Eine Idee, die ich heute Nachmittag schon hatte, nachdem Keysigning, GeoCaching und verwandte Dinge gerade mehr oder weniger unsere Gesprächsthemen sind:
Es wäre doch nett, ein Portal zu haben, mit dessen Hilfe man Keysigning-Parties (KSPs) jeglicher Größenordnung organisieren könnte.
Ich stelle mir das so vor:
Man meldet sich dort an und bekommt dann die Möglichkeit, neben seinen aktuellen Schlüsseln auch seinen Aufenthaltsort anzugeben. Damit ist es schonmal leicht, herauszufinden, wer in der Umgebung noch einen PGP-Schlüssel besitzt.
Wer eine KSP organisieren möchte, legt ein entsprechendes Event mit Termin und Austragungsort an. Anschließend können andere Nutzer sich dafür anmelden, wobei sie gegebenenfalls sogar automatisch auf die KSP in ihrer Nähe hingewiesen wurden.
Eine dritte Funktion könnte eine Art Marktplatz sein, auf dem man sich zum Key-Signing verabreden könnte. Wer kein Problem damit hat, mal einen Schlüssel zu verifizieren, gibt das entsprechend bekannt (z.B. durch ein Häkchen im Profil und eine Angabe von Orten, an denen man ihn leicht treffen kann) und wenn man Leute sucht, die einen neuen Key verifizieren, kann man dort einfach auflisten lassen, wer denn in Frage kommt oder eine entsprechende Anfrage stellen und hoffen, dass sich jemand anbietet (auf diese Art lässt sich vermeiden, dass sinnlos Daten ausgespäht werden).
Nebenbei gibt es natürlich Informationen und Tools für KSPs, zum Beispiel eine Möglichkeit, sich ein nett designtes Formular mit allen Fingerprints der KSP-Teilnehmer herunterzuladen oder eine Liste mit Schlüsselschnipseln zum Ausschneiden und Weiterverteilen.
Wenn viel Serverlast ürbrig ist, kann man sogar Vertrauensnetzwerke berechnen und visualisieren. Der Kreativität sind da keine Grenzen gesetzt.
Falls es eine solche Plattform schon gibt oder jemand Lust hat, das umzusetzen: Lasst es mich wissen! Ich habe im Moment leider keine Zeit dazu.
Gute Idee. Allerdings sehe ich ein Problem: Wie bekommst man schwarze Schafe in den Griff? Nicht, dass sich jemand das Vertrauen der Gruppe erschleicht und dann munter Keys signiert, von Leuten, die es gar nicht gibt / mit falsche Identität / usf. ?
Oder sehe ich da Probleme, die es so gar nicht gibt?
Das Problem besteht – aber auch ohne die Plattform. An sich kann sich jeder einen “falschen” Key erzeugen, damit sogar ein falsches Trust-Network aufbauen und falsche Identitäten vortäuschen. Das ist aber ein Problem der Architektur, nicht dieses Services.
Man könnte dem eventuell sogar entgegenwirken, indem auf der Plattform angegeben wird, wann man wen zum Verifizieren getroffen hat – so lassen sich einseitige “Treffen” herausfiltern.
Aber wie gesagt: Das ist ein Problem, das es jetzt auch schon gibt.
Gibt’s schon, naja zumindest Basis-Funktionalität: Biglumber