Abo
  1. Foren
  2. Kommentare
  3. Applikationen
  4. Alle Kommentare zum Artikel
  5. › PGP: Hochsicher, kaum genutzt…

Schlüssel-Namesgebung vielleicht auch nicht ideal

  1. Thema

Neues Thema Ansicht wechseln


  1. Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: lisgoem8 24.06.15 - 12:29

    Ich fand bei PGP/GPG immer die Sache mit dem öffentlichen und privaten Schlüssel seltsam gewählt.

    Der Otto Normal könnte denken, dass der öffentliche ist für Behörden und Shops ist sowie der Private für Mama. Geht man wirklich danach, ist dass natürlich fatal ;-)

    Vielleicht hätten auch die Namen anders gewählt werden sollen.

    Allerdings fällt mir da auch nichts besseres ein ;-)

  2. Re: Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: AllAgainstAds 24.06.15 - 12:42

    Naja, das zeigt allerdings nur, das man das Prinzip öffentlicher und privater Schlüssel nie richtig vermittelt hat, denn eigentlich ist das Prinzip sehr gut.
    Man muss nur verstehen, das der öffentliche Schlüssel nur zum verschlüsseln genutzt wird und nicht entschlüsseln kann.

  3. Re: Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: lisgoem8 24.06.15 - 12:46

    AllAgainstAds schrieb:
    --------------------------------------------------------------------------------
    > Naja, das zeigt allerdings nur, das man das Prinzip öffentlicher und
    > privater Schlüssel nie richtig vermittelt hat, denn eigentlich ist das
    > Prinzip sehr gut.
    > Man muss nur verstehen, das der öffentliche Schlüssel nur zum verschlüsseln
    > genutzt wird und nicht entschlüsseln kann.

    Otto Normal will das nicht wissen. Das ist das auch noch ein Hauptproblem.


    Klick, E-Mail auf, Glücklich.


    Doch es sollte wirklich so werden...

    Klick, E-Mail (automatisch entschlüsselt) auf, Glücklich.


    Vielleicht bekommen all die E-Mail-Programme eines Tages mal ein zweites Passwortfeld dafür.

  4. Re: Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: Beeblox 24.06.15 - 12:49

    AllAgainstAds schrieb:
    --------------------------------------------------------------------------------
    > Naja, das zeigt allerdings nur, das man das Prinzip öffentlicher und
    > privater Schlüssel nie richtig vermittelt hat, denn eigentlich ist das
    > Prinzip sehr gut.
    > Man muss nur verstehen, das der öffentliche Schlüssel nur zum verschlüsseln
    > genutzt wird und nicht entschlüsseln kann.

    Hier zum Beispiel wurde das Prinzip offensichtlich falsch vermittelt. Natürlich kann der öffentliche Schlüssel auch zum Entschlüsseln genutzt werden, nämlich um die Signatur des Senders verifizieren zu können.

  5. Re: Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: BeruntoSchmidt 24.06.15 - 13:02

    Signaturüberprüfung hat aber rein gar nichts mit Entschlüsseln zu tun.



    1 mal bearbeitet, zuletzt am 24.06.15 13:05 durch BeruntoSchmidt.

  6. Die Idee der asymetrischen Verschlüsselung überfordert viele.

    Autor: Tigerf 24.06.15 - 13:11

    Meine Erfahrung aus > 10 Jahren.

  7. Re: Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: Anonymer Nutzer 24.06.15 - 13:14

    BeruntoSchmidt schrieb:
    --------------------------------------------------------------------------------
    > Signaturüberprüfung hat aber rein gar nichts mit Entschlüsseln zu tun.

    Wenn man reines RSA nutzt ist eine Signatur eine Nachricht die mit dem privaten Schlüssel verschlüsselt wird um dann von einem öffentlichen Schlüssel entschlüsselbar zu sein.

  8. Re: Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: chefin 24.06.15 - 13:42

    DetlevCM schrieb:
    --------------------------------------------------------------------------------
    > BeruntoSchmidt schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Signaturüberprüfung hat aber rein gar nichts mit Entschlüsseln zu tun.
    >
    > Wenn man reines RSA nutzt ist eine Signatur eine Nachricht die mit dem
    > privaten Schlüssel verschlüsselt wird um dann von einem öffentlichen
    > Schlüssel entschlüsselbar zu sein.

    Das sind dann allerdings schon 2 Keys. Den der Publickey der Email kann nichts entschlüsseln was du mit deinem Privatekey verschlüsselt hast. Signatur heist, das man das Schlüsselpaar tauscht, den eigentlich privatekey veröffentlicht und den publickey behält.

    RSA muss man eigentlich vom Verschlüsselungskey und Entschlüsselungskey reden. Signatur ist dann das überrüfen von etwas das nur du verschlüsseln kannst und alle anderen entschlüsseln(jedenfalls im funktionalen Sinn).

    Ein weiteres Problem ist, das man seinen Entschlüsselungskey nicht auf den rechner liegen lassen darf, weil sonst alle Mails quasi entschlüsselt wären. Zwar liegt eine Passphrase davor, aber die ist selten von der selben Stärke wie die Verschlüsselung.

    PGP ist also reine Transportsicherung, keine lokale Sicherung. Lokal ist die Sicherung eine Passphrase die man eingibt. Hingegen ist ein via Telefon übertragenes Passwort einer AES256 Verschlüsselung genauso einfach zu handhaben, genauso sicher wie RSA 2048 und viel leichter zu ändern, wenn man Angst hat das der key in falschen Händen gelandet ist. Bei PGP ist die komplette alte Kommunikation erstmal hinüber, da man vieleicht noch den Inhalt konvertieren kann(was allerdings zusätzliche Software benötigt), aber die Signatur ist 100% nicht konvertierbar.

    Der einzigen Vorteile ist das man pgp auch nutzen kann ohne den Kommunikationspartner zu kennen, schon von der ersten Mail an. Das geht sonst nicht. Das kann nur leider die Nachteile nicht aufwiegen.

  9. Re: Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: BeruntoSchmidt 24.06.15 - 13:43

    Die Nachricht wird nicht verschlüsselt, sondern signiert. Im Falle von RSA läuft das zwar genau wie die Entschlüsselung, aber dennoch ist hier von einer Signatur und nicht einer Verschlüsselung zu sprechen. Signaturen und Verschlüsselungen haben ganz unterschiedliche Ziele.

  10. Re: Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: Anonymer Nutzer 24.06.15 - 13:47

    chefin schrieb:
    --------------------------------------------------------------------------------
    > DetlevCM schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > BeruntoSchmidt schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Signaturüberprüfung hat aber rein gar nichts mit Entschlüsseln zu tun.
    > >
    > > Wenn man reines RSA nutzt ist eine Signatur eine Nachricht die mit dem
    > > privaten Schlüssel verschlüsselt wird um dann von einem öffentlichen
    > > Schlüssel entschlüsselbar zu sein.
    >
    > Das sind dann allerdings schon 2 Keys. Den der Publickey der Email kann
    > nichts entschlüsseln was du mit deinem Privatekey verschlüsselt hast.
    > Signatur heist, das man das Schlüsselpaar tauscht, den eigentlich
    > privatekey veröffentlicht und den publickey behält.
    >
    > RSA muss man eigentlich vom Verschlüsselungskey und Entschlüsselungskey
    > reden. Signatur ist dann das überrüfen von etwas das nur du verschlüsseln
    > kannst und alle anderen entschlüsseln(jedenfalls im funktionalen Sinn).
    >
    > Ein weiteres Problem ist, das man seinen Entschlüsselungskey nicht auf den
    > rechner liegen lassen darf, weil sonst alle Mails quasi entschlüsselt
    > wären. Zwar liegt eine Passphrase davor, aber die ist selten von der selben
    > Stärke wie die Verschlüsselung.
    >
    > PGP ist also reine Transportsicherung, keine lokale Sicherung. Lokal ist
    > die Sicherung eine Passphrase die man eingibt. Hingegen ist ein via Telefon
    > übertragenes Passwort einer AES256 Verschlüsselung genauso einfach zu
    > handhaben, genauso sicher wie RSA 2048 und viel leichter zu ändern, wenn
    > man Angst hat das der key in falschen Händen gelandet ist. Bei PGP ist die
    > komplette alte Kommunikation erstmal hinüber, da man vieleicht noch den
    > Inhalt konvertieren kann(was allerdings zusätzliche Software benötigt),
    > aber die Signatur ist 100% nicht konvertierbar.
    >
    > Der einzigen Vorteile ist das man pgp auch nutzen kann ohne den
    > Kommunikationspartner zu kennen, schon von der ersten Mail an. Das geht
    > sonst nicht. Das kann nur leider die Nachteile nicht aufwiegen.

    Nö.... mit dem reinen RSA Algorithmus entschlüsselt man mit dem Public-key den Private-Key und umgekehrt - Beide Keys beinhalten den das Produkt zweier Primzahlen für Modulo-Arithmetik sowie jeweils eine individuellen Exponenten.
    Mehr braucht man für den RSA Algorithmus nicht (in Bezug auf die Mathematik).

  11. Re: Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: nicoledos 24.06.15 - 14:46

    > Klick, E-Mail auf, Glücklich.
    >
    > Doch es sollte wirklich so werden...
    >
    > Klick, E-Mail (automatisch entschlüsselt) auf, Glücklich.
    >
    > Vielleicht bekommen all die E-Mail-Programme eines Tages mal ein zweites
    > Passwortfeld dafür.

    Macht mein Thunderbird auch, auf die eMail geklicht und es wird entschlüsselt.
    Ok, ich muss noch das Passwort des Schlüssels eingeben. Wer das nicht mag könnte dafür einen Token (Yubikey, Datei auf USB-Stick, ...) nutzen.

  12. Re: Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: zilti 24.06.15 - 16:34

    lisgoem8 schrieb:
    --------------------------------------------------------------------------------
    > AllAgainstAds schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Naja, das zeigt allerdings nur, das man das Prinzip öffentlicher und
    > > privater Schlüssel nie richtig vermittelt hat, denn eigentlich ist das
    > > Prinzip sehr gut.
    > > Man muss nur verstehen, das der öffentliche Schlüssel nur zum
    > verschlüsseln
    > > genutzt wird und nicht entschlüsseln kann.
    >
    > Otto Normal will das nicht wissen. Das ist das auch noch ein Hauptproblem.
    Will das nicht wissen - kann es nicht nutzen, fertig. Ist doch mit allem so. Otto Normal will wohl auch die Verkehrsregeln und die Anordnung der Autopedale nicht wissen, will aber trotzdem Auto fahren. Kann Ottilein dann aber nicht, ätsch.

    Zudem muss man Public-/Private-Key gar nicht mehr wissen; Enigmail z.B. abstrahiert das für den Nutzer.
    Geben wir es doch zu: Ottilein verschlüsselt nicht, weil es ihm scheissegal ist, und er daraus keinen direkten, offensichtlichen Vorteil zieht. Ottilein lernt aber Autofahren, weil das zwar umständlich ist, aber hinterher bequemer und schneller, als überall mit dem Rad oder zu Fuss hinzugehen. Vor diesem Hintergrund kann man sich die Verschlüsselung wirklich sparen - da muss nämlich zuerst ein Umdenken stattfinden, sonst geht nichts, was auch nur ein paar Klicks braucht, egal, wie einfach es ist.

  13. Re: Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: nicoledos 24.06.15 - 19:19

    So sieht es leider aus Ottilein ist es egal.
    Am Wochenende bei diesem Ottilein gewesen, sollte etwas einrichten.
    Das Passwort vom PC-Paswort ist ein schlechter Witz. Fällt bei jeder Wörterbuchattacke.
    Das schlimmste es ist identisch mit Router, Google, Dropbox, Amazon, ... .
    Um jedoch in dessen WLAN zu kommen tippst du dir die Finger wund, könnte doch wer böses hacken. ;)

    Verschlüsselung ist für jene einfach uninteressant. Wer es will und eventuell auch benötigt beschäftigt sich damit und lernt mit den notwendigen Prozessen um zu gehen. Ganz so schwer ist es nun auch wieder nicht. Dann weiß ich wenigstens, dass der andere es auch bewusst verwendet.

    Wenn das für Ottilein ganz einfach Automatisiert umgesetzt wird, so dass er nur noch sein Masterpasswort eingeben braucht ist Sicherheitstechnisch nichts gewonnen. Die sichere Kommunikation ist nur ein Fake, da Ottilein es selbst mit seinem Passwort sabotiert. Nur glaubt die Gegenseite, dass es sicher ist.

    Verschlüsselung ist deshalb nicht Obsolet, nur darf man nicht glauben, dass man einfach jeden ins Paradies führen kann.

  14. Re: Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: AllAgainstAds 24.06.15 - 19:25

    nicoledos schrieb:
    --------------------------------------------------------------------------------
    > So sieht es leider aus Ottilein ist es egal.

    > Das Passwort vom PC-Paswort ist ein schlechter Witz. Fällt bei jeder
    > Wörterbuchattacke.

    Viele Ottilein agieren so und das ist reine Ignoranz und falsches Sicherheitsdenken.
    Aber für solche Ignoranten wie Ottilein sind solche Entwicklungen wie Touch-ID, oder Fingerprint-Scanner auf einem Gerät sicherlich besser geeignet, denn den Finger sollten sie dann denke ich nicht irgendwo vergessen. Sicher man kann Ottilein auch den Finger abhacken, aber in dem Falle sind auch die Daten dann nicht mehr wichtig.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Sedus Stoll AG, Dogern
  2. LexCom Informationssysteme GmbH, Chemnitz
  3. CHECK24 Services GmbH, München
  4. Wilhelm Geiger GmbH & Co. KG, Oberstdorf, Herzmanns

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Metal Gear Solid V: The Definitive Experience für 8,99€ und Train Simulator 2019 für 12...
  2. (u. a. Seasonic Focus Gold 450 W für 46,99€ statt über 60€ im Vergleich)
  3. 92,60€
  4. 999€ (Vergleichspreis 1.111€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Minecraft Dungeons angespielt: Fehlt nur noch ein Klötzchen-Diablo in der Tiefe
Minecraft Dungeons angespielt
Fehlt nur noch ein Klötzchen-Diablo in der Tiefe

E3 2019 Von der Steuerung bis zu den Schatzkisten: Minecraft Dungeons hat uns beim Anspielen bis auf die Klötzchengrafik verblüffend stark an Diablo erinnert - und könnte gerade deshalb teuflisch spaßig werden!

  1. Augmented Reality Minecraft Earth erlaubt Klötzchenbauen in aller Welt
  2. Microsoft Augmented-Reality-Minecraft kommt zum zehnten Jubiläum
  3. Jubiläum ohne Notch Microsoft feiert Minecraft ohne Markus Persson

5G-Auktion: Warum der Preis der 5G-Frequenzen so hoch war
5G-Auktion
Warum der Preis der 5G-Frequenzen so hoch war

Dass die Frequenzen für den 5G-Mobilfunk teuer wurden, lasten Telekom, Vodafone und Telefónica dem Newcomer United Internet an. Doch dies ist laut dem Netzplaner Kai Seim nicht so gewesen.
Eine Analyse von Achim Sawall

  1. Funklöcher Hohe Bußgelder gegen säumige Mobilfunknetzbetreiber
  2. Bundesnetzagentur 5G-Frequenzauktion erreicht 6,5 Milliarden Euro
  3. 5G-Auktion Etablierte wollen Preis für 1&1 Drillisch hochtreiben

Ada und Spark: Mehr Sicherheit durch bessere Programmiersprachen
Ada und Spark
Mehr Sicherheit durch bessere Programmiersprachen

Viele Sicherheitslücken in Software sind auf Programmierfehler zurückzuführen. Diese Fehler lassen sich aber vermeiden - und zwar unter anderem durch die Wahl einer guten Programmiersprache. Ada und Spark gehören dazu, leider sind sie immer noch wenig bekannt.
Von Johannes Kanig

  1. Das andere How-to Deutsch lernen für Programmierer
  2. Programmiersprachen, Pakete, IDEs So steigen Entwickler in Machine Learning ein
  3. Software-Entwickler Welche Programmiersprache soll ich lernen?

  1. Schnittstelle: PCIe Gen6 verdoppelt erneut Datenrate
    Schnittstelle
    PCIe Gen6 verdoppelt erneut Datenrate

    Während es bald die erste Consumer-Plattform von AMD mit PCIe Gen4 gibt und 2021 bereits CPUs mit PCIe Gen5 erscheinen sollen, befindet sich PCIe Gen6 in Arbeit: Die Schnittstelle soll 64 GT/s pro Lane erreichen, was 128 GByte/s bei einem x16-Slot für Grafikkarten entspricht.

  2. Simone Giertz: Pickup aus Tesla Model 3 selbst gebaut
    Simone Giertz
    Pickup aus Tesla Model 3 selbst gebaut

    Tesla plant zwar einen elektrischen Pickup, doch die Youtuberin Simone Giertz hat schon jetzt ein Model 3 zu einem Elektroauto mit Pritsche umgebaut.

  3. Verkauf: Siemens steigt bei elektrischen Flugzeugmotoren aus
    Verkauf
    Siemens steigt bei elektrischen Flugzeugmotoren aus

    Siemens verkauft sein Startup eAircraft, das elektrische Flugzeugmotoren entwickelt. Welche Konsequenzen das für das Lufttaxiprojekt von Airbus hat, ist nicht abzusehen. Der neue Besitzer ist jedoch eng mit Airbus verbandelt.


  1. 08:38

  2. 08:03

  3. 07:18

  4. 18:14

  5. 17:13

  6. 17:01

  7. 16:39

  8. 16:24