---

Hej,

Ved det nogen gange nærmest fører til lynch stemning, men hvad med en
hurtig quick poll?

Jeg er nysgerrig på hvad for en E-mail klient I andre anvender.

Jeg har smidt en quickpoll her:

http://home19.inet.tele.dk/phj/misc/emailpoll.htm

Jeg har skrevet en række klienter til Windows, og det er primært det
jeg er interesseret i. Bruger du en anden spændende klient så skriv
det som svar her.

Synes du QP stinker... Hop videre til næste indlæg

--
Palle

---

Palle Jensen <usenetmail@tiscali.dk> writes:

> Jeg har skrevet en række klienter til Windows, og det er primært det
> jeg er interesseret i. Bruger du en anden spændende klient så skriv
> det som svar her.

Jeg bruger Gnus under Linux, men den kan også køre under både Windows
og en masse andre Unix-varianter.

--
Jacob - www.bunk.cc
Accept people for what they are -- completely unacceptable.

---

> Jeg bruger Gnus under Linux, men den kan også køre under både
> Windows og en masse andre Unix-varianter.

OK. Kan det passe dets GUI ser således ud?

http://oszedo.de/gnus/screenshot-big.html

Sådan lidt raw look.

---

Palle Jensen <usenetmail@tiscali.dk> writes:

> OK. Kan det passe dets GUI ser således ud?
>
> http://oszedo.de/gnus/screenshot-big.html

Sådan kan den se ud, hvis man bruger XEmacs. Jeg bruger Emacs. Der
ligger et relativt nyt screenshot af min Gnus på
<http://ting.bunk.cc/bedre.png>. Der har jeg dog kun en article-buffer
åben.

> Sådan lidt raw look.

Tjo ... du finder næppe en newsreader/mailklient med flere features.

--
Jacob - www.bunk.cc
So you're back... about time...

---

> Tjo ... du finder næppe en newsreader/mailklient med flere
> features.

Bevares Det var bare en konstatering. OK. Bliver det ascii agtige
billeder bliver jeg lidt forfængelig, men funktionalitet er bestemt
vigtigt. Og det ene udelukker somme tider ikke det andet.

---

Jacob Bunk Nielsen <spam@bunk.cc> writes:

> Sådan kan den se ud, hvis man bruger XEmacs. Jeg bruger Emacs.

Jeg bør nok lige uddybe med at jeg bruger GNU Emacs.

GNU Emacs holder til på <http://www.gnu.org/software/emacs/>, mens
XEmacs er at finde på <http://www.xemacs.org/>.

--
Jacob - www.bunk.cc
Life is both difficult and time consuming.

---

Palle Jensen <usenetmail@tiscali.dk> writes:

> Bevares Det var bare en konstatering. OK. Bliver det ascii agtige
> billeder bliver jeg lidt forfængelig, men funktionalitet er bestemt
> vigtigt. Og det ene udelukker somme tider ikke det andet.

Hvad mener du? Emacs (21) kan skam sagtens vise billeder inline. På
<http://ting.bunk.cc/linuxpusher.images.png> kan du se at jeg har
besøgt en af mine venners hjemmeside med w3m fra Emacs, og der er da
masser af billeder.

Jeg har valgt ikke at modtage HTML-email, så jeg kan ikke vise dig en
HTML-mail med halløj i Gnus.

--
Jacob - www.bunk.cc
A little experience often upsets a lot of theory.

---

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Palle Jensen <usenetmail@tiscali.dk> writes:

> Bliver det ascii agtige billeder bliver jeg lidt forfængelig, men
> funktionalitet er bestemt vigtigt. Og det ene udelukker somme tider
> ikke det andet.

Det er ikke ASCII-agtigt, det _er_ ASCII... eller hvilket tegnsæt, man
nu tilfældigvis benytter. Emacs er en teksteditor, der kan alt (blandt
andet), og Gnus er en applikation i Emacs, skrevet i Emacs' indbyggede
programmeringssprog. Det tror jeg ikke blev gjort klart.

Gnus er ikke til folk, der ikke kan lide manuelt at rette
konfigurationsfiler samt komplicerede brugerflader, som betjenes stort
set udelukkende med tastaturet. Er det ikke et problem, kan Gnus blive
din bedste ven af alle.

Martin

- --
Homepage: http://www.cs.auc.dk/~factotum/
GPG public key: http://www.cs.auc.dk/~factotum/gpgkey.txt
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: Using Mailcrypt+GnuPG <http://www.gnupg.org>

iEYEARECAAYFAj3cFpkACgkQYu1fMmOQldVc2QCgvaQDPWFGbsbfZz8udzaw77u+
j/IAoODeuSCv6aFUUwkH9dBm4Ml63Akf
=CZKd
-----END PGP SIGNATURE-----

---

Palle Jensen <usenetmail@tiscali.dk> writes:

>> Jeg bruger Gnus under Linux, men den kan også køre under både
>> Windows og en masse andre Unix-varianter.
>
> OK. Kan det passe dets GUI ser således ud?
>
> http://oszedo.de/gnus/screenshot-big.html
>
> Sådan lidt raw look.

Ugh, det er ikke særligt pænt. Lad os bare sige at Gnus kan tilpasses
til at se meget forskellig ud

Normalt ser min Gnus sådan ud <http://purl.org/harder/gnus.png>. Det er
IMHO ikke vildt anderledes end de fleste GUI newsklienter.

Men Gnus kan *også* bruges i ren tekst-terminal. Der er praktisk, fordi
man så bare kan telnette til sin maskine med Gnus og læse news (næsten)
som man plejer, ligegyldigt hvor man er.

Når man bruger Gnus i tekst-mode, ser det selvfølgeligt noget mere råt
ud: <http://purl.org/harder/gnus-term.png>

---

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Jesper Harder <harder@myrealbox.com> writes:

> Normalt ser min Gnus sådan ud <http://purl.org/harder/gnus.png>. Det er
> IMHO ikke vildt anderledes end de fleste GUI newsklienter.

Hvordan får du den til at lave de 'trapper'? Jeg kunne ikke lige finde
noget i Info-siderne om det.

Martin

- --
Homepage: http://www.cs.auc.dk/~factotum/
GPG public key: http://www.cs.auc.dk/~factotum/gpgkey.txt
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: Using Mailcrypt+GnuPG <http://www.gnupg.org>

iEYEARECAAYFAj3dBuMACgkQYu1fMmOQldXBlwCgou8jnoOv19gpp+qKX0m6Lu6/
CtwAnRzTkl6XlV046BvBAxDuXE9lYeb4
=vcf3
-----END PGP SIGNATURE-----

---

Martin Christensen <knightsofspamalot-factotum@gvdnet.dk> writes:

> Jesper Harder <harder@myrealbox.com> writes:
>
>> Normalt ser min Gnus sådan ud <http://purl.org/harder/gnus.png>. Det er
>> IMHO ikke vildt anderledes end de fleste GUI newsklienter.
>
> Hvordan får du den til at lave de 'trapper'? Jeg kunne ikke lige finde
> noget i Info-siderne om det.

Det er %B i `gnus-summary-line-format'. Jeg bruger dette:

(setq gnus-summary-line-format "%U%R%z %B%-23,23n %s\n")
(when (eq 'x window-system)
(setq gnus-sum-thread-tree-root "")
(setq gnus-sum-thread-tree-single-indent "")
(setq gnus-sum-thread-tree-leaf-with-other "├╮ ")
(setq gnus-sum-thread-tree-vertical "│")
(setq gnus-sum-thread-tree-single-leaf "╰─╮ "))

---

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Jesper Harder <harder@myrealbox.com> writes:

>> Hvordan får du den til at lave de 'trapper'? Jeg kunne ikke lige finde
>> noget i Info-siderne om det.
> Det er %B i `gnus-summary-line-format'. Jeg bruger dette:

Takker!

Martin

- --
Homepage: http://www.cs.auc.dk/~factotum/
GPG public key: http://www.cs.auc.dk/~factotum/gpgkey.txt
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: Using Mailcrypt+GnuPG <http://www.gnupg.org>

iEYEARECAAYFAj3dVucACgkQYu1fMmOQldXwLwCfQex1THacEFWSc/kVhl4HUcAj
jLgAni5iVUoyhkuz1druLWPXJ476neSi
=qR4a
-----END PGP SIGNATURE-----

---

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Palle Jensen <usenetmail@tiscali.dk> writes:

> Jeg er nysgerrig på hvad for en E-mail klient I andre anvender.

Hvorfor grepper du så ikke gruppen igennem og kigger efter passende
headere (X-Mailer, X-Newsreader, User-Agent...) og laver noget
statistik for det? Alternativt kan du jo se på
http://www.usenet.dk/statistik/ og
http://www.lundhansen.dk/bertel/statistik/statistik.htm.

Martin

- --
Homepage: http://www.cs.auc.dk/~factotum/
GPG public key: http://www.cs.auc.dk/~factotum/gpgkey.txt
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: Using Mailcrypt+GnuPG <http://www.gnupg.org>

iEYEARECAAYFAj3cGF8ACgkQYu1fMmOQldVtrQCfbntbSKE2hBuENbEnaaEOsWrY
NEwAoMkipyNRWywdRQoQNx6hUl+jOuVL
=njs3
-----END PGP SIGNATURE-----

---

Martin Christensen <knightsofspamalot-factotum@gvdnet.dk> writes:
> Palle Jensen <usenetmail@tiscali.dk> writes:
>
>> Jeg er nysgerrig på hvad for en E-mail klient I andre anvender.
>
> Hvorfor grepper du så ikke gruppen igennem og kigger efter passende
> headere (X-Mailer, X-Newsreader, User-Agent...) og laver noget
> statistik for det?

Fordi det jo ikke er sikkert at folk bruger det samme program til mail
som de bruger til news. Der er masser af mailprogrammer der ikke kan
bruges til news.

--
Jacob - www.bunk.cc
You can make it illegal, but you can't make it unpopular.

---

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Jacob Bunk Nielsen <spam@bunk.cc> writes:

>> Hvorfor grepper du så ikke gruppen igennem og kigger efter passende
>> headere (X-Mailer, X-Newsreader, User-Agent...) og laver noget
>> statistik for det?
> Fordi det jo ikke er sikkert at folk bruger det samme program til mail
> som de bruger til news. Der er masser af mailprogrammer der ikke kan
> bruges til news.

Javel... og det har du jo ret i, det findes der mange eksempler på;
Outlook (Express), for eksempel, kan jo ikke bruges til news,
nøjagtigt på samme måde, som den ikke kan bruges til mail.

Martin

- --
Homepage: http://www.cs.auc.dk/~factotum/
GPG public key: http://www.cs.auc.dk/~factotum/gpgkey.txt
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: Using Mailcrypt+GnuPG <http://www.gnupg.org>

iEYEARECAAYFAj3cLKAACgkQYu1fMmOQldXg7wCfWOxZ8Qjgs8nuT65esOxkMKHY
Kp0AnAgELcMlqZskmQrvp9AokgcFjY7t
=ludQ
-----END PGP SIGNATURE-----

---

Martin Christensen skrev:

> Javel... og det har du jo ret i, det findes der mange eksempler
> på; Outlook (Express), for eksempel, kan jo ikke bruges til news,
> nøjagtigt på samme måde, som den ikke kan bruges til mail.

I det mindste så kan nyeste version af OE lave en korrekt
signaturadskiller. Kan din newsreader også finde ud af det? ;)

--
Med venlig hilsen
Madsen.

---

Martin Christensen skrev:

> -----BEGIN PGP SIGNED MESSAGE-----

Er dine usenetbeskeder så vigtige så de skal PGP-signeres?
Din signatur bør holdes på maks 4 linjer af 72 tegn, jf.
<http://www.usenet.dk/netikette/signatur.html> (og så bør du rette
din signaturadskiller som Madsen også har påpeget).

> Javel... og det har du jo ret i, det findes der mange
> eksempler på; Outlook (Express), for eksempel, kan jo ikke
> bruges til news, nøjagtigt på samme måde, som den ikke kan
> bruges til mail.

Der er vist noget du har misforstået.
Outlook er et mailprogram. Det kan ikke læse news. Til gengæld kan
det fungere som klient på et exchangenetværk (med kalenderstyring
o.l.)

Outlook Express er et kombineret mail/newsprogram. Det er gratis,
men det kan ikke bruges mod en excangeserver.

Det er to forskellige programmer.
--
Jens Gyldenkærne Clausen
MF (medlem af FIDUSO - www.fiduso.dk)
I ovenstående tekst benyttes nyt komma
(rettelser modtages gerne i dk.kultur.sprog)

---

Madsen <nospam@madsen.tdcadsl.dk> writes:

> I det mindste så kan nyeste version af OE lave en korrekt
> signaturadskiller. Kan din newsreader også finde ud af det? ;)

Ja, Gnus kan godt lave en korrekt signaturadskiller, og den Martin
bruger er også helt korrekt, den kræver blot at man lige afkoder den
der PGP-signatur-kodning (som jeg ikke kan huske hvad hedder, men den
siger noget i retning af at linjer der starter med '-' skal markeres
ved at de i stedet skal starte med '- '). Min Gnus viser den helt
korrekt. Se <http://ting.bunk.cc/signatur.png>, markøren er sat sidst
på linjen.

Men det kan din newsreader åbenbart ikke finde ud af

--
Jacob - www.bunk.cc
Overflow on /dev/null, please empty the bit bucket.

---

Madsen, du skrev:

>> Det er teksten/budskabet også <http://stegen.dk/temp/pgp-look.gif>
>>
>
> Tja. :)

?-150 Body: {\bBEGIN PGP SIGNED MESSAGE\b}
Jeg gider ikke se på sådan en øjebæ.

--
Henrik

---

Henrik K Hansen skrev:

> ?-150 Body: {\bBEGIN PGP SIGNED MESSAGE\b}

Det var selvfølgelig også en mulighed.

--
Med venlig hilsen
Madsen.

---

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Madsen <nospam@madsen.tdcadsl.dk> writes:

>> ?-150 Body: {\bBEGIN PGP SIGNED MESSAGE\b}
>
> Det var selvfølgelig også en mulighed.

Hvad snakker I om? Mig ikke forstå!

Martin

- --
Homepage: http://www.cs.auc.dk/~factotum/
GPG public key: http://www.cs.auc.dk/~factotum/gpgkey.txt
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: Using Mailcrypt+GnuPG <http://www.gnupg.org>

iEYEARECAAYFAj3exc0ACgkQYu1fMmOQldXaEwCg0GI8fD/Jdw1jfHOmTjn+fQdU
+RAAniCAGVQc0AN454VVNFQrHuNCpHfq
=8Plg
-----END PGP SIGNATURE-----

---

On Sat, 23 Nov 2002 01:03:25 +0100, Martin Christensen wrote:

>Hvad snakker I om? Mig ikke forstå!

En scorefile så vidt jeg kan bedømme. (Jeg er ikke helt dus med Hamster
endnu)
Hver gang du bruger den der PGP nøgle mister du 150 point i scorefilen.
På et eller andet tidspunkt begår du 'selvmord' hos brugere som anvender
den indstilling i scorefilen, og så ser de ikke mere til dig.

--
Mvh. Brian Jensen
http://www.briannospam.dk - (last updated 09/11-02)

---

Jacob Bunk Nielsen skrev:

> Ja, Gnus kan godt lave en korrekt signaturadskiller, og den
> Martin bruger er også helt korrekt, den kræver blot at man
> lige afkoder den der PGP-signatur-kodning

> Men det kan din newsreader åbenbart ikke finde ud af

Hvor mange programmer kan det?

OE kan ikke.
Xnews kan ikke.
Dialog kan ikke.
(brugere af andre programmer må gerne udvide listen).

Skal en standardoverholdende usenetklient i det hele taget kunne
afkode PGP?
--
Jens Gyldenkærne Clausen
MF (medlem af FIDUSO - www.fiduso.dk)
I ovenstående tekst benyttes nyt komma
(rettelser modtages gerne i dk.kultur.sprog)

---

Jens Gyldenkærne Clausen <jens@gyros.invalid> writes:
> Jacob Bunk Nielsen skrev:
>
>> Ja, Gnus kan godt lave en korrekt signaturadskiller, og den
>> Martin bruger er også helt korrekt, den kræver blot at man
>> lige afkoder den der PGP-signatur-kodning [ ... ]
>
> Hvor mange programmer kan det?

Det ved jeg ikke, jeg bruger kun et, og det kan

Jeg testede lige lidt ... Knode kunne ikke, og slrn kunne heller ikke
(i hvert fald ikke i standardopsætningen, som jeg blot brugte).

> Skal en standardoverholdende usenetklient i det hele taget kunne
> afkode PGP?

Det kommer vel an på hvilke standarder den overholder.

De eneste der normalt sender PGP-signerede indlæg er styregruppen.

--
Jacob - www.bunk.cc
That would be because the software doesn't work.

---

Jacob Bunk Nielsen skrev:

>> Hvor mange programmer kan det?
>
> Det ved jeg ikke, jeg bruger kun et, og det kan

Standarder der kun virker i et program - hvor er det man har
oplevet det før...


>> Skal en standardoverholdende usenetklient i det hele taget
>> kunne afkode PGP?
>
> Det kommer vel an på hvilke standarder den overholder.

De standarder som en newsklient må formodes at overholde - hverken
mere eller mindre. Min pointe er at siden afkodningen af PGP
tilsyneladende er så dårligt understøttet er det næppe et formelt
krav til et usenetprogram. Jeg kender ikke RFC'erne, så jeg kan
ikke trække referencer hverken for eller imod.

> De eneste der normalt sender PGP-signerede indlæg er
> styregruppen.

Ja - og netop med officielle meddelelser fra styregruppen er det
rart med en sikker signatur. I alle andre tilfælde er det i mine
øjne manglende netikette.
--
Jens Gyldenkærne Clausen
MF (medlem af FIDUSO - www.fiduso.dk)
I ovenstående tekst benyttes nyt komma
(rettelser modtages gerne i dk.kultur.sprog)

---

Jacob Bunk Nielsen skrev:

> Men det kan din newsreader åbenbart ikke finde ud af

Åbenbart ikke. :)
Jeg spørger så mig selv hvor vigtigt det er at en signatur er
PGP-kodet.

--
Med venlig hilsen
Madsen.

---

Jens Gyldenkærne Clausen <jens@gyros.invalid> writes:

> Standarder der kun virker i et program - hvor er det man har
> oplevet det før...



Forskellen er at det ikke er en standard Gnus-udviklerne selv har
fundet på.

> De standarder som en newsklient må formodes at overholde - hverken
> mere eller mindre. Min pointe er at siden afkodningen af PGP
> tilsyneladende er så dårligt understøttet er det næppe et formelt
> krav til et usenetprogram.

Uha, hvis det var argumentationen for hvilke standarder man burde
følge, så brugte vi alle et eller andet Windows-tegnsæt og lavede
mærkeligt ombrudte citater (OE-style).

Hvad betragter du i øvrigt som et formelt krav til en newsreader?

> Jeg kender ikke RFC'erne, så jeg kan ikke trække referencer hverken
> for eller imod.

Jeg kan desværre heller ikke lige huske hvor det med '- --' kommer
fra, men jeg kan huske at det har været oppe før, vistnok her i
gruppen. Måske har Jesper Harder en kommentar, han er vist en del
bedre inde i såvel relevante standarder som Gnus end jeg.

> Ja - og netop med officielle meddelelser fra styregruppen er det
> rart med en sikker signatur. I alle andre tilfælde er det i mine
> øjne manglende netikette.

Enig!

Men hvad hjælper den sikre signatur når nu den er så dårligt
understøttet?

--
Jacob - www.bunk.cc
When you don't know what to do, walk fast and look worried.

---

Jacob Bunk Nielsen skrev:

> Forskellen er at det ikke er en standard Gnus-udviklerne selv
> har fundet på.

Spørgsmålet er om de bruger en standard udenfor det område den er
defineret til.


>> Min pointe er at siden afkodningen af PGP tilsyneladende er
>> så dårligt understøttet er det næppe et formelt krav til et
>> usenetprogram.

> Uha, hvis det var argumentationen for hvilke standarder man
> burde følge, så brugte vi alle et eller andet Windows-tegnsæt
> og lavede mærkeligt ombrudte citater (OE-style).

Nej. Jeg tænker ikke på udbredelsen af programmer når jeg taler om
understøttelse (så ville alt være MS-like).


> Hvad betragter du i øvrigt som et formelt krav til en
> newsreader?

GNKSA kunne være et bud:
<http://www.xs4all.nl/~js/gnksa/gnksa.txt>. Det er dog ikke helt
nok - der er ikke nævnt noget om tegnsæt der.

Men jeg mente egentlig et officielt dokument - RFC eller lignende -
hvis et sådant findes.



>> Ja - og netop med officielle meddelelser fra styregruppen er
>> det rart med en sikker signatur. I alle andre tilfælde er det
>> i mine øjne manglende netikette.

> Men hvad hjælper den sikre signatur når nu den er så dårligt
> understøttet?

Jeg har godt nok aldrig prøvet det, men man kan vel i princippet
kopiere PGP-signaturen og kontrollere den i et dertil egnet program
(indrømmet -det er lettere med et program der kan klare det uden
hjælp).
--
Jens Gyldenkærne Clausen
MF (medlem af FIDUSO - www.fiduso.dk)
I ovenstående tekst benyttes nyt komma
(rettelser modtages gerne i dk.kultur.sprog)

---

Jens Gyldenkærne Clausen <jens@gyros.invalid> writes:
> Jacob Bunk Nielsen skrev:
>
>> Forskellen er at det ikke er en standard Gnus-udviklerne selv
>> har fundet på.
>
> Spørgsmålet er om de bruger en standard udenfor det område den er
> defineret til.

PGP er nok mest noget man bruger i forbindelse med mail. I Gnus er der
dog ikke ret meget forskel på mail og news, og det kan være der
"problemet" opstår. Jeg skriver bevidst "" om problemet, da jeg højst
ser det som et mindre brud på god netikette, nemlig at tage hensyn til
at der også er folk der bruger andet software og andre opsætninger end
een selv.

>> Hvad betragter du i øvrigt som et formelt krav til en
>> newsreader?
>
> GNKSA kunne være et bud:
> <http://www.xs4all.nl/~js/gnksa/gnksa.txt>. Det er dog ikke helt
> nok - der er ikke nævnt noget om tegnsæt der.

Ja, GNKSA fortæller hvordan en newsreader som minimum bør opføre
sig, alligevel er der alt for mange newsreadere der dumper

Det er selvsagt klart at man bruger forskellige tegnsæt
forskellige steder i verden.

> Men jeg mente egentlig et officielt dokument - RFC eller lignende -
> hvis et sådant findes.

Der er RFC 1036 (Standard for Interchange of USENET Messages), men
den er temmelig aldrende og RFC 1855 (Netiquette Guidelines), som
stort set bare siger det samme som der også står på
<http://usenet.dk/>.

Netop fordi RFC 1036 findes der også noget der hedder usefor. Se
<http://www.landfield.com/usefor/>, som jeg dog ikke har læst. Men der
er vist ikke ret mange klienter der lever op til den. Jeg vil
umiddelbart tro at Gnus ligger i den gode ende.

RFC 2076 (Common Internet Message Headers) specificerer ikke nogen
standard, men kan være praktisk at slå op i.

--
Jacob - www.bunk.cc
Indecision is the true basis for flexibility.

---

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Madsen <nospam@madsen.tdcadsl.dk> writes:

> I det mindste så kan nyeste version af OE lave en korrekt
> signaturadskiller. Kan din newsreader også finde ud af det? ;)

Gnus kan blandt andet alt. Jeg synes, det er temmeligt skræmmende, at
man har måtte vente så pokkers mange år på, at OE får rettet så
forbandet enkel en ting. Så svært er det sgu heller ikke at læse en
RFC!

Apropos RFC'er, siden du kritiserer mig/min newsreader, kan jeg kun
henvise dig til RFC 2440, §7.1.

Martin

- --
Homepage: http://www.cs.auc.dk/~factotum/
GPG public key: http://www.cs.auc.dk/~factotum/gpgkey.txt
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: Using Mailcrypt+GnuPG <http://www.gnupg.org>

iEYEARECAAYFAj3dAy4ACgkQYu1fMmOQldUQ5QCdHK+IPeiPVC3ZI3+B1OnacTS6
aFkAoL5cp4eSIY94J97FgCUZWl8pIX2m
=ntTT
-----END PGP SIGNATURE-----

---

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Jacob Bunk Nielsen <spam@bunk.cc> writes:

> Jeg kan desværre heller ikke lige huske hvor det med '- --' kommer
> fra, men jeg kan huske at det har været oppe før, vistnok her i
> gruppen.

RFC 2440, §7.1,

Martin

- --
Homepage: http://www.cs.auc.dk/~factotum/
GPG public key: http://www.cs.auc.dk/~factotum/gpgkey.txt
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: Using Mailcrypt+GnuPG <http://www.gnupg.org>

iEYEARECAAYFAj3dA5wACgkQYu1fMmOQldVIbwCg0poEmpjrL0Rvtdpe1PBZFlhM
nDIAoLPBYx46hFe39dDcq95PSAR6d99t
=Cyxt
-----END PGP SIGNATURE-----

---

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Jens Gyldenkærne Clausen <jens@gyros.invalid> writes:

>> Men det kan din newsreader åbenbart ikke finde ud af
> Hvor mange programmer kan det?
>
> OE kan ikke.
> Xnews kan ikke.
> Dialog kan ikke.
> (brugere af andre programmer må gerne udvide listen).
>
> Skal en standardoverholdende usenetklient i det hele taget kunne
> afkode PGP?

Der er ikke krav om, at RFC 2440 skal overholdes, men det er på det
nærmeste uhyggeligt simpelt at skjule digitale signaturer. Faktisk kan
det implementeres blot med lidt klippeklistre med 2-3 regulære udtryk,
så jeg har ærligt talt meget svært ved at forstå, hvad de forskellige
klienters producenter kan finde på af undskyldninger for ikke at gøre
det. Det ville selvfølgeligt være meget bedre, hvis fx Outlook/OE
forstod, hvad text/plain som MIME type betyder (det er en tekstdel af
en almindelig besked, ikke nødvendigvis en vedhæftet fil, for pokker
da!), så man kunne komme til at bruge PGP/MIME uden at få klager på
stribe. Så slap vi også for det bøvl med at frafiltrere in-line
OpenPGP-signaturer.

Med andre ord, hvor svært kan det være? Klag til producenten. En
løsning kan ikke tage meget mere end en time eller to at
implementere.

Martin

- --
Homepage: http://www.cs.auc.dk/~factotum/
GPG public key: http://www.cs.auc.dk/~factotum/gpgkey.txt
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: Using Mailcrypt+GnuPG <http://www.gnupg.org>

iEYEARECAAYFAj3dBh8ACgkQYu1fMmOQldWfoACbBQE++thtQDlU9zqIc7cyIGVt
zTQAoNeN5RBrC4NM0FeguQj+ePcIjeq5
=cJzr
-----END PGP SIGNATURE-----

---

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Jens Gyldenkærne Clausen <jens@gyros.invalid> writes:

> Ja - og netop med officielle meddelelser fra styregruppen er det
> rart med en sikker signatur. I alle andre tilfælde er det i mine
> øjne manglende netikette.

Jeg er ked af, at selv fornuftige mennesker har det syn på sagen. For
mig er det vigtigt at vide, til dels pga. nogle meget dårlige
erfaringer med forfalskede beskeder, at hvad jeg skriver beviseligt er
hvad folk kommer til at læse. Det undrer mig, at ikke flere deler
denne holdning. Digitale signaturer er desuden næsten uden værdi, hvis
ikke de bliver brugt konsekvent.

Martin

- --
Homepage: http://www.cs.auc.dk/~factotum/
GPG public key: http://www.cs.auc.dk/~factotum/gpgkey.txt
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: Using Mailcrypt+GnuPG <http://www.gnupg.org>

iEYEARECAAYFAj3dBIwACgkQYu1fMmOQldXkVwCg3amR/DConZMHBn9q7kfPp/wb
JesAoNR/52m4EKjN5Q1NFjXDK78S141o
=481t
-----END PGP SIGNATURE-----

---

On Thu, 21 Nov 2002 17:06:36 +0100, Martin Christensen wrote:

>Jeg er ked af, at selv fornuftige mennesker har det syn på sagen.

Det er nok et levn fra den tid, hvor alle brugte modem.

Dengang argumentede mange for, at der skal spares på båndbredden hvor
det var muligt, og det er nok en af grundende til 4*72 reglen mht
signaturer

Digitale signaturer og vcards er typisk på mindst 8-10 linier eller
mere, og blev (bliver?) derfor betragtet som unødig spild af båndbredde.

> For
>mig er det vigtigt at vide, til dels pga. nogle meget dårlige
>erfaringer med forfalskede beskeder

Den slags kan verificeres.

>, at hvad jeg skriver beviseligt er
>hvad folk kommer til at læse.

Teknisk set kan jeg jo nemt kopiere din fine digitale signatur, ind i
min egen signatur. Hvis jeg så samtidig angiver dit navn og e-dresse som
afsender, vil det stadig for den ukyndige se ud, som om at du er
forfatter til et indlæg du reelt intet har haft med at gøre.

>Det undrer mig, at ikke flere deler
>denne holdning. Digitale signaturer er desuden næsten uden værdi, hvis
>ikke de bliver brugt konsekvent.

Digitale signaturer er helt uden værdi, hvis læserne ikke afprøver dem i
hvert enkelt tilfælde.

Hvem gider verificere en digital signatur på hvert enkelt indlæg han/hun
læser i nyhedsgrupperne?
- Jeg verificerer da ikke engang SG-medlemmernes PGP.sig. når de bruger
den, og for min skyld kunne de såmænd godt droppe den.

--
Mvh. Brian Jensen
http://www.briannospam.dk - (last updated 09/11-02)

---

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Jens Gyldenkærne Clausen <jens@gyros.invalid> writes:

> Der er vist noget du har misforstået.
> Outlook er et mailprogram. Det kan ikke læse news. Til gengæld kan
> det fungere som klient på et exchangenetværk (med kalenderstyring
> o.l.)
>
> Outlook Express er et kombineret mail/newsprogram. Det er gratis,
> men det kan ikke bruges mod en excangeserver.

Det var pokkers! Så har jeg misforstået en par af mine venner, som jeg
bestemt mente bruger Outlook til news. Tak for rettelsen!

Martin

- --
Homepage: http://www.cs.auc.dk/~factotum/
GPG public key: http://www.cs.auc.dk/~factotum/gpgkey.txt
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: Using Mailcrypt+GnuPG <http://www.gnupg.org>

iEYEARECAAYFAj3dB2AACgkQYu1fMmOQldXMYQCfZY8IepL0YX5eLdOkOu0D4Kt6
H5AAnAn1gIS8leTW2cpOey9vHnA+Id1k
=aWKg
-----END PGP SIGNATURE-----

---

---

Hej Jesper Harder, du skrev i dk.edb.internet.software.mail+news:

> Jens Gyldenkærne Clausen <jens@gyros.invalid> writes:
>
>> Ja - og netop med officielle meddelelser fra styregruppen er det
>> rart med en sikker signatur. I alle andre tilfælde er det i mine
>> øjne manglende netikette.

Du er ikke alene.

> Jeg er uenig. Hvis folk vil sikre sig, at andre altid kan afgøre
> om deres indlæg er ægte eller en forfalskning skal de have lov til
> det.

Hvis det indholdet og især konteksten er tilpas væsentlig, er det vel
implicit indeholdt i Jens' udtalelse. Men bruge det fast i alle mulige
mere eller mindre ligegyldige sammenhænge virker på mig enten noget
selvhøjtideligt eller fingerknipsende.

Det bør dog tilføjes, at der er væsentlig forskel på, om det kun er
signaturen eller hele indlægget. I førstnævnte tilfælde slipper man i
det mindste for det temmelig forstyrrende

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
["tomme linjer"]

i starten, når man løber gennem en gruppe.

--
Hygge fra Århus - Rudi
Klip det væk du ikke kommenterer og skriv under det citerede

---

On Thu, 21 Nov 2002 17:35:56 +0100, Jesper Harder wrote:

>Hvor meget PGP-signaturer bliver brugt, afhænger meget af gruppen.

Jeg kender ingen grupper, hvor andre end SG, kan benytte PGP nøgle,
uden at det resulterer i en eller anden form for påtale.

>Nogle grupper har været plaget af forfalskninger, så der er det ret
>normalt at folk signerer indlæg så man kan se det virkeligt er dem og
>ikke et eller andet fjols, som misbruger deres emailadresse.

En PGP nøgle er kun noget værd, hvis læserne verificerer dens ægthed.

>Jeg er uenig. Hvis folk vil sikre sig, at andre altid kan afgøre om
>deres indlæg er ægte eller en forfalskning skal de have lov til det.

Jeg har aldrig verificeret PGP-nøglen på et SG indlæg.

>Tænk fx på den notoriske hærværksmand, som hærger i dk.* for tiden med
>indlæg sendt gennem anonyme relays, hvor han udgiver sig for at være
>diverse fiktive eller ikke-fiktive personer.

Jeps, og hvilken type brugere er det der lader sig narre af det fjols?
Mon den type brugere ved ret mehet om PGP-nøgler og deres værdi?

>Nu prøver jeg at signere dette indlæg på en lidt anden måde end Martin.
>Det kan være flere understøtter den metode.

Inden jeg åbnede indlægget, så indlægget helt normalt ud. - Indlæg med
vedhæftninger er nemme at genkande i Agent.

Når indlægget er åbnet, ser det i Agent umiddelbart ud som om det er et
vedhæftet billede, som skal åbnes med et andet program, men når jeg
klikker på 'vedhæftningen' oplyser Agent at der er tale om en PGP
signatur som ikke er assosieret med noget program på mit system.

Hvis jeg derimod vælger crtl+r (raw mode) får jeg dette at se:
[blockqoute af Jespers PGP nøgle]
--=-=-=
Content-Type: application/pgp-signature

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQA93QtwzEN/MEcathkRAp/0AJ4kfihK3YmIoh9r1NZqmnIwTs8KSQCg0vqp
C/ggOIPaK8aXdw17pHeL9S0=
=C26J
-----END PGP SIGNATURE-----
--=-=-=--
[Blockquote slut]

Spørgsmålet er så:
Hvor mange Agent brugere kender crtl+r tricket?
Hvor mange vil gøre sig den ulejlighed at verificere PGP nøglen?

--
Mvh. Brian Jensen
http://www.briannospam.dk - (last updated 09/11-02)

---

Jesper Harder skrev:

> Det kan være flere understøtter den metode.

Ikke her i nyeste version af Xnews. Det kan jo nok sættes op vha.
SigDashRegex i Xnews.ini, men som standard smider den ikke
signaturen ud når man svarer på indlægget.

--
Med venlig hilsen
Madsen.

---

Martin Christensen skrev:

> Gnus kan blandt andet alt. Jeg synes, det er temmeligt skræmmende, at
> man har måtte vente så pokkers mange år på, at OE får rettet så
> forbandet enkel en ting. Så svært er det sgu heller ikke at læse en
> RFC!

Det er jo åbenbart ikke kun MS der har svært ved at læse RFC'er når
mange andre newsreadere heller ikke kan finde ud af at filtrere en
PGP-signatur fra.

> Apropos RFC'er, siden du kritiserer mig/min newsreader, kan jeg kun
> henvise dig til RFC 2440, §7.1.

Se ovenfor.

--
Med venlig hilsen
Madsen.

---

---

Rudi Stegen <rudis_spamfilter.001@stegen.dk> writes:

> Hej Jesper Harder, du skrev i dk.edb.internet.software.mail+news:
>
>> Jeg er uenig. Hvis folk vil sikre sig, at andre altid kan afgøre
>> om deres indlæg er ægte eller en forfalskning skal de have lov til
>> det.
>
> Hvis det indholdet og især konteksten er tilpas væsentlig, er det vel
> implicit indeholdt i Jens' udtalelse. Men bruge det fast i alle mulige
> mere eller mindre ligegyldige sammenhænge virker på mig enten noget
> selvhøjtideligt eller fingerknipsende.

Pointen er at der ikke er den store idé i at signere, hvis man ikke gør
det konsekvent. Hvis man kun gør det nogen gange, har læserne ingen
mulighed for at vide om et usigneret indlæg er ægte.

> Det bør dog tilføjes, at der er væsentlig forskel på, om det kun er
> signaturen eller hele indlægget.

Jeg er ikke sikker på jeg forstår hvad du mener. Mener du at den metode
jeg lige brugte er mindre generende end Martins?

Problemet er også at både OE og Mozilla faktisk understøtter signaturer;
men den metode som de understøtter fuldt, S/MIME, fylder meget mere og
bliver fanget af newsservernes binær-filter [1]. Så i praksis kan det
ikke bruges på Usenet.

[1] TDCs server ville godt acceptere indlægget, men den smed det bare
væk i stilhed uden fejlmedelelse.

---

Hej Jesper Harder, du skrev i dk.edb.internet.software.mail+news:

>> Hvis det indholdet og især konteksten er tilpas væsentlig, er det
>> vel implicit indeholdt i Jens' udtalelse. Men bruge det fast i
>> alle mulige mere eller mindre ligegyldige sammenhænge virker på
>> mig enten noget selvhøjtideligt eller fingerknipsende.
>
> Pointen er at der ikke er den store idé i at signere, hvis man
> ikke gør det konsekvent. Hvis man kun gør det nogen gange, har
> læserne ingen mulighed for at vide om et usigneret indlæg er ægte.

Det er selvfølgelig korrekt. Men sammenholdt med det at læserne også
skal kunne tjekke PGP'en (ellers giver den ligesom ikke den store
mening), kunne man vel argumentere for at anvende den i visse grupper
og skippe den i andre.

Nu har jeg ganske vist kun _meget_ overfladisk kendskab til Gnus, men
man vel i opsætningen lave gruppeafhængige parametre (?)

>> Det bør dog tilføjes, at der er væsentlig forskel på, om det kun
>> er signaturen eller hele indlægget.
>
> Jeg er ikke sikker på jeg forstår hvad du mener. Mener du at den
> metode jeg lige brugte er mindre generende end Martins?

Din generer ikke (mig) i praksis. Der optræder jo først noget i bunden
af indlægget, intet i starten.

--
Hygge fra Århus - Rudi
Klip det væk du ikke kommenterer og skriv under det citerede

---

Martin Christensen <knightsofspamalot-factotum@gvdnet.dk> writes:

> RFC 2440, §7.1,

Tak, jeg syntes nok jeg havde set det et eller andet mere eller mindre
officielt sted.

--
Jacob - www.bunk.cc
Processes running slowly due to weak power supply

---

Jesper Harder skrev:

> Jeg kan også lige prøve en helt tredje metode. Jeg tror det er
> den OE og Netscape forstår. Ulempen er at den fylder *meget* mere
> og risikerer at blive afvist som en binær fil.

Xnews ser det som en vedhæftet fil.
------F2F3185E623FACFAD4C06F3CBA12BDF3

Attachment decoded: smime.p7s
------F2F3185E623FACFAD4C06F3CBA12BDF3--

OE reagerer sådan her:
<http://home18.inet.tele.dk/madsen/oe/digitally_signed.png>
Efter et klik på Next kommer:
<http://home18.inet.tele.dk/madsen/oe/security_warning.png> og
derefter kan jeg så vælge om jeg vil åbne indlægget eller ej.

<news:m3y97m518z.fsf@defun.localdomain> er bare et tomt indlæg med
to vedhæftede filer i OE.

--
Med venlig hilsen
Madsen.

---

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Jens Gyldenkærne Clausen <jens@gyros.invalid> writes:

>> Forskellen er at det ikke er en standard Gnus-udviklerne selv
>> har fundet på.
> Spørgsmålet er om de bruger en standard udenfor det område den er
> defineret til.

Nej, de bruger standarden nøjagtigt inden for det områden, den er
defineret til.

> Jeg har godt nok aldrig prøvet det, men man kan vel i princippet
> kopiere PGP-signaturen og kontrollere den i et dertil egnet program
> (indrømmet -det er lettere med et program der kan klare det uden
> hjælp).

Afgjort. De fleste klienter, der kan håndtere OpenPGP, gør det gennem
plug-ins, så vidt jeg har forstået, og det er vist ret bredt
understøttet. Se fx http://www.bretschneidernet.de/tips/secmua.html,
http://cryptorights.org/pgp-users/resources/pgp-mail-clients.html og
http://www.gnupg.org/faq.html#q4.15.

Martin

- --
Homepage: http://www.cs.auc.dk/~factotum/
GPG public key: http://www.cs.auc.dk/~factotum/gpgkey.txt
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: Using Mailcrypt+GnuPG <http://www.gnupg.org>

iEYEARECAAYFAj3dCiIACgkQYu1fMmOQldXP0QCfSoGX2jtKhjIIxRi+yykDnIEA
DfUAoOSew0cw2dVbUThRyiOgn/LH6WfA
=bCb2
-----END PGP SIGNATURE-----

---

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Jesper Harder <harder@ifa.au.dk> writes:

> Nu prøver jeg at signere dette indlæg på en lidt anden måde end Martin.
> Det kan være flere understøtter den metode.

Desværre. Mange klager over, at beskeder dukker op som vedhæftede
filer, selv om det blot drejer sig om en normal multipart-besked med
text/plain som første del. Jeg tror endda, standarden foreskriver, at
sådanne tekstdele blot skal vises normalt.

Martin

- --
Homepage: http://www.cs.auc.dk/~factotum/
GPG public key: http://www.cs.auc.dk/~factotum/gpgkey.txt
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: Using Mailcrypt+GnuPG <http://www.gnupg.org>

iEYEARECAAYFAj3dDPgACgkQYu1fMmOQldWauACfX4yqbsgd2lfz27NeN1KmKqIz
0DUAn34Ls/LuLtBb2gOPzgtr36HQqXmJ
=iEI2
-----END PGP SIGNATURE-----

---

Martin Christensen <knightsofspamalot-factotum@gvdnet.dk> skrev:
>
> Jesper Harder <harder@ifa.au.dk> writes:
>
>> Nu prøver jeg at signere dette indlæg på en lidt anden måde end Martin.
>> Det kan være flere understøtter den metode.
>
> Desværre. Mange klager over, at beskeder dukker op som vedhæftede
> filer, selv om det blot drejer sig om en normal multipart-besked med
> text/plain som første del. Jeg tror endda, standarden foreskriver, at
> sådanne tekstdele blot skal vises normalt.

Jeg kender ikke et sådant krav. Hvilken standard tænker du på?

Man kan give et hint til fremviserprogrammet om at en bestemt del i
en multipart-besked skal vises normalt, ved i delens header at bruge
headeren "Content-Disposition: inline" (RFC 2184), men det var ikke
gjort her.

--
Skal musik- og edb-industrien have ret til fratage forbrugerne deres
rettigheder i henhold til Ophavsretloven, begrænse konkurrencen og
fremme monopoldannelse ved hjælp af tekniske midler? Sig nej! Nu!
Støt underskriftsindsamlingen på http://www.digitalforbruger.dk

---

Martin Christensen skrev:

> Det var pokkers! Så har jeg misforstået en par af mine venner,
> som jeg bestemt mente bruger Outlook til news. Tak for
> rettelsen!

Ganske mange omtaler "Outlook Express" som "Outlook". Formentlig
fordi de kun bruger Express-udgaven. Det er sådan set forståeligt
nok - det er lettere at sige et enkelt ord, og det sker også med
andre programmer - men det er uheldigt i dette tilfælde, fordi det
giver anledning til mange misforståelser.
--
Jens Gyldenkærne Clausen
MF (medlem af FIDUSO - www.fiduso.dk)
I ovenstående tekst benyttes nyt komma.

---

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Madsen <nospam@madsen.tdcadsl.dk> writes:

> Det er jo åbenbart ikke kun MS der har svært ved at læse RFC'er når
> mange andre newsreadere heller ikke kan finde ud af at filtrere en
> PGP-signatur fra.

Læs lige det jeg skriver i kontekst, før du giver dig til at
kritisere. Jeg brokkede mig over, at det har taget mange år for dem at
finde ud af, hvordan man laver signaturseparatorer. Om digitale
signaturer brokker jeg mig ikke så meget over den manglende
understøttelse, hvilken måske nok kan være svær at implementere, men
over at de ikke kan skjule signaturerne, hvilket er trivielt.

Martin

- --
Homepage: http://www.cs.auc.dk/~factotum/
GPG public key: http://www.cs.auc.dk/~factotum/gpgkey.txt
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: Using Mailcrypt+GnuPG <http://www.gnupg.org>

iEYEARECAAYFAj3dS0oACgkQYu1fMmOQldVD5QCglEY/GeEYg5/HDpTjvrI7xC06
WckAn2N00Nh4X6/6Ab9jtR+ArhfuVTib
=CmoG
-----END PGP SIGNATURE-----

---

Brian Jensen <brian.nospam@jensen.mail.dk> writes:

>>Jeg er ked af, at selv fornuftige mennesker har det syn på sagen.
> Det er nok et levn fra den tid, hvor alle brugte modem.
>
> Dengang argumentede mange for, at der skal spares på båndbredden hvor
> det var muligt, og det er nok en af grundende til 4*72 reglen mht
> signaturer
>
> Digitale signaturer og vcards er typisk på mindst 8-10 linier eller
> mere, og blev (bliver?) derfor betragtet som unødig spild af båndbredde.

Hvis digitale signaturer var 'usynlige', ville ingen brokke sig. En
X-Face:-header fylder mere end en digital signatur (især PGP/MIME), og
allerede på dette punkt i diskussionen er References:-headeren
væsentligt større end de fleste digitale signaturer, og det på trods
af, at man sådan set kunne nøjes med en reference til
forælderindlægget, hvorfra tråden kunne spores videre tilbage mod
roden. Og lad os slet ikke komme ind på dårlig citatteknik! Nej, der
er sgu mange ting, der i langt højere grad spilder båndbredde end
digitale signaturer.

>> For mig er det vigtigt at vide, til dels pga. nogle meget dårlige
>>erfaringer med forfalskede beskeder
> Den slags kan verificeres.

Ikke på en enkel måde uden digitale signaturer.

>>, at hvad jeg skriver beviseligt er hvad folk kommer til at læse.
> Teknisk set kan jeg jo nemt kopiere din fine digitale signatur, ind i
> min egen signatur. Hvis jeg så samtidig angiver dit navn og e-dresse som
> afsender, vil det stadig for den ukyndige se ud, som om at du er
> forfatter til et indlæg du reelt intet har haft med at gøre.

Det ændrer intet. Beskeder vil stadig kunne verificeres. Hvis jeg
pludseligt råber op om, at der er en, der har forfalske beskeder i mit
navn, vil det være forholdsvist enkelt at finde ud af hvilke beskeder,
det drejer sig om.

> Digitale signaturer er helt uden værdi, hvis læserne ikke afprøver dem i
> hvert enkelt tilfælde.

Forkert. I dette indlæg har du måske ingen grund til at tvivle på, at
jeg er mig. Hvis jeg i næste indlæg kalde dig og andre for en stor
kraftidiot, og begyndte at tale nedsættende om dit kælefår, ville en
digital signatur pludseligt være meget mere værd. Hvis blot en person
(det kunne være personen, hvis identitet bliver forfalsket) opdager,
at der er noget galt, og råber vagt i gevær, kan man hurtigt sortere
forfalskede indlæg fra uforfalskede.

Jeg har engang set et par sider, hvor man kan smide en signeret besked
ind (evt. sammen med en nøgle) og få den bekræftet. Jeg kan ikke lige
finde en sådan side, men at de er der viser blot, at det heller ikke
nødvendigvis kræver, at man har nogen særlig software installeret.

> Hvem gider verificere en digital signatur på hvert enkelt indlæg han/hun
> læser i nyhedsgrupperne?

Det kommer da an på, hvilken software man bruger. Jeg får automatisk
verificeret alle signaturer fra folk, jeg i forvejen har nøgler til,
og at hente en ny nøgle fra en server er kun et tastetryk væk.

> - Jeg verificerer da ikke engang SG-medlemmernes PGP.sig. når de bruger
> den, og for min skyld kunne de såmænd godt droppe den.

Giver det dig ikke engang minimal tryghed, at det er _muligt_ at
verificere sådanne beskeder? At man i måske meget vigtige
tvivlstilfælde kan afgøre, om en besked er forfalsket eller ej?

Martin

--
Homepage: http://www.cs.auc.dk/~factotum/
GPG public key: http://www.cs.auc.dk/~factotum/gpgkey.txt

---

On Thu, 21 Nov 2002 22:37:17 +0100, Martin Christensen wrote:

>Hvis digitale signaturer var 'usynlige', ville ingen brokke sig.

Det skal du nu ikke være så sikker på.

>En X-Face:-header fylder mere end en digital signatur

Ja, og jeg kender da i hvert fald en alm. kendt usenet-bruger, hvis
X-face header er blevet kritiseret mere end en gang af forskelige
brugere og anset som båndbreddespild.

>allerede på dette punkt i diskussionen er References:-headeren
>væsentligt større end de fleste digitale signaturer, og det på trods
>af, at man sådan set kunne nøjes med en reference til
>forælderindlægget

Det er jeg ikke enig med dig i.
Jeg har flere gange oplevet en ukomplet tråd, hvor jeg har været
nødsaget til at 'tvinge' serveren til at aflevere indlæg som jeg kunne
se andre havde besvaret, selv om jeg ikke selv havde set disse indlæg.

Det er i sådanne tilfælde også forekommet at jeg har måttet hente op til
3-4 efterfølgende indlæg, som jeg af (for mig) ukendte grunde ikke fik i
første hug.

>Ikke på en enkel måde uden digitale signaturer.

Hvis vi taler om adsl brugere med fast ip-nummer (om dem er der en del
af) er det nu ikke så svært.

Men det er da rigtigt, at det bliver mere besværligt når det drejer sig
om skiftende ip-numre, da det i så fald kun er udbyderen der i
log-filerne kan se hvem der på et givent tidspunkt er den sande
forfatter til et indlæg.

>Det ændrer intet. Beskeder vil stadig kunne verificeres.

Men gør folk det?

>Hvis jeg
>pludseligt råber op om, at der er en, der har forfalske beskeder i mit
>navn,

Vil jeg foretage en Google-gruppesøgning, for at vurdere din seriøsitet
og troværdighed.

Jeg kan f.eks. se at det bl.a. er edb grupperne der har din interesse,
og alle de indlæg jeg lige i første omgang fik på skærmen var forsynet
med PGP nøgle.

>Forkert. I dette indlæg har du måske ingen grund til at tvivle på, at
>jeg er mig. Hvis jeg i næste indlæg kalde dig og andre for en stor
>kraftidiot, og begyndte at tale nedsættende om dit kælefår,

ville jeg blive meget overrasket og mistænksom, da vi indtil nu har
holdt debatten på et både sagligt og sobert niveau.

>ville en digital signatur pludseligt være meget mere værd.

For dig måske, men ikke for mig, da jeg ikke kontrollerer den.

>Hvis blot en person
>(det kunne være personen, hvis identitet bliver forfalsket) opdager,
>at der er noget galt, og råber vagt i gevær, kan man hurtigt sortere
>forfalskede indlæg fra uforfalskede.

Hvordan 'hurtigt'?
Det vil kræve at man kontollere PGP-nøglen ved hvert enkelt indlæg, og
afhængig af forbindelsen er det ikke nødvendigvis noget der sker
hurtigt.

>Jeg har engang set et par sider, hvor man kan smide en signeret besked
>ind (evt. sammen med en nøgle) og få den bekræftet.

En af de mest kendte er vist denne her:
http://www.verisign.dk/o.o.i.s/238

>Det kommer da an på, hvilken software man bruger.

Korrekt, og jeg bruger Forte Agent, som i min opsætning ikke
understøtter PGP.

>Jeg får automatisk
>verificeret alle signaturer fra folk, jeg i forvejen har nøgler til,
>og at hente en ny nøgle fra en server er kun et tastetryk væk.

+ et opkald, såfremt man er modembruger, ikke at forglemme.

>Giver det dig ikke engang minimal tryghed, at det er _muligt_ at
>verificere sådanne beskeder?

Egentlig ikke.
For mig er det bevis nok at beskeden indledes med "Styregruppen
annoncerer herved..."

Hvis det drejer sig om et falsum, er jeg 100% sikker på at en af de ægte
SG medlemmer, meget hurtigt vil sørge for at forklare brugerne, ar der
er tale om et falskneri.

--
Mvh. Brian Jensen
http://www.briannospam.dk - (last updated 09/11-02)

---

Madsen <nospam@madsen.tdcadsl.dk> writes:

> Jesper Harder skrev:
>
>> Jeg kan også lige prøve en helt tredje metode. Jeg tror det er
>> den OE og Netscape forstår. Ulempen er at den fylder *meget* mere
>> og risikerer at blive afvist som en binær fil.
>
> Xnews ser det som en vedhæftet fil.

Hvilken server hentede du fra? Mit indlæg nåede aldrig frem til TDC
eller Sunsite.

> OE reagerer sådan her:
> <http://home18.inet.tele.dk/madsen/oe/digitally_signed.png>
> Efter et klik på Next kommer:
> <http://home18.inet.tele.dk/madsen/oe/security_warning.png> og

OK, den advarsel skal nok passe. Jeg bruger ikke signaturen til noget
alvorligt, kun til at teste.

> derefter kan jeg så vælge om jeg vil åbne indlægget eller ej.

Fint. Dvs. S/MIME virker i OE.

> <news:m3y97m518z.fsf@defun.localdomain> er bare et tomt indlæg med
> to vedhæftede filer i OE.

Så for at resumere fordele og ulemper ved de tre metoder:

1. S/MIME virker i OE, men bliver filtreret væk af newsservere.
Ubrugelig.

2. PGP/MIME. Er mindre generende i Agent og Mozilla, men viser et tomt
indlæg i OE. Ubrugelig.

3. Almindelig PGP. Viser "---BEGIN PGP SIGNATURE-..." øverst i klienter
som ikke understøtter det.

Så 3. må være det mindst ringe alternativ indtil videre.

---

Jesper Harder skrev:

> Hvilken server hentede du fra? Mit indlæg nåede aldrig frem til TDC
> eller Sunsite.

Det er nok røget ind via cis.dfn.de så.

--
Med venlig hilsen
Madsen.

---

Jesper Harder skrev:

> Den pågældende standard er RFC 2440 "OpenPGP Message Format".
> Det med signaturadskilleren står i afsnit 7.1.

Jeg er - og har ikke været - spor i tvivl om at den nævnte
signaturadskiller er fuldt korrekt i forhold til PGP-standarden.
Men det jeg ikke kan se - heller ikke efter at have skimmet RFC
2440 er hvorvidt PGP-definitionen er dækkende for usenet. Selve
RFC-en nævner ikke usenet eller news en eneste gang.

Er der en RFC der siger at mail- og usenet er at betragte som ét
medie med hensyn til hvilke formater der er tilladt?

> Nogle grupper har været plaget af forfalskninger, så der er
> det ret normalt at folk signerer indlæg så man kan se det
> virkeligt er dem og ikke et eller andet fjols, som misbruger
> deres emailadresse.

Selv i de tilfælde hvor der har været forfalskede indlæg på banen
har jeg ikke set flere PGP-signaturer end normalt (det vil sige
næsten ingen). De folk der ville kunne afkode en PGP-signatur er
formentlig i stand til at opdage et forfalsket indlæg uden brug af
PGP.

Hvis PGP skulle være løsningen på falske indlæg skulle _alle_
benytte PGP-signaturer - hvilket vel også ville fjerne muligheden
for anonymitet. Jeg kan sagtens se det fornuftige i digitale
signaturer - men jeg mener ikke at det har nogen relevans på usenet
som det ser ud i dag.


> Jeg er uenig. Hvis folk vil sikre sig, at andre altid kan
> afgøre om deres indlæg er ægte eller en forfalskning skal de
> have lov til det.

Man kan ikke gardere sig mod at en misbruger skriver et indlæg
forklædt som en selv. Misbrugeren kan ovenikøbet hurtigt kopiere
PGP-signaturen så indlægget grangiveligt ligner en original. Det
faktum at det er muligt at afprøve validiteten af signaturen
betyder meget lidt sålænge det kun er et fåtal der kan gøre det
umiddelbart.
For mig at se er der et misforhold mellem den fordel som man kan
opnå ved at benytte PGP på usenet og den ulempe det påfører de
fleste andre brugere.

> Tænk fx på den notoriske hærværksmand, som hærger i dk.* for
> tiden med indlæg sendt gennem anonyme relays, hvor han udgiver
> sig for at være diverse fiktive eller ikke-fiktive personer.

Det slipper man ikke af med ved at tillade PGP-signaturer. Vil man
være fri for den slags skal man ikke tillade andet end PGP-
signerede indlæg - det er vist ikke på tale foreløbig.

> Nu prøver jeg at signere dette indlæg på en lidt anden måde
> end Martin. Det kan være flere understøtter den metode.

Der er ingen forskel her.
Nu spørger jeg muligvis dumt - men er det ikke muligt at lægge en
almindelig signaturadskiller ind før den ændrede version? Jeg går
ud fra at der er en grund til at signaturadskilleren er anderledes
end normalt, men hvis man nu kunne sætte en ekstra adskiller ind
lige oven over - så kunne alle os med "dumme" programmer få klippet
signaturen væk ved svar. Godt nok ville signaturen stadig være
længere end de normale 4 x 72, men alene det at den kan genkendes
som signatur vil være et stort fremskridt.
--
Jens Gyldenkærne Clausen
MF (medlem af FIDUSO - www.fiduso.dk)
I ovenstående tekst benyttes nyt komma.

---

Brian Jensen, du skrev:

> En scorefile så vidt jeg kan bedømme.

Korrekt.

> (Jeg er ikke helt dus med Hamster endnu)

? filtere virker fra og med Beta version 191, artiklen bliver
hentet, scoret og slettet.

--
Henrik

---

Jens Gyldenkærne Clausen skrev:

> Jeg kan sagtens se det fornuftige i digitale signaturer - men jeg
> mener ikke at det har nogen relevans på usenet som det ser ud i
> dag.

Den relevans har jeg også svært ved at få øje på.

--
Med venlig hilsen
Madsen.

---

Hej Madsen, du skrev i dk.edb.internet.software.mail+news:

>> digitale signaturer - men jeg mener ikke at det har nogen
>> relevans på usenet som det ser ud i dag.
>
> Den relevans har jeg også svært ved at få øje på.

Det er teksten/budskabet også <http://stegen.dk/temp/pgp-look.gif>

--
Hygge fra Århus - Rudi
Klip det væk du ikke kommenterer og skriv under det citerede

---

Rudi Stegen skrev:

> Det er teksten/budskabet også <http://stegen.dk/temp/pgp-look.gif>
>

Tja. :)

--
Med venlig hilsen
Madsen.

---

Jens Gyldenkærne Clausen <jens@gyros.invalid> writes:

> Jesper Harder skrev:
>
> Er der en RFC der siger at mail- og usenet er at betragte som ét
> medie med hensyn til hvilke formater der er tilladt?

Det tætteste du kommer på det er afsnit 2 i RFC 1036. Fx

Therefore, the rule is adopted that all USENET news messages must be
formatted as valid Internet mail messages, according to the Internet
standard RFC-822.

og
However, it should always be possible to use a tool expecting an
Internet message to process a news message. In any situation where
this standard conflicts with the Internet standard, RFC-822 should
be considered correct and this standard in error.

Intentionen er helt klart at news og mail skal være så kompatible som
muligt. Alt andet ville også være tåbeligt -- der er ingen fornuftig
grund til at genopfinde den dybe tallerken eller indtroducere
umotiverede forskelle.

I praksis er det også sådan, at man bare har overtaget alt hvad der
mangler i RFC 1036 fra mail. Alt det med tegnsætangivelse osv. står der
intet om i Usenetstandarden. Det har man de facto snuppet direkte fra
mailstandarderne.

> De folk der ville kunne afkode en PGP-signatur er formentlig i stand
> til at opdage et forfalsket indlæg uden brug af PGP.

Nej, det er ret svært at afgøre. *Alle* headere i Usenet-indlæg kan
forfalskes. Det eneste man kan være helt sikker på er den første host i
Path.

> Hvis PGP skulle være løsningen på falske indlæg skulle _alle_ benytte
> PGP-signaturer - hvilket vel også ville fjerne muligheden for
> anonymitet.

Nej. En en PGP-signatur knytter sig ikke til din identitet. Man kan
kun forbinde din nøgle til en identitet, hvis du selv ønsker det.

Det skal så også siges de signaturer man bruger i S/MIME er anderledes.
De fungerer ved at man tropper op hos en CA (Certificate Authority)
lægger en bunke penge, hvorefter de verificerer din identitet og giver
dig en signatur som knytter sig til din *identitet*.

> Man kan ikke gardere sig mod at en misbruger skriver et indlæg
> forklædt som en selv. Misbrugeren kan ovenikøbet hurtigt kopiere
> PGP-signaturen så indlægget grangiveligt ligner en original. Det
> faktum at det er muligt at afprøve validiteten af signaturen
> betyder meget lidt sålænge det kun er et fåtal der kan gøre det
> umiddelbart.

Jo, men det jo hønen og ægget. Hvis ingen bruger det, er der ingen
motivation til at implementere understøttelse for det.

>> Tænk fx på den notoriske hærværksmand, som hærger i dk.* for tiden
>> med indlæg sendt gennem anonyme relays, hvor han udgiver sig for at
>> være diverse fiktive eller ikke-fiktive personer.
>
> Det slipper man ikke af med ved at tillade PGP-signaturer.

Man slipper for at folk er tvivl, hvis den som han prøver at udgive sig
for altid bruger en signatur -- *og* folk forstår at verificere den.

Der var faktisk et spørgsmål i anledning af et Mosegaards indlæg. Hvis
vedkommende kunne bruge PGP, havde han ikke været i tvivl.

> Nu spørger jeg muligvis dumt - men er det ikke muligt at lægge en
> almindelig signaturadskiller ind før den ændrede version?

Nej, hvis man bruger metoden i RFC 2440 er man nødt til at følge
standarden (som siger at brødteksten skal dash-escapes). Ellers er der
_ingen_ som kan verificere signaturen.

---

Brian Jensen skrev:

>> Hvis digitale signaturer var 'usynlige', ville ingen brokke
>> sig.
>
> Det skal du nu ikke være så sikker på.

Jeg ville være fint tilfreds hvis jeg bare slap for at se dem.
--
Jens Gyldenkærne Clausen
MF (medlem af FIDUSO - www.fiduso.dk)
I ovenstående tekst benyttes nyt komma
(rettelser modtages gerne i dk.kultur.sprog)

---

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Brian Jensen <brian.nospam@jensen.mail.dk> writes:

>>Hvis digitale signaturer var 'usynlige', ville ingen brokke sig.
> Det skal du nu ikke være så sikker på.

Der vil altid være nogle, der brokker sig, men jeg er overbevist om,
at langt de fleste ville være ligeglade, hvis bare de slap for at se
på dem.

>>allerede på dette punkt i diskussionen er References:-headeren
>>væsentligt større end de fleste digitale signaturer, og det på trods
>>af, at man sådan set kunne nøjes med en reference til
>>forælderindlægget
> Det er jeg ikke enig med dig i.
> Jeg har flere gange oplevet en ukomplet tråd, hvor jeg har været
> nødsaget til at 'tvinge' serveren til at aflevere indlæg som jeg
> kunne se andre havde besvaret, selv om jeg ikke selv havde set disse
> indlæg.
>
> Det er i sådanne tilfælde også forekommet at jeg har måttet hente op
> til 3-4 efterfølgende indlæg, som jeg af (for mig) ukendte grunde
> ikke fik i første hug.

Ja, men pointen er, at dette forekommer temmeligt sjældent, og at det
stadigt er muligt at genskabe informationen. Anulleringer af indlæg
kan dog komme i vejen, men det kan der findes andre løsninger på.

[Om at verificere identiteter uden brug af digitale signaturer]
> Hvis vi taler om adsl brugere med fast ip-nummer (om dem er der en del
> af) er det nu ikke så svært.

Nej. IP'er kan spoofes. Stort set alt kan ændres. Som Jesper siger, er
det kun Path:-headeren, der er en smule begrænset i, hvad der kan
forfalskes.

> Men det er da rigtigt, at det bliver mere besværligt når det drejer
> sig om skiftende ip-numre, da det i så fald kun er udbyderen der i
> log-filerne kan se hvem der på et givent tidspunkt er den sande
> forfatter til et indlæg.

Hvilken ISP vil give adgang til deres logfiler for at afgøre
tvivlsspørgsmål om forfalskninger? Ganske givet ikke mange.

>>Det ændrer intet. Beskeder vil stadig kunne verificeres.
> Men gør folk det?

Hvis der er en eller to, der gør det, kan de be- eller afkræfte
anklager, og de fleste ville nok stole på dem (med mindre de har grund
til andet). Således behøver ikke alle at verificere signaturer.

>>Hvis jeg pludseligt råber op om, at der er en, der har forfalske
>>beskeder i mit navn,
> Vil jeg foretage en Google-gruppesøgning, for at vurdere din seriøsitet
> og troværdighed.
>
> Jeg kan f.eks. se at det bl.a. er edb grupperne der har din interesse,
> og alle de indlæg jeg lige i første omgang fik på skærmen var forsynet
> med PGP nøgle.

Hvad fortæller det dig? Ikke specielt meget, andet end at jeg
konsekvent bruger digitale signaturer. Gjorde jeg nu ikke det, ville
du så virkeligt være bedre stillet? Og hvor lang tid har du tænkt dig
at bruge på at vurdere, om dette eller hint indlæg er en forfalskning?
Det ville da være væsentligt hurtigere at bekræfte en digital
signatur.

>>Forkert. I dette indlæg har du måske ingen grund til at tvivle på, at
>>jeg er mig. Hvis jeg i næste indlæg kalde dig og andre for en stor
>>kraftidiot, og begyndte at tale nedsættende om dit kælefår,
> ville jeg blive meget overrasket og mistænksom, da vi indtil nu har
> holdt debatten på et både sagligt og sobert niveau.

Ja, naturligvis, og det er der, de fleste forfalskninger bliver
afklaret: skrivestil, ordvalg osv. Men så svært er det nu heller ikke
at efterligne. Jeg var engang udsat for, at flere ikke ville tro på,
at der var en, der udgav sig for at være mig, selv om skrivestilen var
tydeligt anderledes. Havde jeg da brugt digitale signaturer, ville det
være trivielt at bekræfte, at jeg var mig, og han var ham, og ville
nogen stadig ikke tro på mig, ville det være af ren og skær
fortrængning af sandheden.

>>ville en digital signatur pludseligt være meget mere værd.
> For dig måske, men ikke for mig, da jeg ikke kontrollerer den.

Jo du kan. Du kan bruge en webtjeneste, eller du kan installere et
OpenPGP-kompatibelt krypteringsprogram (fx PGP >= 7 eller GnuPG). Du
skal ikke påstå, at du ikke kan kontrollere den, og det ville også
være hen i vejret at påstå, at det er besværligt. Det ville måske være
besværligt at gøre det ved hver eneste signatur, men det er der som
regel heller ikke den helt store grund til. Men for at afgøre
tvivlstilfælde ville det da være den absolut letteste løsning.

>>Hvis blot en person (det kunne være personen, hvis identitet bliver
>>forfalsket) opdager, at der er noget galt, og råber vagt i gevær,
>>kan man hurtigt sortere forfalskede indlæg fra uforfalskede.
> Hvordan 'hurtigt'?
> Det vil kræve at man kontollere PGP-nøglen ved hvert enkelt indlæg,
> og afhængig af forbindelsen er det ikke nødvendigvis noget der sker
> hurtigt.

Man kunne vel ret hurtigt lave en (sikkert kort) liste over de indlæg,
der formodes forfalsket. Skulle det at hente en håndfuld indlæg
virkeligt være en mærkbar praktisk forhindring?

>>Jeg har engang set et par sider, hvor man kan smide en signeret besked
>>ind (evt. sammen med en nøgle) og få den bekræftet.
> En af de mest kendte er vist denne her:
> http://www.verisign.dk/o.o.i.s/238

Øh... jeg kan ikke se, hvordan den kan bruges til at verificere mine
eller andres digitale signaturer. Det kan da godt være, at de
certificerer visse nøgler, men så er det vist også det.

>>Det kommer da an på, hvilken software man bruger.
> Korrekt, og jeg bruger Forte Agent, som i min opsætning ikke
> understøtter PGP.

Hvor vil du hen med det?

>>Jeg får automatisk verificeret alle signaturer fra folk, jeg i
>>forvejen har nøgler til, og at hente en ny nøgle fra en server er
>>kun et tastetryk væk.
> + et opkald, såfremt man er modembruger, ikke at forglemme.

Det samme gælder da vist, hvis man i det hele taget vil læse
indlægget.

>>Giver det dig ikke engang minimal tryghed, at det er _muligt_ at
>>verificere sådanne beskeder?
> Egentlig ikke.
> For mig er det bevis nok at beskeden indledes med "Styregruppen
> annoncerer herved..."
>
> Hvis det drejer sig om et falsum, er jeg 100% sikker på at en af de ægte
> SG medlemmer, meget hurtigt vil sørge for at forklare brugerne, ar der
> er tale om et falskneri.

Og hvis identitetstyven(e) påstår, at det er de rigtige, der
forfalsker indlæg? Så kan begge lejre råbe og skrige så meget ad
hinanden, som de vil, og ingen bliver klogere, for ingen kan be- eller
afkræfte noget somhelst.

Martin

- --
Homepage: http://www.cs.auc.dk/~factotum/
GPG public key: http://www.cs.auc.dk/~factotum/gpgkey.txt
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: Using Mailcrypt+GnuPG <http://www.gnupg.org>

iEYEARECAAYFAj3eZFgACgkQYu1fMmOQldUzfwCdEcD3FOXzXyjG4qL/c+53AyiP
B/MAn2hzyCSsDJgGvXOJbFrs69hDMZgR
=R9D0
-----END PGP SIGNATURE-----

---

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Byrial Jensen <bjensen@nospam.dk> writes:

>> Desværre. Mange klager over, at beskeder dukker op som vedhæftede
>> filer, selv om det blot drejer sig om en normal multipart-besked med
>> text/plain som første del. Jeg tror endda, standarden foreskriver, at
>> sådanne tekstdele blot skal vises normalt.
> Jeg kender ikke et sådant krav. Hvilken standard tænker du på?

Se, den var straks værre! Det var derfor, jeg formulerede mig så vagt.

> Man kan give et hint til fremviserprogrammet om at en bestemt del i
> en multipart-besked skal vises normalt, ved i delens header at bruge
> headeren "Content-Disposition: inline" (RFC 2184), men det var ikke
> gjort her.

Tak for tippet! Jeg tror, jeg vil prøve at lokke Gnus til at gøre
dette. Hvis flere klienter vil sluge det, kan jeg endeligt skifte til
PGP/MIME.

Martin

- --
Homepage: http://www.cs.auc.dk/~factotum/
GPG public key: http://www.cs.auc.dk/~factotum/gpgkey.txt
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: Using Mailcrypt+GnuPG <http://www.gnupg.org>

iEYEARECAAYFAj3exbEACgkQYu1fMmOQldX/vgCfa0k7fAKAD4Xj4/a5qzDEBWBT
6Q0AoLV0X2qtESnQ5bQctbrkQ9HlYN2V
=rHjD
-----END PGP SIGNATURE-----

---

Jesper Harder skrev:

[Om forskellige måder at PGP-signere et indlæg]
> Så for at resumere fordele og ulemper ved de tre metoder:
>
> 1. S/MIME ...

> 2. PGP/MIME. ...

> 3. Almindelig PGP. ...

> Så 3. må være det mindst ringe alternativ indtil videre.

I en anden gruppe faldt jeg lige over følgende måde at PGP-kode et
indlæg på (så vidt jeg kan se er det ikke dækket af nogen af
ovenstående modeller):

I headeren står følgende 2 X-headere:
X-PGP: 0x360F113D(RSA) * 0x53E9615A(DH/DSS) * http://pgp.autechre.de
X-PGP-Sig: 2.6.3in Message-ID,From,Reply-To,Newsgroups,Subject,Date,X-PGP   <lang PGP-værdi slettet>

I signaturen er følgende oplysninger placeret:
[PGP-Keys]
http://pgp.autechre.de/0x360F113D.rsa.asc
http://pgp.autechre.de/0x53E9615A.dh-dss.asc

Jeg kan ikke se om signaturen er nødvendig for at kunne verificere
PGP-nøglen eller ej.

Indlægget kan ses her: <news:DluGcdKi@nesore.autechre.de>.

Hvad siger de kyndige herrer (m/k) til denne model
- er den sikker?
- er der ulemper ved den?

Som bruger af et ikke-PGP-kompatibelt usenetprogram vil jeg i hvert
fald klart foretrække denne model frem for de tre førnævnte.
--
Jens Gyldenkærne Clausen
MF (medlem af FIDUSO - www.fiduso.dk)
I ovenstående tekst benyttes nyt komma.

---

Jens Gyldenkærne Clausen <jens@gyros.invalid> writes:

> I en anden gruppe faldt jeg lige over følgende måde at PGP-kode et
> indlæg på (så vidt jeg kan se er det ikke dækket af nogen af
> ovenstående modeller):
>
> I headeren står følgende 2 X-headere:
> X-PGP: 0x360F113D(RSA) * 0x53E9615A(DH/DSS) * http://pgp.autechre.de

Den har ingen teknisk betydning. Den fortæller bare, hvor man kan finde
hans offentlige nøgle, hvis man ikke har den i forvejen. Det svarer til
X-My-Homepage: http://mypage.com.

> X-PGP-Sig: 2.6.3in Message-ID,From,Reply-To,Newsgroups,Subject,Date,X-PGP   <lang PGP-værdi slettet>

Den signerer de headere, som er nævnt.

> I signaturen er følgende oplysninger placeret:
> [PGP-Keys]
> http://pgp.autechre.de/0x360F113D.rsa.asc
> http://pgp.autechre.de/0x53E9615A.dh-dss.asc
>
> Jeg kan ikke se om signaturen er nødvendig for at kunne verificere
> PGP-nøglen eller ej.

Det er den ikke. Som med 'X-PGP' er det bare en henvisning til et
websted.

> Hvad siger de kyndige herrer (m/k) til denne model
> - er den sikker?

Nej. Den signerer kun de nævnte headere, ikke indholdet af indlægget.
Dvs. du kan sende et indlæg med de samme headere, men med et andet
indhold uden at det kan detekteres. Man skal nok udvise lidt snedighed
for at gøre det i praksis; men det er ikke umuligt.

> - er der ulemper ved den?

Ja, for det første er den ikke standardiseret. Du kan se, hvor sløjt
det står til med at implementere de metoder, som *har* en
Internetstandard. Understøttelse af ikke-standardiserede metoder vil
være endnu ringere. Jeg har kun hørt om ét klientprogram, som kan
verificere den metode.

Det sted, hvor 'X-PGP-Sig' bruges, er i kontrolbeskeder til oprettelse
og nedlæggelse af grupper. I det tilfælde er alt det væsentlige indhold
i headerne, så det er tilstrækkeligt kun at signere dem.

Af samme grund er det hovedsageligt newsservere, som understøtter
formatet. Klientprogrammer har ingen grund til at beskæftige sig med de
kontrolbeskeder.

---

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Jens Gyldenkærne Clausen <jens@gyros.invalid> writes:

> Jeg kan ikke se om signaturen er nødvendig for at kunne verificere
> PGP-nøglen eller ej.

Normalt verificerer man nøgler helt uafhængigt af den normale
dagligdags brug af nøglerne, og de to ting har generelt meget lidt med
hinanden at gøre. Desuden er signaturen helt uden betydning for at
bekræfte nøglens ophav. Nøglen bruges til at lave signaturen, altså
forudsætter signaturen nøglen, og kan dermed ikke sige særligt meget
om denne nøgle, som nøgle selv ikke kan.

Når man taler om verificering af nøgler, er der som regel tale om
bekræftelse af, at det navn (og E-mailadresse osv.), der står på
nøglen, faktisk hører til den virkelige person, der besidder disse.
Jeg kunne med største lethed lave et nøglepar i dit navn, og
efterfølgende udgive mig for at være dig, komplet med digitale
signaturer og det hele. Det er så her, man skal overveje, hvilke
nøgler man kan stole på. Som regel er dette trivielt: folk der bruger
digitale signaturer, har ofte brugt deres nøgle til at lave disse
signaturer længe før ægtheden bliver et relevant spørgsmål. Så skal
man bare checke, at den samme nøgle bliver brugt efterfølgende som
før.

Ellers er der jo det såkaldte 'web of trust', som indebærer, at folk
bruger deres egne nøgler til at underskrive andres nøgler med (skal
ikke forveksles med normal brug af digitale signaturer), for at sige
god for ægtheden. Altså kan jeg, hvis jeg er helt sikker på, at du er,
hvem du udgiver dig for at være, underskrive din nøgle med min egen,
hvormed jeg siger, at alle dem der stoler på, at jeg er den, jeg siger
jeg er, også kan stole på at du er den, du udgiver dig for. Kun
forholdsvist få får opbygget et fornuftigt web of trust på denne måde,
jeg selv indbefattet. Idéen er meget god, men det kan være ret
besværligt i praksis. Desuden er terminologien mildest talt
forvirrende, da der er tale om to forskellige slags 'signing', som kun
har meget lidt med hinanden at gøre, og to slags 'trust', som det også
er vigtigt at kende forskel på.

Martin

- --
Homepage: http://www.cs.auc.dk/~factotum/
GPG public key: http://www.cs.auc.dk/~factotum/gpgkey.txt
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: Using Mailcrypt+GnuPG <http://www.gnupg.org>

iEYEARECAAYFAj3jk+kACgkQYu1fMmOQldVrkgCfVI8KTxUgSOh0h8pnky0FsRLj
mKIAnieX2YXtHZQ7vl+6GDNJPVnxlVgd
=ekc+
-----END PGP SIGNATURE-----

---

Martin Christensen <knightsofspamalot-factotum@gvdnet.dk> skrev:

> Ellers er der jo det såkaldte 'web of trust', som indebærer, at folk
> bruger deres egne nøgler til at underskrive andres nøgler med (skal
> ikke forveksles med normal brug af digitale signaturer), for at sige
> god for ægtheden. Altså kan jeg, hvis jeg er helt sikker på, at du er,
> hvem du udgiver dig for at være, underskrive din nøgle med min egen,
> hvormed jeg siger, at alle dem der stoler på, at jeg er den, jeg siger
> jeg er, også kan stole på at du er den, du udgiver dig for.

Nej, du siger at alle der stoler at du er den som du siger du er -
og som mener at du er troværdig - kan stole på at den nøgle som du
har underskrevet tilhører den person som den angiver at tilhøre.

Bare fordi man stoler på din nøgle tilhører dig, kan man jo ikke
umiddelbart vide om de nøgler som du underskriver med din nøgle,
tilhører de personer som de angiver at tilhøre. Det kræver ydermere
at du regnes for troværdig.

> Desuden er terminologien mildest talt
> forvirrende, da der er tale om to forskellige slags 'signing', som kun
> har meget lidt med hinanden at gøre,

2 slags underskrifter? Hvad mener du med det?

> og to slags 'trust', som det også
> er vigtigt at kende forskel på.

Ja, det er vigtig at skelne mellem at tro på en nøgles identitet og
tro på hvad ejeren af en nøgle siger.

--
Skal musik- og edb-industrien have ret til fratage forbrugerne deres
rettigheder i henhold til Ophavsretloven, begrænse konkurrencen og
fremme monopoldannelse ved hjælp af tekniske midler? Sig nej! Nu!
Støt underskriftsindsamlingen på http://www.digitalforbruger.dk

---

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Byrial Jensen <bjensen@nospam.dk> writes:

> Nej, du siger at alle der stoler at du er den som du siger du er -
> og som mener at du er troværdig - kan stole på at den nøgle som du
> har underskrevet tilhører den person som den angiver at tilhøre.
>
> Bare fordi man stoler på din nøgle tilhører dig, kan man jo ikke
> umiddelbart vide om de nøgler som du underskriver med din nøgle,
> tilhører de personer som de angiver at tilhøre. Det kræver ydermere
> at du regnes for troværdig.

Hov! Jeg fik vist ikke skelnet mellem key trust og user trust. Du har
selvfølgeligt ret.

>> Desuden er terminologien mildest talt forvirrende, da der er tale
>> om to forskellige slags 'signing', som kun har meget lidt med
>> hinanden at gøre,
> 2 slags underskrifter? Hvad mener du med det?

Normale digitale signaturer, som man ser dem brugt til at bekræfte
klartekster og filer helt generelt med, og signaturer på nøgler, der
bekræfter nøglernes ægthed.

Martin

- --
Homepage: http://www.cs.auc.dk/~factotum/
GPG public key: http://www.cs.auc.dk/~factotum/gpgkey.txt
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: Using Mailcrypt+GnuPG <http://www.gnupg.org>

iEYEARECAAYFAj3mt/YACgkQYu1fMmOQldUVPgCeItrWkfRUPA8PqCeGLT+DeL/U
POwAn3eFSISw/p3VWwtPr4i2tuZphWoH
=S3gc
-----END PGP SIGNATURE-----