Re: [Cryptojim-devel] Planung

[Thilo H. <thi...@we...>]

Am 28.01.2005 um 17:57 schrieb arnd:

> Thilo Hannemann wrote:
>
>> bei der ganzen Key-Geschichte w=FCrde ich die PGP/GPG-Infrastruktur=20=

>> benutzen. Da gibt es schon alles, was du brauchst und du musst nicht=20=

>> das Rad neu erfinden. Ausserdem haben viele Leute schon einen=20
>> PGP/GPG-Key und brauchen dann keinen neuen zu erzeugen.
>
> Im Prinzip w=FCrde ich das zwar gerne tun, allerdings vermute ich das =
es=20
> schwer zu implementieren ist. Wei=DF jemand ob es f=FCr gpg eine Java=20=

> library gibt? Wahrscheinlich nicht, oder?

Das k=F6nnte in der Tat ein Problem darstellen. Wobei die Alternative,=20=

alles noch einmal zu programmieren auch nicht so doll ist. Man k=F6nnte=20=

vielleicht versuchen, die entsprechenden Teile von GPG in Java=20
umzuschreiben - obwohl das sicher auch ein gewaltiger Aufwand ist und=20
nur von einem Studenten zu bew=E4ltigen ist :-).

>>
>> Eine Zuordnung von ICQ# und Key ist nicht n=F6tig! Anhand des Keys=20
>> weiss man doch, wer die Nachricht geschrieben hat, egal unter welcher=20=

>> ICQ# er es gemacht hat. Das einzige was wirklich interessiert ist die=20=

>> Zuordnung Key <-> Name und die kriegst du =FCber die =
PGP-Infrastruktur.
>
> Meiner Meinung ist eine solche Zuordnung doch wichtig um die=20
> Verschl=FCsselung nahtlos in so einen Clienten zu integrieren.
> Nehmen wir an ich will jemanden aus meiner ICQ Liste eine ICQ=20
> Nachricht schicken:
> daf=FCr brauche ich SEINEN public key. Den muss ich also irgendwie=20
> bekommen. Du schl=E4gst vor den PGP Keyserver zu fragen, oki aber =
wonach=20
> soll ich suchen? Nach dem Namen? Woher soll ich den wissen? Ganz=20
> abgesehen davon das es Leute mit gleichem Namen gibt. Nach der Email=20=

> adresse? Woher soll ich die wissen?
>
> Das einzige was ich von dem anderen Benutzer wei=DF ist die ICQ Nummer=20=

> und deswegen muss es meiner Meinung nach eine feste Zuordnung  Key <->=20=

> ICQ# geben.

Auch bei ICQ gibt es doch die Autorisierung. Da sollte man den=20
Schl=FCsseltausch doch integrieren k=F6nnen. Und wenn ich einmal einen=20=

Schl=FCssel ausgetauscht habe kann ich das a la ssh l=F6sen: meckern, =
falls=20
dieselbe ICQ# pl=F6tzlich mit einem anderen Key ankommt. Die Zuordnung=20=

Key <-> ICQ# wird dann nur im jeweiligen Client vorgenommen.

Andere L=F6sung w=E4re: Wenn der Client eine ICQ message an jemanden=20
schickt, dessen Schl=FCssel er noch nicht hat, schickt er erstmal eine=20=

Zeile a la "Your're contact by xxxClient and your ICQ client doesn't=20
support the crypto protocoll. Please ignore this line." Der Client am=20
anderen Ende erkennt daran, dass ihn da jemand kontaktiert, der den=20
Schl=FCssel haben will und antwortet mit dem - wie auch immer gearteten=20=

Schl=FCssel. Dann hast du den Schl=FCssel. Und dass es der Schl=FCssel =
vom=20
entsprechenden User ist weiss du auch schon - immerhin hast du mit dem=20=

gerade geredet.

Falls der andere User einen anderen Client benutzt kriegt er als erste=20=

Nachricht diese Zeile, was ihn hoffentlich nicht zu sehr verwirrt und=20
ausserdem Werbung f=FCr den Client macht :-). Evtl. gibt es auch eine=20
M=F6glichkeit rauszufinden welchen Client die Gegenseite benutzt, ohne=20=

eine Nachricht zu schreiben.

Der einzige Nachteil ist, dass du jemanden keine verschl=FCsselte=20
Nachricht schreiben kannst wenn du noch nie mit ihm geredet hast und er=20=

nicht online ist wenn du die Nachricht schickst. Das sollte aber zu=20
verschmerzen sein. Man k=F6nnte nat=FCrlich die Clients auch mit anderen=20=

Clients Schl=FCssel mit dazugeh=F6rigen ICQ#ern austauschen lassen. =
Obwohl=20
man dann nat=FCrlich mitkriegen w=FCrde, welcher Client mit welchen =
Nummern=20
Kontakt hatte - das ist vielleicht nicht so gut.

Gr=FC=DFe,
Thilo