Abo
  1. Foren
  2. Kommentare
  3. Applikationen
  4. Alle Kommentare zum Artikel
  5. › PGP: Hochsicher, kaum genutzt…

Schlüssel-Namesgebung vielleicht auch nicht ideal

  1. Thema

Neues Thema Ansicht wechseln


  1. Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: lisgoem8 24.06.15 - 12:29

    Ich fand bei PGP/GPG immer die Sache mit dem öffentlichen und privaten Schlüssel seltsam gewählt.

    Der Otto Normal könnte denken, dass der öffentliche ist für Behörden und Shops ist sowie der Private für Mama. Geht man wirklich danach, ist dass natürlich fatal ;-)

    Vielleicht hätten auch die Namen anders gewählt werden sollen.

    Allerdings fällt mir da auch nichts besseres ein ;-)

  2. Re: Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: AllAgainstAds 24.06.15 - 12:42

    Naja, das zeigt allerdings nur, das man das Prinzip öffentlicher und privater Schlüssel nie richtig vermittelt hat, denn eigentlich ist das Prinzip sehr gut.
    Man muss nur verstehen, das der öffentliche Schlüssel nur zum verschlüsseln genutzt wird und nicht entschlüsseln kann.

  3. Re: Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: lisgoem8 24.06.15 - 12:46

    AllAgainstAds schrieb:
    --------------------------------------------------------------------------------
    > Naja, das zeigt allerdings nur, das man das Prinzip öffentlicher und
    > privater Schlüssel nie richtig vermittelt hat, denn eigentlich ist das
    > Prinzip sehr gut.
    > Man muss nur verstehen, das der öffentliche Schlüssel nur zum verschlüsseln
    > genutzt wird und nicht entschlüsseln kann.

    Otto Normal will das nicht wissen. Das ist das auch noch ein Hauptproblem.


    Klick, E-Mail auf, Glücklich.


    Doch es sollte wirklich so werden...

    Klick, E-Mail (automatisch entschlüsselt) auf, Glücklich.


    Vielleicht bekommen all die E-Mail-Programme eines Tages mal ein zweites Passwortfeld dafür.

  4. Re: Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: Beeblox 24.06.15 - 12:49

    AllAgainstAds schrieb:
    --------------------------------------------------------------------------------
    > Naja, das zeigt allerdings nur, das man das Prinzip öffentlicher und
    > privater Schlüssel nie richtig vermittelt hat, denn eigentlich ist das
    > Prinzip sehr gut.
    > Man muss nur verstehen, das der öffentliche Schlüssel nur zum verschlüsseln
    > genutzt wird und nicht entschlüsseln kann.

    Hier zum Beispiel wurde das Prinzip offensichtlich falsch vermittelt. Natürlich kann der öffentliche Schlüssel auch zum Entschlüsseln genutzt werden, nämlich um die Signatur des Senders verifizieren zu können.

  5. Re: Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: BeruntoSchmidt 24.06.15 - 13:02

    Signaturüberprüfung hat aber rein gar nichts mit Entschlüsseln zu tun.



    1 mal bearbeitet, zuletzt am 24.06.15 13:05 durch BeruntoSchmidt.

  6. Die Idee der asymetrischen Verschlüsselung überfordert viele.

    Autor: Tigerf 24.06.15 - 13:11

    Meine Erfahrung aus > 10 Jahren.

  7. Re: Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: Anonymer Nutzer 24.06.15 - 13:14

    BeruntoSchmidt schrieb:
    --------------------------------------------------------------------------------
    > Signaturüberprüfung hat aber rein gar nichts mit Entschlüsseln zu tun.

    Wenn man reines RSA nutzt ist eine Signatur eine Nachricht die mit dem privaten Schlüssel verschlüsselt wird um dann von einem öffentlichen Schlüssel entschlüsselbar zu sein.

  8. Re: Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: chefin 24.06.15 - 13:42

    DetlevCM schrieb:
    --------------------------------------------------------------------------------
    > BeruntoSchmidt schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Signaturüberprüfung hat aber rein gar nichts mit Entschlüsseln zu tun.
    >
    > Wenn man reines RSA nutzt ist eine Signatur eine Nachricht die mit dem
    > privaten Schlüssel verschlüsselt wird um dann von einem öffentlichen
    > Schlüssel entschlüsselbar zu sein.

    Das sind dann allerdings schon 2 Keys. Den der Publickey der Email kann nichts entschlüsseln was du mit deinem Privatekey verschlüsselt hast. Signatur heist, das man das Schlüsselpaar tauscht, den eigentlich privatekey veröffentlicht und den publickey behält.

    RSA muss man eigentlich vom Verschlüsselungskey und Entschlüsselungskey reden. Signatur ist dann das überrüfen von etwas das nur du verschlüsseln kannst und alle anderen entschlüsseln(jedenfalls im funktionalen Sinn).

    Ein weiteres Problem ist, das man seinen Entschlüsselungskey nicht auf den rechner liegen lassen darf, weil sonst alle Mails quasi entschlüsselt wären. Zwar liegt eine Passphrase davor, aber die ist selten von der selben Stärke wie die Verschlüsselung.

    PGP ist also reine Transportsicherung, keine lokale Sicherung. Lokal ist die Sicherung eine Passphrase die man eingibt. Hingegen ist ein via Telefon übertragenes Passwort einer AES256 Verschlüsselung genauso einfach zu handhaben, genauso sicher wie RSA 2048 und viel leichter zu ändern, wenn man Angst hat das der key in falschen Händen gelandet ist. Bei PGP ist die komplette alte Kommunikation erstmal hinüber, da man vieleicht noch den Inhalt konvertieren kann(was allerdings zusätzliche Software benötigt), aber die Signatur ist 100% nicht konvertierbar.

    Der einzigen Vorteile ist das man pgp auch nutzen kann ohne den Kommunikationspartner zu kennen, schon von der ersten Mail an. Das geht sonst nicht. Das kann nur leider die Nachteile nicht aufwiegen.

  9. Re: Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: BeruntoSchmidt 24.06.15 - 13:43

    Die Nachricht wird nicht verschlüsselt, sondern signiert. Im Falle von RSA läuft das zwar genau wie die Entschlüsselung, aber dennoch ist hier von einer Signatur und nicht einer Verschlüsselung zu sprechen. Signaturen und Verschlüsselungen haben ganz unterschiedliche Ziele.

  10. Re: Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: Anonymer Nutzer 24.06.15 - 13:47

    chefin schrieb:
    --------------------------------------------------------------------------------
    > DetlevCM schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > BeruntoSchmidt schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Signaturüberprüfung hat aber rein gar nichts mit Entschlüsseln zu tun.
    > >
    > > Wenn man reines RSA nutzt ist eine Signatur eine Nachricht die mit dem
    > > privaten Schlüssel verschlüsselt wird um dann von einem öffentlichen
    > > Schlüssel entschlüsselbar zu sein.
    >
    > Das sind dann allerdings schon 2 Keys. Den der Publickey der Email kann
    > nichts entschlüsseln was du mit deinem Privatekey verschlüsselt hast.
    > Signatur heist, das man das Schlüsselpaar tauscht, den eigentlich
    > privatekey veröffentlicht und den publickey behält.
    >
    > RSA muss man eigentlich vom Verschlüsselungskey und Entschlüsselungskey
    > reden. Signatur ist dann das überrüfen von etwas das nur du verschlüsseln
    > kannst und alle anderen entschlüsseln(jedenfalls im funktionalen Sinn).
    >
    > Ein weiteres Problem ist, das man seinen Entschlüsselungskey nicht auf den
    > rechner liegen lassen darf, weil sonst alle Mails quasi entschlüsselt
    > wären. Zwar liegt eine Passphrase davor, aber die ist selten von der selben
    > Stärke wie die Verschlüsselung.
    >
    > PGP ist also reine Transportsicherung, keine lokale Sicherung. Lokal ist
    > die Sicherung eine Passphrase die man eingibt. Hingegen ist ein via Telefon
    > übertragenes Passwort einer AES256 Verschlüsselung genauso einfach zu
    > handhaben, genauso sicher wie RSA 2048 und viel leichter zu ändern, wenn
    > man Angst hat das der key in falschen Händen gelandet ist. Bei PGP ist die
    > komplette alte Kommunikation erstmal hinüber, da man vieleicht noch den
    > Inhalt konvertieren kann(was allerdings zusätzliche Software benötigt),
    > aber die Signatur ist 100% nicht konvertierbar.
    >
    > Der einzigen Vorteile ist das man pgp auch nutzen kann ohne den
    > Kommunikationspartner zu kennen, schon von der ersten Mail an. Das geht
    > sonst nicht. Das kann nur leider die Nachteile nicht aufwiegen.

    Nö.... mit dem reinen RSA Algorithmus entschlüsselt man mit dem Public-key den Private-Key und umgekehrt - Beide Keys beinhalten den das Produkt zweier Primzahlen für Modulo-Arithmetik sowie jeweils eine individuellen Exponenten.
    Mehr braucht man für den RSA Algorithmus nicht (in Bezug auf die Mathematik).

  11. Re: Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: nicoledos 24.06.15 - 14:46

    > Klick, E-Mail auf, Glücklich.
    >
    > Doch es sollte wirklich so werden...
    >
    > Klick, E-Mail (automatisch entschlüsselt) auf, Glücklich.
    >
    > Vielleicht bekommen all die E-Mail-Programme eines Tages mal ein zweites
    > Passwortfeld dafür.

    Macht mein Thunderbird auch, auf die eMail geklicht und es wird entschlüsselt.
    Ok, ich muss noch das Passwort des Schlüssels eingeben. Wer das nicht mag könnte dafür einen Token (Yubikey, Datei auf USB-Stick, ...) nutzen.

  12. Re: Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: zilti 24.06.15 - 16:34

    lisgoem8 schrieb:
    --------------------------------------------------------------------------------
    > AllAgainstAds schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Naja, das zeigt allerdings nur, das man das Prinzip öffentlicher und
    > > privater Schlüssel nie richtig vermittelt hat, denn eigentlich ist das
    > > Prinzip sehr gut.
    > > Man muss nur verstehen, das der öffentliche Schlüssel nur zum
    > verschlüsseln
    > > genutzt wird und nicht entschlüsseln kann.
    >
    > Otto Normal will das nicht wissen. Das ist das auch noch ein Hauptproblem.
    Will das nicht wissen - kann es nicht nutzen, fertig. Ist doch mit allem so. Otto Normal will wohl auch die Verkehrsregeln und die Anordnung der Autopedale nicht wissen, will aber trotzdem Auto fahren. Kann Ottilein dann aber nicht, ätsch.

    Zudem muss man Public-/Private-Key gar nicht mehr wissen; Enigmail z.B. abstrahiert das für den Nutzer.
    Geben wir es doch zu: Ottilein verschlüsselt nicht, weil es ihm scheissegal ist, und er daraus keinen direkten, offensichtlichen Vorteil zieht. Ottilein lernt aber Autofahren, weil das zwar umständlich ist, aber hinterher bequemer und schneller, als überall mit dem Rad oder zu Fuss hinzugehen. Vor diesem Hintergrund kann man sich die Verschlüsselung wirklich sparen - da muss nämlich zuerst ein Umdenken stattfinden, sonst geht nichts, was auch nur ein paar Klicks braucht, egal, wie einfach es ist.

  13. Re: Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: nicoledos 24.06.15 - 19:19

    So sieht es leider aus Ottilein ist es egal.
    Am Wochenende bei diesem Ottilein gewesen, sollte etwas einrichten.
    Das Passwort vom PC-Paswort ist ein schlechter Witz. Fällt bei jeder Wörterbuchattacke.
    Das schlimmste es ist identisch mit Router, Google, Dropbox, Amazon, ... .
    Um jedoch in dessen WLAN zu kommen tippst du dir die Finger wund, könnte doch wer böses hacken. ;)

    Verschlüsselung ist für jene einfach uninteressant. Wer es will und eventuell auch benötigt beschäftigt sich damit und lernt mit den notwendigen Prozessen um zu gehen. Ganz so schwer ist es nun auch wieder nicht. Dann weiß ich wenigstens, dass der andere es auch bewusst verwendet.

    Wenn das für Ottilein ganz einfach Automatisiert umgesetzt wird, so dass er nur noch sein Masterpasswort eingeben braucht ist Sicherheitstechnisch nichts gewonnen. Die sichere Kommunikation ist nur ein Fake, da Ottilein es selbst mit seinem Passwort sabotiert. Nur glaubt die Gegenseite, dass es sicher ist.

    Verschlüsselung ist deshalb nicht Obsolet, nur darf man nicht glauben, dass man einfach jeden ins Paradies führen kann.

  14. Re: Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: AllAgainstAds 24.06.15 - 19:25

    nicoledos schrieb:
    --------------------------------------------------------------------------------
    > So sieht es leider aus Ottilein ist es egal.

    > Das Passwort vom PC-Paswort ist ein schlechter Witz. Fällt bei jeder
    > Wörterbuchattacke.

    Viele Ottilein agieren so und das ist reine Ignoranz und falsches Sicherheitsdenken.
    Aber für solche Ignoranten wie Ottilein sind solche Entwicklungen wie Touch-ID, oder Fingerprint-Scanner auf einem Gerät sicherlich besser geeignet, denn den Finger sollten sie dann denke ich nicht irgendwo vergessen. Sicher man kann Ottilein auch den Finger abhacken, aber in dem Falle sind auch die Daten dann nicht mehr wichtig.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Bundesinstitut für Arzneimittel und Medizinprodukte, Bonn
  2. SV Informatik GmbH, Stuttgart
  3. BWI GmbH, Meckenheim
  4. Allianz Versicherungs-AG, Unterföhring

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Hitman Goty, God Eater 2 Rage Burst, Tropico 4 Collector's Bundle)
  2. 49,94€
  3. 19,95€
  4. 13,95€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Minecraft Dungeons angespielt: Fehlt nur noch ein Klötzchen-Diablo in der Tiefe
Minecraft Dungeons angespielt
Fehlt nur noch ein Klötzchen-Diablo in der Tiefe

E3 2019 Von der Steuerung bis zu den Schatzkisten: Minecraft Dungeons hat uns beim Anspielen bis auf die Klötzchengrafik verblüffend stark an Diablo erinnert - und könnte gerade deshalb teuflisch spaßig werden!

  1. Augmented Reality Minecraft Earth erlaubt Klötzchenbauen in aller Welt
  2. Microsoft Augmented-Reality-Minecraft kommt zum zehnten Jubiläum
  3. Jubiläum ohne Notch Microsoft feiert Minecraft ohne Markus Persson

Final Fantasy 7 Remake angespielt: Cloud Strife und die (fast) unendliche Geschichte
Final Fantasy 7 Remake angespielt
Cloud Strife und die (fast) unendliche Geschichte

E3 2019 Das Remake von Final Fantasy 7 wird ein Riesenprojekt, allein die erste Episode erscheint auf zwei Blu-ray-Discs. Kurios: In wie viele Folgen das bereits enorm umfangreiche Original von 1997 aufgeteilt wird, kann bislang nicht mal der Producer sagen.

  1. Final Fantasy 14 Online Report Zwischen Cosplay, Kirmes und Kampfsystem
  2. Square Enix Final Fantasy 14 erhält Solo-Inhalte und besonderen Magier
  3. Rollenspiel Square Enix streicht Erweiterungen für Final Fantasy 15

Projektmanagement: An der falschen Stelle automatisiert
Projektmanagement
An der falschen Stelle automatisiert

Kommunikationstools und künstliche Intelligenz sollen dabei helfen, dass IT-Projekte besser und schneller fertig werden. Demnächst sollen sie sogar Posten wie den des Projektmanagers überflüssig machen. Doch das wird voraussichtlich nicht passieren.
Ein Erfahrungsbericht von Marvin Engel


    1. DSGVO-Anpassung: Koalition will mehr als 150 Gesetze ändern
      DSGVO-Anpassung
      Koalition will mehr als 150 Gesetze ändern

      Noch vor der Sommerpause will die Koalition viele Datenschutzvorgaben an die DSGVO anpassen. Bei umstrittenen Themen soll es vorerst jedoch keine Klarstellung geben. Kritik gibt es zu einer Änderung bei betrieblichen Datenschutzexperten.

    2. Subdomain Takeover: Sicherheitsfirmen übernehmen Subdomain von EA
      Subdomain Takeover
      Sicherheitsfirmen übernehmen Subdomain von EA

      Die Subdomain eaplayinvite.ea.com des Spieleherstellers Electronic Arts ist von Sicherheitsfirmen übernommen worden. Über einen weiteren Angriff konnten die Firmen auch an Nutzerdaten gelangen.

    3. Smartphone: Oppo stellt Display-Frontkamera ohne Loch vor
      Smartphone
      Oppo stellt Display-Frontkamera ohne Loch vor

      Bisher befand sich bei direkt unter dem Bildschirm verbauten Smartphone-Frontkameras immer ein Loch im Display-Panel. Bei Oppos neuer Lösung entfällt das Loch, stattdessen können bildschirmfüllend Inhalte angezeigt werden. Wirklich ausgereift scheint die Technologie aber noch nicht zu sein.


    1. 15:40

    2. 15:27

    3. 14:40

    4. 14:25

    5. 13:48

    6. 13:39

    7. 13:15

    8. 12:58