Serversicherheit und staatliche Stellen

  |   Source

Ich habe in meinem letzten Blogbeitrag eine Idee für die Verifikation der Identität von Schlüsselinhabern im PGP-Netzwerk formuliert. Inzwischen habe ich mich mit einigen Bekannten darüber unterhalten und mehrmals fast das gleiche Feedback erhalten:

  • Die Idee ist attraktiv, da sie prinzipiell die Datenschutzproblematik im Web of Trust lösen würde.
  • Die konkrete Umsetzung für mich als Privatperson ist problematisch, da meine Webseite zu schnell angegriffen werden könnte.

Konkret ging es um diesen Blogpost.

Der Kritikpunkt wird damit begründet, dass Hacker (teilweise im Dienst der Geheimdienste) meinen Server hacken könnten und so massenhaft Unterschriften erstellen könnten, sodass wirklich geprüfte und falsch erstellte Unterschriften nicht mehr zu unterscheiden wären.

Die Wahrheit ist: Die Kritik ist berechtigt. Als private Einzelperson habe ich nicht die Mittel einen Server so abzusichern, dass ein solcher Angriff unmöglich wäre. Ich müsste immer hoffen, dass es einfach nicht passiert. Das liegt nicht an meiner Unfähigkeit, sondern daran, dass kaum eine Privatperson auf dieser Welt über diese Möglichkeiten verfügt.

Im Idealfall würde meine Idee von einer staatlichen Stelle betrieben, die mit der (finanziellen) Macht einer Behörde die Sicherheit des Systems garantiert. Solange es aber noch keine staatliche Stelle gibt, die das macht, werden sich alle, die ein solches System nutzen wollen mit einem eingeschränkten Sicherheitslevel bei der nicht-Vergabe der Unterschriften abfinden müssen. Ich denke, dass es trotzdem ein Segen wäre ein solches System zu haben. Immerhin habe ich immer noch die Möglichkeit, auf die Vernetzung im Web of Trust zurückzufallen, sollten Seiten, wie die von mir geplante, angegriffen werden.

Für Ideen, wie man aus diesem Dilemma heraus käme, twittert mich an: @pinae2 ...