Diskussion:Web of Trust

Wenn sich ein Public Key von einer Website herunterladen lässt (braucht man ja, um die Signatur prüfen zu können, richtig?) und dieser von verschiedensten Leuten signiert und auf Schlüsselserver hochgeladen wird, lässt sich dann noch sagen, dass Rückschlüsse darauf geschlossen werden können, ‚wer wann mit wem Umgang hatte‘? -- Fleasoft 13:32, 21. Aug. 2007 (CEST)Beantworten

Hier wird im Artikel mit sehr unsauberen Formulierungen gearbeitet. Es lässt sich nämlich nicht herausfinden, wer wann mit wem Umgang hatte, sondern nur, wann sie ihre Schlüssel signiert haben - also wann sie gegenseitig ihre Identität geprüft haben. Sobald das einmal geschehen ist, wird es auch nicht wiederholt, so dass die gesamte Information nur ist, ob und wann die betreffenden Personen ihre Schlüssel das erste Mal geprüft haben. Und das ist nur genau die Information, die für das System benötigt wird. Die Zeit ist dabei meinem Gefühl nach allerdings nicht zwingend nötig. Ich denke, der betreffende Abschnitt sollte dringend überarbeitet werden. Welche Markierung braucht Wikipedia dafür? -- ArneBab 23:11, 20. Mai 2009 (CEST)Beantworten

Und noch eine Frage, die damit am Rande zu tun hat: Wenn x Leute gleichzeitig einen Schlüssel, den sie heruntergeladen haben, signieren und diesen auf einen Schlüsselserver hochladen: Werden alle Signaturen gespeichert oder nur der Schlüssel mit der Signatur desjenigen, der zuletzt hochgeladen hat (vereinfacht gesprochen, jetzt mal ohne die Problematik des Abgleichs der Schlüsselserver)? -- Fleasoft 13:32, 21. Aug. 2007 (CEST)Beantworten

Die Keyserver sind hier so intelligent, sämtliche Signaturen an einen Key anzufügen. Oder anders formuliert - Keyserver löschen niemals Daten, die sie einmal erhalten haben. -- mømø 17:44, 12. Sep. 2007 (CEST)Beantworten

Leider sind sie so "unintelligent" (das ist ein Problem der verfügbaren Rechenleistung und ein Riesenproblem bei der Synchronisation), dass sie wirklich einfach alles ranhängen. Und zwar auch dann, wenn der Schlüssel so konfiguriert ist, dass sie das unterlassen sollen, sofern nicht der Schlüsselbesitzer dies autorisiert hat. Die Keyserver prüfen die hochgeladenen Schlüssel nicht kryptografisch. --Hauke Laging (Diskussion) 03:22, 8. Okt. 2012 (CEST)Beantworten

Was mir leider immer noch unklar ist: Wenn ich den Schlüssel eines Freundes signiert habe (und mich davor natürlich vergewissert habe, dass es wirklich sein Schlüssel ist), wie kann ich denn dann am Web of Trust teilnehmen, also die Signatur veröffentlichten? Ich weiß, dass Wikipedia kein Programmhandbuch ist, aber so ein essentieller Baustein sollte schon dokumentiert sein. --Robb der Physiker 14:16, 11. Nov. 2007 (CET)Beantworten

Um ihn zu signieren, musst Du ihn ja runterladen (was eventuell ein Programm für Dich erledigt ohne das Du was davon mitbekommst). Nach dem Signieren musst Du ihn folglich wieder an den Keyserver schicken - hochladen. Dadurch machst Du öffentlich kenntlich, das Du dem Key vertraust.

In diesem Artikel wird behauptet, dass ein W.o.T. eine Alternative zu einer PKI wäre, im PKI-Artikel allerdings wird behauptet, dass ein W.o.T. eine von mehreren Möglichkeiten ist, eine PKI zu realisieren, d.h. es stellt sich die Frage: Ist ein W.o.T. ein Spezialfall einer PKI oder ist ein W.o.T. komplementär dazu? Wie werden die Begriffe in der Praxis verwendet? --131.234.106.197 17:54, 15. Mai 2008 (CEST)Beantworten

Im PKI Artikel steht zu WOT Ein zur Zertifizierungshierarchie komplett konträres Vertrauensmodell. Zertifizierungshierarchie ist dabei nicht mit PKI gleichzusetzen, sondern ist einfach eine Implementierung eines Vertrauensmodells. (nicht signierter Beitrag von ArneBab (Diskussion | Beiträge) 23:13, 20. Mai 2009 (CEST)) Beantworten

Eine PKI ist ein Spezialfall des WoT. Man erreicht sie, indem man nur der CA (oder den CAs) vertraut und die Vertrauenskalkulation so konfiguriert, dass eine einzelne Signatur ausreicht. Mit Hilfe von trust signatures kann mit gewissen Einschränkungen sogar eine CA-Kette nachgebaut werden. --Hauke Laging (Diskussion) 03:27, 8. Okt. 2012 (CEST)Beantworten

Wäre es nicht irgendwie nachvollziehbarer für die Leser, wenn man die Namen in der Grafik "schematische Darstellung..." und in den Beispielen im Artikel gleich wählen würde? Also statt z.B. "Alice", "Bob", "Carl" (wie im Text)lieber "Ingo", "Alan", "Bernie" (wie in der Grafik)?--Tomcat0815 09:34, 4. Nov. 2008 (CET)Beantworten

Sehe ich auch so. Allerdings: was sollte angepasst werden? Die Grafik, oder der Text (Bob und Alice sind in der internationalen Lietratur häufig verwendete Namen, während die deutschen Namen nur im deutschsprachigen Raum bekannt wären). --Sotel (Diskussion) 02:04, 7. Okt. 2012 (CEST)Beantworten

Wollte unter Siehe auch folgendes Einfügen... Leider geht das wohl nciht mit dem Link..., den ich gerne auf www. und dann mywot und dann .com eingefügt hätte...

• Der Name "Web of Trust" wird auch von dem Anbieter MyWoT verwendet, der ein Plugin für Browser bereitstellt, mit dem durch eine Bewertung von Webseiten vor gefährlichen oder unnützen Seiten gewarnt wird.

Dieses Problem ist nun durch den Begriffsklärungslink am Anfang des Artikels gelöst. --Hauke Laging (Diskussion) 03:30, 8. Okt. 2012 (CEST)Beantworten

Ich habe aus mehreren Gründen die Grafik bearbeitet (also ausgetauscht). Leider wurden darin Schlüsselgültigkeit und Zertifizierungsvertrauen miteinander verwechselt (wie fast überall...). Ich habe das hier erläutert. Außerdem bringt es natürlich wenig, immer wieder dasselbe anzuzeigen und damit die Grafik zu überfrachten. In aller Regel wird man Fremden natürlich kein positives Zertifizierungsvertrauen zuweisen, so dass Schlüssel / Zertifikate von Fremden nur in der ersten Ebene gültig werden können. Damit die Zusammenhänge klar werden, muss für jede Verbindung angezeigt werden, ob sie mit Vertrauen verbunden ist und ob sie zur Verifikation des fraglichen Zertifikats führt. Sehr umfangreich habe ich das auf dieser Seite erläutert.--Hauke Laging (Diskussion) 05:28, 13. Dez. 2013 (CET)Beantworten

"Signiert Alice den öffentlichen Schlüssel von Bob und überträgt diese Signatur anschließend an einen Schlüsselserver, so kann diese Signatur von Carl zur Beurteilung der Authentizität des öffentlichen Schlüssels von Bob benutzt werden. Dazu überprüft Carl, ob er den öffentlichen Schlüssel von Alice selbst signiert hat und er ihr als Owner Trust „marginal“ oder „complete“ zugeordnet hat. Ist das der Fall, so erhält Alice’ Signatur genau diesen Wert."

Ist das so? Carl vertraut Alice "complete", Alice vertraut Bob nur "marginal", damit vertraut Carl Bob "complete". Das hört sich nicht logisch an.

Oder vertraut Carl darauf das Alice korrekt signiert hat?

Wer hat denn das geschrieben?

--Reality3001 (Diskussion) 15:44, 2. Sep. 2014 (CEST)Beantworten

Ich habe das nicht geschrieben, aber gerade verbessert. Jetzt sollte es verständlich sein.--Hauke Laging (Diskussion) 05:16, 3. Nov. 2014 (CET)Beantworten

Anscheinend verkauft das Web of Trust Plugins Nutzerdaten in gigantischen Ausmaß an Drittanbieter: https://www.youtube.com/watch?v=yb7BgDBUbP0 Wie geht man auf Wikipedia damit um? (nicht signierter Beitrag von 84.154.131.241 (Diskussion) 16:23, 9. Jan. 2017 (CET))Beantworten