Nein, aber
Für mich klingt das eindeutig.
An anderer Stelle hatte Prinz Hanisch aber auch schon geschrieben, sein Mailpartner wollte den Schlüssel nicht rausrücken. Später stellte sich dann heraus, dass er diesen sehr wohl erhalten hat.
Wias a jeder mag. Allerdings spiegelt es so nicht die ganze Kette aus Signatur - Schlüssel - Fingerprint wider.
Doch gerade! Der Abdruck des Schuhs ist dem Fingerprint gleichzusetzen!
Wenn mir, als Empfänger, jemand solch eine Signatur von sich aus anbietet, dann gehe ich selbstverständlich auch davon aus, dass er bereit ist, mich den Nutzen daraus ziehen zu lassen und deren Echtheit überprüfen zu lassen, mit Schlüssel und Fingerprint. Und dazu gibt es laut Hanisch offenbar wenig Bereitschaft.
Hanisch schreibt nur, die Person hat ihm nicht angeboten, den Fingerprint über Telefon zu überprüfen. Er hat noch nicht geschrieben, ob er selbst es ihm vielleicht mal angeboten hat, und wie die Reaktion hierauf war.
Und den Schlüssel scheint er ja schon lange zu haben...
Und woher will er, bitte schön, wissen, daß diese Dinge für mich nicht altbekannt sind? Diese Unterstellung hat mich irritiert, zumal mein Mail-Partner wissen sollte, daß ich kein blutiger Anfänger bin. Allerdings ging er irrtümlicherweise davon aus, daß ich von PGP nichts verstünde.
Das lag vielleicht an deinem etwas unbedarft anmutenden Kommentar. Kann es sein, dass du einfach nur gekränkt bist, weil jemand dachte, er müsste dir etwas erklären, was du längst schon weißt?
Ja, genau so war es.
Was mich aber total irritierte, daß mein Mail-Partner nicht sofort geantwortet hat: "Laß uns mal den Fingerprint überprüfen", statt mir die altbekannten Dinge von "Man-in-the-Middle-Attacke" vorzubeten.
Woher soll dein Mailpartner wissen, dass diese Dinge für dich altbekannt sind? Wie ich schon geschrieben hatte: Wenn mir jemand so einen naiv anmutenden Kommentar schicken würde, hätte ich auch den Eindruck, derjenige hat etwas ganz Grundsätzliches an PGP nicht verstanden und würde mich evtl. berufen fühlen, ihn dahingehend mal aufzuklären.
Im Gegensatz zum Märchen, hat unser Aschenputtel den Schuh ja nicht in der Eile aus Versehen verloren, sondern bewusst geschickt.
Das schließt du genau woraus? Wenn jemand seinen MUA so konfiguriert hat, dass grundsätzlich immer signiert wird, hat, dann wurde vielleicht einfach nur ganz beiläufig signiert.
Wenn ich das richtig lese, dann hat die betreffende Person Ihren Schlüssel sehr wohl dem Hanisch zukommen lassen.
War es vielleicht so:
Die Person verschickt eine Mail an Hanisch. Rein routinemäßig signiert, einfach weil der MUA so konfiguriert ist und ohne dass sich dahinter eine tiefere Bedeutung versteckt.
Hanisch antwortet:
Ey, ich kann die Signatur in der Mail nicht überprüfen, weil du den Schlüssel nicht mitgeschickt hast.
Darauf die Person:
Wenn du meinen Schlüssel willst, hier hast du ihn. Aber mal zum Verständnis: Zur Überprüfung der Signatur einer Mail ist es sinnfrei eben genau den Schlüssel heranzuziehen, der in selbiger enthalten ist, denn schließlich ist dieser (der Schlüssel) auch nicht vertrauenswürdiger als die Mail selbst.
PS: Und ja, ich halte es für angemessener, den Schlüssel mit dem Schuh gleichzusetzen. Der Schlüssel ist ja dasjenige welche, auf dessen Echtheit Verlass sein muss. Genau so, wie der Prinz im Märchen sich nur darauf verlassen konnte, dass der Schuh dem echten Aschenputtel gehört. Der Schuh war also das Instrument für die Verifikation. Genau wie es bei PGP der Schlüssel ist.
Nein. Prinz Hanisch geht zum vermeintlichen Aschenputtel und sagt: "Hab leider keinen Schuh, also gib mir mal einen, damit ich ihn dir anprobieren kann."
Darauf das vermeintliche Aschenputtel: "Ich kann dir gern 'nen Schuh von mir geben, aber wenn du denkst, dass du dadurch rausfindest, ob ich Aschenputtel bin, bist du schön blöd."
Würd ich nicht sagen. Manche Leute signieren ihre Mails eben grundsätzlich. Wenn der Empfänger den Schlüssel hat - prima. Wenn nicht, so what?
Und PS: Du scheinst zu verwechseln, wer hier Prinz und wer Aschenputtel ist.
Hallo Hanisch,
Nachdem ich ihm meinen öffentlichen Schlüssel übersandt hatte, schickte er mir endlich auch seinen mit folgendem Kommentar:
"...Trotzdem will ich an dieser Stelle aber nochmal darauf hinweisen, dass es streng genommen ziemlich sinnfrei ist, sich den öffentlichen Schlüssel einer anderen Person per Email zukommen zu lassen, um dann die Authentizität der Email selbst zu überprüfen - solange ich nicht sicher sein kann, dass die Email wirklich von der entsprechenden Person ist, kann ich ja wohl erst recht nicht sicher sein, dass der in der Email enthaltene öffentliche Schlüssel wirklich zu dem privaten Schlüssel dieser Person "passt", ..."
also mal rein theoretisch angenommen, du hättest deinem Mailpartner zuvor gesagt: "Ey, du hast in der signierten Mail vergessen, den Schlüssel mitzuschicken, und deswegen kann ich die Signatur nicht überprüfen"... dann würde ich dir genau das Gleiche antworten. Du musst den Satz schon vollständig lesen; der Nebensatz "um dann die Authentizität der Email selbst zu überprüfen" ist ja wohl ziemlich essenziell und absolut richtig: Ja, es ist sinnfrei, die Authentizität einer PGP-signierten Mail zu überprüfen, wenn man sich dabei auf genau den Schlüssel verlässt, der in der zu überprüfenden Mail selbst enthalten ist. Das ist ungefähr so, wie wenn Aschenputtel selbst dem Prinzen den Schuh überreicht, den dieser ihr dann anprobieren soll 
