Hallo Mathias,

Wohl oder übel. PGP-signierte Postings könnten eine Lösung sein, doch leider gibt es dafür keine Schnittstelle im CForum. Zudem könnte ich mir beim besten Willen nicht vorstellen, wie ein Posting signiert werden sollte, selbst wenn es eine solche Schnittstelle gäbe. Also weiterhin auf Menschenkenntnis vertrauen.

Klassisch nimmt man da OpenPGP Message Format, also die sehr technisch aussehende Version á la -----BEGIN PGP SIGNED MESSAGE-----. Der Poster schreibt seinen Text, signiert diesen, erhält den Textblock und pastiert diesen in das Texteingabefeld des Forums. Da beginnen dann die Probleme. Damit man etwas von einer Signatur hat, muss diese natürlich verifiziert werden können. Also darf die Nachricht samt Signatur nicht verändert werden. D.h. im Forum muss man sich beschränken und keine BB-Codes oder CF-Codes mehr verwenden. Und die gesamte OpenPGP-Nachricht sollte im hässlich-technischen OpenPGP-Message-Format bleiben.

Oder aber das Forum stellt die Nachricht in zwei Varianten dar, einmal in benutzerfreundlichem Format und zum anderem im rohen Format. Die Idee ist nicht neu, schon vor Jahren wurde für Weblog-Kommentare so etwas angedacht es gibt auch ein Movable Type- und ein Wordpress-Plugin dazu. Diese tun genau dieses; auf Wunsch zeigen sie die rohe signierte Nachricht an.

Und diese muss dann der Leser des Postings verifizieren.

Ähem. Kannst Du Dir ernsthaft vorstellen, dass das irgendjemand ausser in wirklichen Grenzfällen tut? Ich nicht.

Ein wirkliches Mehr an Automatik kann man da auch nicht rein bringen. Zum Verifizieren muss man den öffentlichen Schlüsseln des Signierers kennen. Eine Software muss erstmal wissen, woher es den öffentlichen Schlüssel bekommt. Und dann sollte man sich auch sicher sein, dass der öffentliche Schlüssel wirklich zu Person X passt. Woher soll eine Software das wissen? Registrierte Benutzer könnten dann natürlich einen Schlüssel oder einen Verweis darauf hinterlegen. Aber dann braucht man wieder Gewissheit, dass der registrierte Benutzer auch Person X ist. Und wenn sich ein Benutzer registriert und authentifiziert hat, ist man sich sowieso schon recht sicher, dass das Posting von ihm ist; insofern wären Digitale Signaturen ein viel zu hoher Aufwand.

Allerhöchstens könnte man noch etwas mit dem Web of Trust reissen. Die Forumssoftware kriegt irgendwoher den öffentlichen Schlüssel des Signierers (Link beim Posten oder so), guckt sich diesen an, wer diesen signiert hat und ob dieser Schlüssel dann irgendwo zum Forum-Teilnetz-of-Trust gehört, dass irgendwann auf einen garantiert vertrauuenswürdigen Schlüsseln zurück geht. Keysigning-Parties beim Self-Treffen, nur um Vertrauen beim Posten zu kriegen, sind aber auch nicht so eine tolle Vorstellung. ;)

Tim