß-Idee, die nie funktioniert hat
und nicht funktionieren kann - außer in sehr kleinen Communities.

> > Filtern mit blacklists funktioniert aber nicht. Spammer könnten
> > sich doch beliebig neue Keys generieren. 
> 
> Beliebig, aber nicht unbedingt viele. Die errechnung eines Keys braucht schon 
> eine bestimmte Rechenzeit.

Der Effekt dürfte kaum ausreichen.

> > Anders wäre das, wenn
> > man ein Zertifikat zum Mailen braucht, das wäre aber eher ein
> > Horrorszenario.
> 
> Was wäre an einem gpg-Key zum Mailen Horror?
> Das ganze Zeug ist frei ("OpenPGP") und außderm dezentral.

Ich meine ein Zertifikat einer zentralen Instanz: einer
Behörde oder so, die sicherstellt, daß jeder nur einen
einzigen (oder einige wenige) Key hat, den er zum Mailen
verwenden kann.

Martin


Attachment: signature.asc
Description: Digital signature