Abo
  1. Foren
  2. Kommentare
  3. Applikationen
  4. Alle Kommentare zum Artikel
  5. › PGP: Hochsicher, kaum genutzt…

Schlüssel-Namesgebung vielleicht auch nicht ideal

  1. Thema

Neues Thema Ansicht wechseln


  1. Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: lisgoem8 24.06.15 - 12:29

    Ich fand bei PGP/GPG immer die Sache mit dem öffentlichen und privaten Schlüssel seltsam gewählt.

    Der Otto Normal könnte denken, dass der öffentliche ist für Behörden und Shops ist sowie der Private für Mama. Geht man wirklich danach, ist dass natürlich fatal ;-)

    Vielleicht hätten auch die Namen anders gewählt werden sollen.

    Allerdings fällt mir da auch nichts besseres ein ;-)

  2. Re: Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: AllAgainstAds 24.06.15 - 12:42

    Naja, das zeigt allerdings nur, das man das Prinzip öffentlicher und privater Schlüssel nie richtig vermittelt hat, denn eigentlich ist das Prinzip sehr gut.
    Man muss nur verstehen, das der öffentliche Schlüssel nur zum verschlüsseln genutzt wird und nicht entschlüsseln kann.

  3. Re: Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: lisgoem8 24.06.15 - 12:46

    AllAgainstAds schrieb:
    --------------------------------------------------------------------------------
    > Naja, das zeigt allerdings nur, das man das Prinzip öffentlicher und
    > privater Schlüssel nie richtig vermittelt hat, denn eigentlich ist das
    > Prinzip sehr gut.
    > Man muss nur verstehen, das der öffentliche Schlüssel nur zum verschlüsseln
    > genutzt wird und nicht entschlüsseln kann.

    Otto Normal will das nicht wissen. Das ist das auch noch ein Hauptproblem.


    Klick, E-Mail auf, Glücklich.


    Doch es sollte wirklich so werden...

    Klick, E-Mail (automatisch entschlüsselt) auf, Glücklich.


    Vielleicht bekommen all die E-Mail-Programme eines Tages mal ein zweites Passwortfeld dafür.

  4. Re: Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: Beeblox 24.06.15 - 12:49

    AllAgainstAds schrieb:
    --------------------------------------------------------------------------------
    > Naja, das zeigt allerdings nur, das man das Prinzip öffentlicher und
    > privater Schlüssel nie richtig vermittelt hat, denn eigentlich ist das
    > Prinzip sehr gut.
    > Man muss nur verstehen, das der öffentliche Schlüssel nur zum verschlüsseln
    > genutzt wird und nicht entschlüsseln kann.

    Hier zum Beispiel wurde das Prinzip offensichtlich falsch vermittelt. Natürlich kann der öffentliche Schlüssel auch zum Entschlüsseln genutzt werden, nämlich um die Signatur des Senders verifizieren zu können.

  5. Re: Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: BeruntoSchmidt 24.06.15 - 13:02

    Signaturüberprüfung hat aber rein gar nichts mit Entschlüsseln zu tun.



    1 mal bearbeitet, zuletzt am 24.06.15 13:05 durch BeruntoSchmidt.

  6. Die Idee der asymetrischen Verschlüsselung überfordert viele.

    Autor: Tigerf 24.06.15 - 13:11

    Meine Erfahrung aus > 10 Jahren.

  7. Re: Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: Anonymer Nutzer 24.06.15 - 13:14

    BeruntoSchmidt schrieb:
    --------------------------------------------------------------------------------
    > Signaturüberprüfung hat aber rein gar nichts mit Entschlüsseln zu tun.

    Wenn man reines RSA nutzt ist eine Signatur eine Nachricht die mit dem privaten Schlüssel verschlüsselt wird um dann von einem öffentlichen Schlüssel entschlüsselbar zu sein.

  8. Re: Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: chefin 24.06.15 - 13:42

    DetlevCM schrieb:
    --------------------------------------------------------------------------------
    > BeruntoSchmidt schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Signaturüberprüfung hat aber rein gar nichts mit Entschlüsseln zu tun.
    >
    > Wenn man reines RSA nutzt ist eine Signatur eine Nachricht die mit dem
    > privaten Schlüssel verschlüsselt wird um dann von einem öffentlichen
    > Schlüssel entschlüsselbar zu sein.

    Das sind dann allerdings schon 2 Keys. Den der Publickey der Email kann nichts entschlüsseln was du mit deinem Privatekey verschlüsselt hast. Signatur heist, das man das Schlüsselpaar tauscht, den eigentlich privatekey veröffentlicht und den publickey behält.

    RSA muss man eigentlich vom Verschlüsselungskey und Entschlüsselungskey reden. Signatur ist dann das überrüfen von etwas das nur du verschlüsseln kannst und alle anderen entschlüsseln(jedenfalls im funktionalen Sinn).

    Ein weiteres Problem ist, das man seinen Entschlüsselungskey nicht auf den rechner liegen lassen darf, weil sonst alle Mails quasi entschlüsselt wären. Zwar liegt eine Passphrase davor, aber die ist selten von der selben Stärke wie die Verschlüsselung.

    PGP ist also reine Transportsicherung, keine lokale Sicherung. Lokal ist die Sicherung eine Passphrase die man eingibt. Hingegen ist ein via Telefon übertragenes Passwort einer AES256 Verschlüsselung genauso einfach zu handhaben, genauso sicher wie RSA 2048 und viel leichter zu ändern, wenn man Angst hat das der key in falschen Händen gelandet ist. Bei PGP ist die komplette alte Kommunikation erstmal hinüber, da man vieleicht noch den Inhalt konvertieren kann(was allerdings zusätzliche Software benötigt), aber die Signatur ist 100% nicht konvertierbar.

    Der einzigen Vorteile ist das man pgp auch nutzen kann ohne den Kommunikationspartner zu kennen, schon von der ersten Mail an. Das geht sonst nicht. Das kann nur leider die Nachteile nicht aufwiegen.

  9. Re: Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: BeruntoSchmidt 24.06.15 - 13:43

    Die Nachricht wird nicht verschlüsselt, sondern signiert. Im Falle von RSA läuft das zwar genau wie die Entschlüsselung, aber dennoch ist hier von einer Signatur und nicht einer Verschlüsselung zu sprechen. Signaturen und Verschlüsselungen haben ganz unterschiedliche Ziele.

  10. Re: Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: Anonymer Nutzer 24.06.15 - 13:47

    chefin schrieb:
    --------------------------------------------------------------------------------
    > DetlevCM schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > BeruntoSchmidt schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Signaturüberprüfung hat aber rein gar nichts mit Entschlüsseln zu tun.
    > >
    > > Wenn man reines RSA nutzt ist eine Signatur eine Nachricht die mit dem
    > > privaten Schlüssel verschlüsselt wird um dann von einem öffentlichen
    > > Schlüssel entschlüsselbar zu sein.
    >
    > Das sind dann allerdings schon 2 Keys. Den der Publickey der Email kann
    > nichts entschlüsseln was du mit deinem Privatekey verschlüsselt hast.
    > Signatur heist, das man das Schlüsselpaar tauscht, den eigentlich
    > privatekey veröffentlicht und den publickey behält.
    >
    > RSA muss man eigentlich vom Verschlüsselungskey und Entschlüsselungskey
    > reden. Signatur ist dann das überrüfen von etwas das nur du verschlüsseln
    > kannst und alle anderen entschlüsseln(jedenfalls im funktionalen Sinn).
    >
    > Ein weiteres Problem ist, das man seinen Entschlüsselungskey nicht auf den
    > rechner liegen lassen darf, weil sonst alle Mails quasi entschlüsselt
    > wären. Zwar liegt eine Passphrase davor, aber die ist selten von der selben
    > Stärke wie die Verschlüsselung.
    >
    > PGP ist also reine Transportsicherung, keine lokale Sicherung. Lokal ist
    > die Sicherung eine Passphrase die man eingibt. Hingegen ist ein via Telefon
    > übertragenes Passwort einer AES256 Verschlüsselung genauso einfach zu
    > handhaben, genauso sicher wie RSA 2048 und viel leichter zu ändern, wenn
    > man Angst hat das der key in falschen Händen gelandet ist. Bei PGP ist die
    > komplette alte Kommunikation erstmal hinüber, da man vieleicht noch den
    > Inhalt konvertieren kann(was allerdings zusätzliche Software benötigt),
    > aber die Signatur ist 100% nicht konvertierbar.
    >
    > Der einzigen Vorteile ist das man pgp auch nutzen kann ohne den
    > Kommunikationspartner zu kennen, schon von der ersten Mail an. Das geht
    > sonst nicht. Das kann nur leider die Nachteile nicht aufwiegen.

    Nö.... mit dem reinen RSA Algorithmus entschlüsselt man mit dem Public-key den Private-Key und umgekehrt - Beide Keys beinhalten den das Produkt zweier Primzahlen für Modulo-Arithmetik sowie jeweils eine individuellen Exponenten.
    Mehr braucht man für den RSA Algorithmus nicht (in Bezug auf die Mathematik).

  11. Re: Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: nicoledos 24.06.15 - 14:46

    > Klick, E-Mail auf, Glücklich.
    >
    > Doch es sollte wirklich so werden...
    >
    > Klick, E-Mail (automatisch entschlüsselt) auf, Glücklich.
    >
    > Vielleicht bekommen all die E-Mail-Programme eines Tages mal ein zweites
    > Passwortfeld dafür.

    Macht mein Thunderbird auch, auf die eMail geklicht und es wird entschlüsselt.
    Ok, ich muss noch das Passwort des Schlüssels eingeben. Wer das nicht mag könnte dafür einen Token (Yubikey, Datei auf USB-Stick, ...) nutzen.

  12. Re: Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: zilti 24.06.15 - 16:34

    lisgoem8 schrieb:
    --------------------------------------------------------------------------------
    > AllAgainstAds schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Naja, das zeigt allerdings nur, das man das Prinzip öffentlicher und
    > > privater Schlüssel nie richtig vermittelt hat, denn eigentlich ist das
    > > Prinzip sehr gut.
    > > Man muss nur verstehen, das der öffentliche Schlüssel nur zum
    > verschlüsseln
    > > genutzt wird und nicht entschlüsseln kann.
    >
    > Otto Normal will das nicht wissen. Das ist das auch noch ein Hauptproblem.
    Will das nicht wissen - kann es nicht nutzen, fertig. Ist doch mit allem so. Otto Normal will wohl auch die Verkehrsregeln und die Anordnung der Autopedale nicht wissen, will aber trotzdem Auto fahren. Kann Ottilein dann aber nicht, ätsch.

    Zudem muss man Public-/Private-Key gar nicht mehr wissen; Enigmail z.B. abstrahiert das für den Nutzer.
    Geben wir es doch zu: Ottilein verschlüsselt nicht, weil es ihm scheissegal ist, und er daraus keinen direkten, offensichtlichen Vorteil zieht. Ottilein lernt aber Autofahren, weil das zwar umständlich ist, aber hinterher bequemer und schneller, als überall mit dem Rad oder zu Fuss hinzugehen. Vor diesem Hintergrund kann man sich die Verschlüsselung wirklich sparen - da muss nämlich zuerst ein Umdenken stattfinden, sonst geht nichts, was auch nur ein paar Klicks braucht, egal, wie einfach es ist.

  13. Re: Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: nicoledos 24.06.15 - 19:19

    So sieht es leider aus Ottilein ist es egal.
    Am Wochenende bei diesem Ottilein gewesen, sollte etwas einrichten.
    Das Passwort vom PC-Paswort ist ein schlechter Witz. Fällt bei jeder Wörterbuchattacke.
    Das schlimmste es ist identisch mit Router, Google, Dropbox, Amazon, ... .
    Um jedoch in dessen WLAN zu kommen tippst du dir die Finger wund, könnte doch wer böses hacken. ;)

    Verschlüsselung ist für jene einfach uninteressant. Wer es will und eventuell auch benötigt beschäftigt sich damit und lernt mit den notwendigen Prozessen um zu gehen. Ganz so schwer ist es nun auch wieder nicht. Dann weiß ich wenigstens, dass der andere es auch bewusst verwendet.

    Wenn das für Ottilein ganz einfach Automatisiert umgesetzt wird, so dass er nur noch sein Masterpasswort eingeben braucht ist Sicherheitstechnisch nichts gewonnen. Die sichere Kommunikation ist nur ein Fake, da Ottilein es selbst mit seinem Passwort sabotiert. Nur glaubt die Gegenseite, dass es sicher ist.

    Verschlüsselung ist deshalb nicht Obsolet, nur darf man nicht glauben, dass man einfach jeden ins Paradies führen kann.

  14. Re: Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: AllAgainstAds 24.06.15 - 19:25

    nicoledos schrieb:
    --------------------------------------------------------------------------------
    > So sieht es leider aus Ottilein ist es egal.

    > Das Passwort vom PC-Paswort ist ein schlechter Witz. Fällt bei jeder
    > Wörterbuchattacke.

    Viele Ottilein agieren so und das ist reine Ignoranz und falsches Sicherheitsdenken.
    Aber für solche Ignoranten wie Ottilein sind solche Entwicklungen wie Touch-ID, oder Fingerprint-Scanner auf einem Gerät sicherlich besser geeignet, denn den Finger sollten sie dann denke ich nicht irgendwo vergessen. Sicher man kann Ottilein auch den Finger abhacken, aber in dem Falle sind auch die Daten dann nicht mehr wichtig.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. operational services GmbH & Co. KG, Frankfurt am Main, Wolfsburg, Braunschweig, Berlin
  2. Wirtschaftsrat der CDU e.V., Berlin
  3. awinia gmbh, Freiburg
  4. Streit Service & Solution GmbH & Co. KG, Hausach bei Villingen-Schwenningen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Lenovo Legion Y530-15ICH für 699€ + Versand - Bestpreis!)
  2. ab 99,00€
  3. (u. a. GTA 5 für 12,99€, Landwirtschafts-Simulator 19 für 27,99€, Battlefield V für 32,99€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Chromium: Der neue Edge-Browser könnte auch Chrome besser machen
Chromium
Der neue Edge-Browser könnte auch Chrome besser machen

Build 2019 Wie sieht die Zukunft des Edge-Browsers aus und was will Microsoft zum Chromium-Projekt beitragen? Im Gespräch mit Golem.de gibt das Unternehmen die vage Aussicht auf einen Release für Linux und Verbesserungen in Google Chrome. Bis dahin steht viel Arbeit an.
Von Oliver Nickel

  1. Insiderprogramm Microsoft bietet Vorversionen von Edge für den Mac an
  2. Browser Edge auf Chromium-Basis wird Netflix in 4K unterstützen
  3. Browser Microsoft lässt nur Facebook auf Flash-Whitelist in Edge

Strom-Boje Mittelrhein: Schwimmende Kraftwerke liefern Strom aus dem Rhein
Strom-Boje Mittelrhein
Schwimmende Kraftwerke liefern Strom aus dem Rhein

Ein Unternehmen aus Bingen will die Strömung des Rheins nutzen, um elektrischen Strom zu gewinnen. Es installiert 16 schwimmende Kraftwerke in der Nähe des bekannten Loreley-Felsens.

  1. Speicherung von Überschussstrom Wasserstoff soll bei Engpässen helfen
  2. Energiewende DLR-Forscher bauen Kohlekraftwerke zu Stromspeichern um
  3. Erneuerbare Energien Wellenkraft als Konzentrat

Oneplus 7 Pro im Hands on: Neue Konkurrenz für die Smartphone-Oberklasse
Oneplus 7 Pro im Hands on
Neue Konkurrenz für die Smartphone-Oberklasse

Parallel zum Oneplus 7 hat das chinesische Unternehmen Oneplus auch das besser ausgestattete Oneplus 7 Pro vorgestellt. Das Smartphone ist mit seiner Kamera mit drei Objektiven für alle Fotosituationen gewappnet und hat eine ausfahrbare Frontkamera - das hat aber seinen Preis.
Ein Hands on von Ingo Pakalski

  1. Smartphone Oneplus 7 Pro hat kein echtes Dreifach-Tele
  2. Oneplus Upgrade auf Android 9 für Oneplus 3 und 3T wird verteilt
  3. Smartphones Android-Q-Beta für Oneplus-7-Modelle veröffentlicht

  1. Briefe und Pakete: Bundesregierung will Rechte von Postkunden stärken
    Briefe und Pakete
    Bundesregierung will Rechte von Postkunden stärken

    Aufgrund gestiegener Beschwerden über Mängel bei der Post- und Paketzustellung will das Bundeswirtschaftsministerium die Rechte von Postkunden stärken. Dabei geht es auch um die Frage von Sanktionsmöglichkeiten.

  2. Vodafone: Red-Tarife erhalten mehr Datenvolumen und werden teurer
    Vodafone
    Red-Tarife erhalten mehr Datenvolumen und werden teurer

    Vodafone bietet veränderte Red-Tarife. Bei vier der fünf verfügbaren Tarife erhöht sich das ungedrosselte Datenvolumen. Dafür steigen auch die Preise.

  3. Amazons Patentanmeldung: Alexa-Aktivierungswort kann auch am Ende gesagt werden
    Amazons Patentanmeldung
    Alexa-Aktivierungswort kann auch am Ende gesagt werden

    Amazon will die Nutzung von Sprachassistenten natürlicher machen. Amazons digitaler Assistent Alexa würde dann auch reagieren, wenn das Aktivierungswort etwa am Ende eines Befehls gesagt wird. Ein entsprechender Patentantrag liegt vor.


  1. 11:31

  2. 11:17

  3. 10:57

  4. 13:20

  5. 12:11

  6. 11:40

  7. 11:11

  8. 17:50