Abo
  1. Foren
  2. Kommentare
  3. Applikationen
  4. Alle Kommentare zum Artikel
  5. › PGP: Hochsicher, kaum genutzt…

Schlüssel-Namesgebung vielleicht auch nicht ideal

  1. Thema

Neues Thema Ansicht wechseln


  1. Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: lisgoem8 24.06.15 - 12:29

    Ich fand bei PGP/GPG immer die Sache mit dem öffentlichen und privaten Schlüssel seltsam gewählt.

    Der Otto Normal könnte denken, dass der öffentliche ist für Behörden und Shops ist sowie der Private für Mama. Geht man wirklich danach, ist dass natürlich fatal ;-)

    Vielleicht hätten auch die Namen anders gewählt werden sollen.

    Allerdings fällt mir da auch nichts besseres ein ;-)

  2. Re: Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: AllAgainstAds 24.06.15 - 12:42

    Naja, das zeigt allerdings nur, das man das Prinzip öffentlicher und privater Schlüssel nie richtig vermittelt hat, denn eigentlich ist das Prinzip sehr gut.
    Man muss nur verstehen, das der öffentliche Schlüssel nur zum verschlüsseln genutzt wird und nicht entschlüsseln kann.

  3. Re: Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: lisgoem8 24.06.15 - 12:46

    AllAgainstAds schrieb:
    --------------------------------------------------------------------------------
    > Naja, das zeigt allerdings nur, das man das Prinzip öffentlicher und
    > privater Schlüssel nie richtig vermittelt hat, denn eigentlich ist das
    > Prinzip sehr gut.
    > Man muss nur verstehen, das der öffentliche Schlüssel nur zum verschlüsseln
    > genutzt wird und nicht entschlüsseln kann.

    Otto Normal will das nicht wissen. Das ist das auch noch ein Hauptproblem.


    Klick, E-Mail auf, Glücklich.


    Doch es sollte wirklich so werden...

    Klick, E-Mail (automatisch entschlüsselt) auf, Glücklich.


    Vielleicht bekommen all die E-Mail-Programme eines Tages mal ein zweites Passwortfeld dafür.

  4. Re: Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: Beeblox 24.06.15 - 12:49

    AllAgainstAds schrieb:
    --------------------------------------------------------------------------------
    > Naja, das zeigt allerdings nur, das man das Prinzip öffentlicher und
    > privater Schlüssel nie richtig vermittelt hat, denn eigentlich ist das
    > Prinzip sehr gut.
    > Man muss nur verstehen, das der öffentliche Schlüssel nur zum verschlüsseln
    > genutzt wird und nicht entschlüsseln kann.

    Hier zum Beispiel wurde das Prinzip offensichtlich falsch vermittelt. Natürlich kann der öffentliche Schlüssel auch zum Entschlüsseln genutzt werden, nämlich um die Signatur des Senders verifizieren zu können.

  5. Re: Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: BeruntoSchmidt 24.06.15 - 13:02

    Signaturüberprüfung hat aber rein gar nichts mit Entschlüsseln zu tun.



    1 mal bearbeitet, zuletzt am 24.06.15 13:05 durch BeruntoSchmidt.

  6. Die Idee der asymetrischen Verschlüsselung überfordert viele.

    Autor: Tigerf 24.06.15 - 13:11

    Meine Erfahrung aus > 10 Jahren.

  7. Re: Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: Anonymer Nutzer 24.06.15 - 13:14

    BeruntoSchmidt schrieb:
    --------------------------------------------------------------------------------
    > Signaturüberprüfung hat aber rein gar nichts mit Entschlüsseln zu tun.

    Wenn man reines RSA nutzt ist eine Signatur eine Nachricht die mit dem privaten Schlüssel verschlüsselt wird um dann von einem öffentlichen Schlüssel entschlüsselbar zu sein.

  8. Re: Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: chefin 24.06.15 - 13:42

    DetlevCM schrieb:
    --------------------------------------------------------------------------------
    > BeruntoSchmidt schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Signaturüberprüfung hat aber rein gar nichts mit Entschlüsseln zu tun.
    >
    > Wenn man reines RSA nutzt ist eine Signatur eine Nachricht die mit dem
    > privaten Schlüssel verschlüsselt wird um dann von einem öffentlichen
    > Schlüssel entschlüsselbar zu sein.

    Das sind dann allerdings schon 2 Keys. Den der Publickey der Email kann nichts entschlüsseln was du mit deinem Privatekey verschlüsselt hast. Signatur heist, das man das Schlüsselpaar tauscht, den eigentlich privatekey veröffentlicht und den publickey behält.

    RSA muss man eigentlich vom Verschlüsselungskey und Entschlüsselungskey reden. Signatur ist dann das überrüfen von etwas das nur du verschlüsseln kannst und alle anderen entschlüsseln(jedenfalls im funktionalen Sinn).

    Ein weiteres Problem ist, das man seinen Entschlüsselungskey nicht auf den rechner liegen lassen darf, weil sonst alle Mails quasi entschlüsselt wären. Zwar liegt eine Passphrase davor, aber die ist selten von der selben Stärke wie die Verschlüsselung.

    PGP ist also reine Transportsicherung, keine lokale Sicherung. Lokal ist die Sicherung eine Passphrase die man eingibt. Hingegen ist ein via Telefon übertragenes Passwort einer AES256 Verschlüsselung genauso einfach zu handhaben, genauso sicher wie RSA 2048 und viel leichter zu ändern, wenn man Angst hat das der key in falschen Händen gelandet ist. Bei PGP ist die komplette alte Kommunikation erstmal hinüber, da man vieleicht noch den Inhalt konvertieren kann(was allerdings zusätzliche Software benötigt), aber die Signatur ist 100% nicht konvertierbar.

    Der einzigen Vorteile ist das man pgp auch nutzen kann ohne den Kommunikationspartner zu kennen, schon von der ersten Mail an. Das geht sonst nicht. Das kann nur leider die Nachteile nicht aufwiegen.

  9. Re: Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: BeruntoSchmidt 24.06.15 - 13:43

    Die Nachricht wird nicht verschlüsselt, sondern signiert. Im Falle von RSA läuft das zwar genau wie die Entschlüsselung, aber dennoch ist hier von einer Signatur und nicht einer Verschlüsselung zu sprechen. Signaturen und Verschlüsselungen haben ganz unterschiedliche Ziele.

  10. Re: Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: Anonymer Nutzer 24.06.15 - 13:47

    chefin schrieb:
    --------------------------------------------------------------------------------
    > DetlevCM schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > BeruntoSchmidt schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Signaturüberprüfung hat aber rein gar nichts mit Entschlüsseln zu tun.
    > >
    > > Wenn man reines RSA nutzt ist eine Signatur eine Nachricht die mit dem
    > > privaten Schlüssel verschlüsselt wird um dann von einem öffentlichen
    > > Schlüssel entschlüsselbar zu sein.
    >
    > Das sind dann allerdings schon 2 Keys. Den der Publickey der Email kann
    > nichts entschlüsseln was du mit deinem Privatekey verschlüsselt hast.
    > Signatur heist, das man das Schlüsselpaar tauscht, den eigentlich
    > privatekey veröffentlicht und den publickey behält.
    >
    > RSA muss man eigentlich vom Verschlüsselungskey und Entschlüsselungskey
    > reden. Signatur ist dann das überrüfen von etwas das nur du verschlüsseln
    > kannst und alle anderen entschlüsseln(jedenfalls im funktionalen Sinn).
    >
    > Ein weiteres Problem ist, das man seinen Entschlüsselungskey nicht auf den
    > rechner liegen lassen darf, weil sonst alle Mails quasi entschlüsselt
    > wären. Zwar liegt eine Passphrase davor, aber die ist selten von der selben
    > Stärke wie die Verschlüsselung.
    >
    > PGP ist also reine Transportsicherung, keine lokale Sicherung. Lokal ist
    > die Sicherung eine Passphrase die man eingibt. Hingegen ist ein via Telefon
    > übertragenes Passwort einer AES256 Verschlüsselung genauso einfach zu
    > handhaben, genauso sicher wie RSA 2048 und viel leichter zu ändern, wenn
    > man Angst hat das der key in falschen Händen gelandet ist. Bei PGP ist die
    > komplette alte Kommunikation erstmal hinüber, da man vieleicht noch den
    > Inhalt konvertieren kann(was allerdings zusätzliche Software benötigt),
    > aber die Signatur ist 100% nicht konvertierbar.
    >
    > Der einzigen Vorteile ist das man pgp auch nutzen kann ohne den
    > Kommunikationspartner zu kennen, schon von der ersten Mail an. Das geht
    > sonst nicht. Das kann nur leider die Nachteile nicht aufwiegen.

    Nö.... mit dem reinen RSA Algorithmus entschlüsselt man mit dem Public-key den Private-Key und umgekehrt - Beide Keys beinhalten den das Produkt zweier Primzahlen für Modulo-Arithmetik sowie jeweils eine individuellen Exponenten.
    Mehr braucht man für den RSA Algorithmus nicht (in Bezug auf die Mathematik).

  11. Re: Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: nicoledos 24.06.15 - 14:46

    > Klick, E-Mail auf, Glücklich.
    >
    > Doch es sollte wirklich so werden...
    >
    > Klick, E-Mail (automatisch entschlüsselt) auf, Glücklich.
    >
    > Vielleicht bekommen all die E-Mail-Programme eines Tages mal ein zweites
    > Passwortfeld dafür.

    Macht mein Thunderbird auch, auf die eMail geklicht und es wird entschlüsselt.
    Ok, ich muss noch das Passwort des Schlüssels eingeben. Wer das nicht mag könnte dafür einen Token (Yubikey, Datei auf USB-Stick, ...) nutzen.

  12. Re: Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: zilti 24.06.15 - 16:34

    lisgoem8 schrieb:
    --------------------------------------------------------------------------------
    > AllAgainstAds schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Naja, das zeigt allerdings nur, das man das Prinzip öffentlicher und
    > > privater Schlüssel nie richtig vermittelt hat, denn eigentlich ist das
    > > Prinzip sehr gut.
    > > Man muss nur verstehen, das der öffentliche Schlüssel nur zum
    > verschlüsseln
    > > genutzt wird und nicht entschlüsseln kann.
    >
    > Otto Normal will das nicht wissen. Das ist das auch noch ein Hauptproblem.
    Will das nicht wissen - kann es nicht nutzen, fertig. Ist doch mit allem so. Otto Normal will wohl auch die Verkehrsregeln und die Anordnung der Autopedale nicht wissen, will aber trotzdem Auto fahren. Kann Ottilein dann aber nicht, ätsch.

    Zudem muss man Public-/Private-Key gar nicht mehr wissen; Enigmail z.B. abstrahiert das für den Nutzer.
    Geben wir es doch zu: Ottilein verschlüsselt nicht, weil es ihm scheissegal ist, und er daraus keinen direkten, offensichtlichen Vorteil zieht. Ottilein lernt aber Autofahren, weil das zwar umständlich ist, aber hinterher bequemer und schneller, als überall mit dem Rad oder zu Fuss hinzugehen. Vor diesem Hintergrund kann man sich die Verschlüsselung wirklich sparen - da muss nämlich zuerst ein Umdenken stattfinden, sonst geht nichts, was auch nur ein paar Klicks braucht, egal, wie einfach es ist.

  13. Re: Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: nicoledos 24.06.15 - 19:19

    So sieht es leider aus Ottilein ist es egal.
    Am Wochenende bei diesem Ottilein gewesen, sollte etwas einrichten.
    Das Passwort vom PC-Paswort ist ein schlechter Witz. Fällt bei jeder Wörterbuchattacke.
    Das schlimmste es ist identisch mit Router, Google, Dropbox, Amazon, ... .
    Um jedoch in dessen WLAN zu kommen tippst du dir die Finger wund, könnte doch wer böses hacken. ;)

    Verschlüsselung ist für jene einfach uninteressant. Wer es will und eventuell auch benötigt beschäftigt sich damit und lernt mit den notwendigen Prozessen um zu gehen. Ganz so schwer ist es nun auch wieder nicht. Dann weiß ich wenigstens, dass der andere es auch bewusst verwendet.

    Wenn das für Ottilein ganz einfach Automatisiert umgesetzt wird, so dass er nur noch sein Masterpasswort eingeben braucht ist Sicherheitstechnisch nichts gewonnen. Die sichere Kommunikation ist nur ein Fake, da Ottilein es selbst mit seinem Passwort sabotiert. Nur glaubt die Gegenseite, dass es sicher ist.

    Verschlüsselung ist deshalb nicht Obsolet, nur darf man nicht glauben, dass man einfach jeden ins Paradies führen kann.

  14. Re: Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: AllAgainstAds 24.06.15 - 19:25

    nicoledos schrieb:
    --------------------------------------------------------------------------------
    > So sieht es leider aus Ottilein ist es egal.

    > Das Passwort vom PC-Paswort ist ein schlechter Witz. Fällt bei jeder
    > Wörterbuchattacke.

    Viele Ottilein agieren so und das ist reine Ignoranz und falsches Sicherheitsdenken.
    Aber für solche Ignoranten wie Ottilein sind solche Entwicklungen wie Touch-ID, oder Fingerprint-Scanner auf einem Gerät sicherlich besser geeignet, denn den Finger sollten sie dann denke ich nicht irgendwo vergessen. Sicher man kann Ottilein auch den Finger abhacken, aber in dem Falle sind auch die Daten dann nicht mehr wichtig.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Sonntag & Partner Partnerschaftsgesellschaft mbB, Augsburg
  2. MITTELDEUTSCHER RUNDFUNK, Leipzig
  3. BWI GmbH, München, Bonn, Berlin, Nürnberg
  4. BRUNATA-METRONA GmbH & Co. KG, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 0,49€
  2. 2,99€
  3. 2,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Ada und Spark: Mehr Sicherheit durch bessere Programmiersprachen
Ada und Spark
Mehr Sicherheit durch bessere Programmiersprachen

Viele Sicherheitslücken in Software sind auf Programmierfehler zurückzuführen. Diese Fehler lassen sich aber vermeiden - und zwar unter anderem durch die Wahl einer guten Programmiersprache. Ada und Spark gehören dazu, leider sind sie immer noch wenig bekannt.
Von Johannes Kanig

  1. Das andere How-to Deutsch lernen für Programmierer
  2. Programmiersprachen, Pakete, IDEs So steigen Entwickler in Machine Learning ein
  3. Software-Entwickler Welche Programmiersprache soll ich lernen?

Wolfenstein Youngblood angespielt: Warum wurden diese dämlichen Mädchen nicht aufgehalten!?
Wolfenstein Youngblood angespielt
"Warum wurden diese dämlichen Mädchen nicht aufgehalten!?"

E3 2019 Der erste Kill ist der schwerste: In Wolfenstein Youngblood kämpfen die beiden Töchter von B.J. Blazkowicz gegen Nazis. Golem.de hat sich mit Jess und Soph durch einen Zeppelin über dem belagerten Paris gekämpft.
Von Peter Steinlechner


    Elektromobilität: Wohin mit den vielen Akkus?
    Elektromobilität
    Wohin mit den vielen Akkus?

    Akkus sind die wichtigste Komponente von Elektroautos. Doch auch, wenn sie für die Autos nicht mehr geeignet sind, sind sie kein Fall für den Schredder. Hersteller wie Audi testen Möglichkeiten, sie weiterzuverwenden.
    Ein Bericht von Dirk Kunde

    1. Proterra Elektrobushersteller vermietet Akkus zur Absatzförderung
    2. Batterieherstellung Kampf um die Zelle
    3. US CPSC HP muss in den USA nochmals fast 80.000 Akkus zurückrufen

    1. Elektrofahrzeuge: VW gewährt acht Jahre oder 160.000 km auf den Akku
      Elektrofahrzeuge
      VW gewährt acht Jahre oder 160.000 km auf den Akku

      Volkswagen wird bei allen Akkus der Elektroauto-Baureihe ID eine Garantie von acht Jahren oder 160.000 km für mindestens 70 Prozent ihrer Kapazität gewähren.

    2. Amazons IMDB TV: Kostenloser Video-Streaming-Dienst kommt nach Europa
      Amazons IMDB TV
      Kostenloser Video-Streaming-Dienst kommt nach Europa

      Amazon bringt seinen werbefinanzierten Video-Streaming-Dienst dieses Jahr nach Europa. In den USA wird das Sortiment erweitert. Der Dienst wird in IMDB TV umbenannt.

    3. Elektroauto: Neuer Renault Zoe fährt 390 Kilometer weit
      Elektroauto
      Neuer Renault Zoe fährt 390 Kilometer weit

      Renault hat das Elektroauto Zoe stark überarbeitet und erreicht dank 52-kWh-Akku eine höhere Reichweite als das Vorgängermodell. Auch die Motorleistung wurde gesteigert und der Innenraum mit einem großen Display ausgestattet.


    1. 08:45

    2. 08:33

    3. 08:05

    4. 07:55

    5. 07:45

    6. 18:42

    7. 16:53

    8. 15:35