Abo
  1. Foren
  2. Kommentare
  3. Applikationen
  4. Alle Kommentare zum Artikel
  5. › PGP: Hochsicher, kaum genutzt…

Schlüssel-Namesgebung vielleicht auch nicht ideal

  1. Thema

Neues Thema Ansicht wechseln


  1. Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: lisgoem8 24.06.15 - 12:29

    Ich fand bei PGP/GPG immer die Sache mit dem öffentlichen und privaten Schlüssel seltsam gewählt.

    Der Otto Normal könnte denken, dass der öffentliche ist für Behörden und Shops ist sowie der Private für Mama. Geht man wirklich danach, ist dass natürlich fatal ;-)

    Vielleicht hätten auch die Namen anders gewählt werden sollen.

    Allerdings fällt mir da auch nichts besseres ein ;-)

  2. Re: Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: AllAgainstAds 24.06.15 - 12:42

    Naja, das zeigt allerdings nur, das man das Prinzip öffentlicher und privater Schlüssel nie richtig vermittelt hat, denn eigentlich ist das Prinzip sehr gut.
    Man muss nur verstehen, das der öffentliche Schlüssel nur zum verschlüsseln genutzt wird und nicht entschlüsseln kann.

  3. Re: Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: lisgoem8 24.06.15 - 12:46

    AllAgainstAds schrieb:
    --------------------------------------------------------------------------------
    > Naja, das zeigt allerdings nur, das man das Prinzip öffentlicher und
    > privater Schlüssel nie richtig vermittelt hat, denn eigentlich ist das
    > Prinzip sehr gut.
    > Man muss nur verstehen, das der öffentliche Schlüssel nur zum verschlüsseln
    > genutzt wird und nicht entschlüsseln kann.

    Otto Normal will das nicht wissen. Das ist das auch noch ein Hauptproblem.


    Klick, E-Mail auf, Glücklich.


    Doch es sollte wirklich so werden...

    Klick, E-Mail (automatisch entschlüsselt) auf, Glücklich.


    Vielleicht bekommen all die E-Mail-Programme eines Tages mal ein zweites Passwortfeld dafür.

  4. Re: Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: Beeblox 24.06.15 - 12:49

    AllAgainstAds schrieb:
    --------------------------------------------------------------------------------
    > Naja, das zeigt allerdings nur, das man das Prinzip öffentlicher und
    > privater Schlüssel nie richtig vermittelt hat, denn eigentlich ist das
    > Prinzip sehr gut.
    > Man muss nur verstehen, das der öffentliche Schlüssel nur zum verschlüsseln
    > genutzt wird und nicht entschlüsseln kann.

    Hier zum Beispiel wurde das Prinzip offensichtlich falsch vermittelt. Natürlich kann der öffentliche Schlüssel auch zum Entschlüsseln genutzt werden, nämlich um die Signatur des Senders verifizieren zu können.

  5. Re: Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: BeruntoSchmidt 24.06.15 - 13:02

    Signaturüberprüfung hat aber rein gar nichts mit Entschlüsseln zu tun.



    1 mal bearbeitet, zuletzt am 24.06.15 13:05 durch BeruntoSchmidt.

  6. Die Idee der asymetrischen Verschlüsselung überfordert viele.

    Autor: Tigerf 24.06.15 - 13:11

    Meine Erfahrung aus > 10 Jahren.

  7. Re: Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: Anonymer Nutzer 24.06.15 - 13:14

    BeruntoSchmidt schrieb:
    --------------------------------------------------------------------------------
    > Signaturüberprüfung hat aber rein gar nichts mit Entschlüsseln zu tun.

    Wenn man reines RSA nutzt ist eine Signatur eine Nachricht die mit dem privaten Schlüssel verschlüsselt wird um dann von einem öffentlichen Schlüssel entschlüsselbar zu sein.

  8. Re: Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: chefin 24.06.15 - 13:42

    DetlevCM schrieb:
    --------------------------------------------------------------------------------
    > BeruntoSchmidt schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Signaturüberprüfung hat aber rein gar nichts mit Entschlüsseln zu tun.
    >
    > Wenn man reines RSA nutzt ist eine Signatur eine Nachricht die mit dem
    > privaten Schlüssel verschlüsselt wird um dann von einem öffentlichen
    > Schlüssel entschlüsselbar zu sein.

    Das sind dann allerdings schon 2 Keys. Den der Publickey der Email kann nichts entschlüsseln was du mit deinem Privatekey verschlüsselt hast. Signatur heist, das man das Schlüsselpaar tauscht, den eigentlich privatekey veröffentlicht und den publickey behält.

    RSA muss man eigentlich vom Verschlüsselungskey und Entschlüsselungskey reden. Signatur ist dann das überrüfen von etwas das nur du verschlüsseln kannst und alle anderen entschlüsseln(jedenfalls im funktionalen Sinn).

    Ein weiteres Problem ist, das man seinen Entschlüsselungskey nicht auf den rechner liegen lassen darf, weil sonst alle Mails quasi entschlüsselt wären. Zwar liegt eine Passphrase davor, aber die ist selten von der selben Stärke wie die Verschlüsselung.

    PGP ist also reine Transportsicherung, keine lokale Sicherung. Lokal ist die Sicherung eine Passphrase die man eingibt. Hingegen ist ein via Telefon übertragenes Passwort einer AES256 Verschlüsselung genauso einfach zu handhaben, genauso sicher wie RSA 2048 und viel leichter zu ändern, wenn man Angst hat das der key in falschen Händen gelandet ist. Bei PGP ist die komplette alte Kommunikation erstmal hinüber, da man vieleicht noch den Inhalt konvertieren kann(was allerdings zusätzliche Software benötigt), aber die Signatur ist 100% nicht konvertierbar.

    Der einzigen Vorteile ist das man pgp auch nutzen kann ohne den Kommunikationspartner zu kennen, schon von der ersten Mail an. Das geht sonst nicht. Das kann nur leider die Nachteile nicht aufwiegen.

  9. Re: Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: BeruntoSchmidt 24.06.15 - 13:43

    Die Nachricht wird nicht verschlüsselt, sondern signiert. Im Falle von RSA läuft das zwar genau wie die Entschlüsselung, aber dennoch ist hier von einer Signatur und nicht einer Verschlüsselung zu sprechen. Signaturen und Verschlüsselungen haben ganz unterschiedliche Ziele.

  10. Re: Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: Anonymer Nutzer 24.06.15 - 13:47

    chefin schrieb:
    --------------------------------------------------------------------------------
    > DetlevCM schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > BeruntoSchmidt schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Signaturüberprüfung hat aber rein gar nichts mit Entschlüsseln zu tun.
    > >
    > > Wenn man reines RSA nutzt ist eine Signatur eine Nachricht die mit dem
    > > privaten Schlüssel verschlüsselt wird um dann von einem öffentlichen
    > > Schlüssel entschlüsselbar zu sein.
    >
    > Das sind dann allerdings schon 2 Keys. Den der Publickey der Email kann
    > nichts entschlüsseln was du mit deinem Privatekey verschlüsselt hast.
    > Signatur heist, das man das Schlüsselpaar tauscht, den eigentlich
    > privatekey veröffentlicht und den publickey behält.
    >
    > RSA muss man eigentlich vom Verschlüsselungskey und Entschlüsselungskey
    > reden. Signatur ist dann das überrüfen von etwas das nur du verschlüsseln
    > kannst und alle anderen entschlüsseln(jedenfalls im funktionalen Sinn).
    >
    > Ein weiteres Problem ist, das man seinen Entschlüsselungskey nicht auf den
    > rechner liegen lassen darf, weil sonst alle Mails quasi entschlüsselt
    > wären. Zwar liegt eine Passphrase davor, aber die ist selten von der selben
    > Stärke wie die Verschlüsselung.
    >
    > PGP ist also reine Transportsicherung, keine lokale Sicherung. Lokal ist
    > die Sicherung eine Passphrase die man eingibt. Hingegen ist ein via Telefon
    > übertragenes Passwort einer AES256 Verschlüsselung genauso einfach zu
    > handhaben, genauso sicher wie RSA 2048 und viel leichter zu ändern, wenn
    > man Angst hat das der key in falschen Händen gelandet ist. Bei PGP ist die
    > komplette alte Kommunikation erstmal hinüber, da man vieleicht noch den
    > Inhalt konvertieren kann(was allerdings zusätzliche Software benötigt),
    > aber die Signatur ist 100% nicht konvertierbar.
    >
    > Der einzigen Vorteile ist das man pgp auch nutzen kann ohne den
    > Kommunikationspartner zu kennen, schon von der ersten Mail an. Das geht
    > sonst nicht. Das kann nur leider die Nachteile nicht aufwiegen.

    Nö.... mit dem reinen RSA Algorithmus entschlüsselt man mit dem Public-key den Private-Key und umgekehrt - Beide Keys beinhalten den das Produkt zweier Primzahlen für Modulo-Arithmetik sowie jeweils eine individuellen Exponenten.
    Mehr braucht man für den RSA Algorithmus nicht (in Bezug auf die Mathematik).

  11. Re: Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: nicoledos 24.06.15 - 14:46

    > Klick, E-Mail auf, Glücklich.
    >
    > Doch es sollte wirklich so werden...
    >
    > Klick, E-Mail (automatisch entschlüsselt) auf, Glücklich.
    >
    > Vielleicht bekommen all die E-Mail-Programme eines Tages mal ein zweites
    > Passwortfeld dafür.

    Macht mein Thunderbird auch, auf die eMail geklicht und es wird entschlüsselt.
    Ok, ich muss noch das Passwort des Schlüssels eingeben. Wer das nicht mag könnte dafür einen Token (Yubikey, Datei auf USB-Stick, ...) nutzen.

  12. Re: Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: zilti 24.06.15 - 16:34

    lisgoem8 schrieb:
    --------------------------------------------------------------------------------
    > AllAgainstAds schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Naja, das zeigt allerdings nur, das man das Prinzip öffentlicher und
    > > privater Schlüssel nie richtig vermittelt hat, denn eigentlich ist das
    > > Prinzip sehr gut.
    > > Man muss nur verstehen, das der öffentliche Schlüssel nur zum
    > verschlüsseln
    > > genutzt wird und nicht entschlüsseln kann.
    >
    > Otto Normal will das nicht wissen. Das ist das auch noch ein Hauptproblem.
    Will das nicht wissen - kann es nicht nutzen, fertig. Ist doch mit allem so. Otto Normal will wohl auch die Verkehrsregeln und die Anordnung der Autopedale nicht wissen, will aber trotzdem Auto fahren. Kann Ottilein dann aber nicht, ätsch.

    Zudem muss man Public-/Private-Key gar nicht mehr wissen; Enigmail z.B. abstrahiert das für den Nutzer.
    Geben wir es doch zu: Ottilein verschlüsselt nicht, weil es ihm scheissegal ist, und er daraus keinen direkten, offensichtlichen Vorteil zieht. Ottilein lernt aber Autofahren, weil das zwar umständlich ist, aber hinterher bequemer und schneller, als überall mit dem Rad oder zu Fuss hinzugehen. Vor diesem Hintergrund kann man sich die Verschlüsselung wirklich sparen - da muss nämlich zuerst ein Umdenken stattfinden, sonst geht nichts, was auch nur ein paar Klicks braucht, egal, wie einfach es ist.

  13. Re: Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: nicoledos 24.06.15 - 19:19

    So sieht es leider aus Ottilein ist es egal.
    Am Wochenende bei diesem Ottilein gewesen, sollte etwas einrichten.
    Das Passwort vom PC-Paswort ist ein schlechter Witz. Fällt bei jeder Wörterbuchattacke.
    Das schlimmste es ist identisch mit Router, Google, Dropbox, Amazon, ... .
    Um jedoch in dessen WLAN zu kommen tippst du dir die Finger wund, könnte doch wer böses hacken. ;)

    Verschlüsselung ist für jene einfach uninteressant. Wer es will und eventuell auch benötigt beschäftigt sich damit und lernt mit den notwendigen Prozessen um zu gehen. Ganz so schwer ist es nun auch wieder nicht. Dann weiß ich wenigstens, dass der andere es auch bewusst verwendet.

    Wenn das für Ottilein ganz einfach Automatisiert umgesetzt wird, so dass er nur noch sein Masterpasswort eingeben braucht ist Sicherheitstechnisch nichts gewonnen. Die sichere Kommunikation ist nur ein Fake, da Ottilein es selbst mit seinem Passwort sabotiert. Nur glaubt die Gegenseite, dass es sicher ist.

    Verschlüsselung ist deshalb nicht Obsolet, nur darf man nicht glauben, dass man einfach jeden ins Paradies führen kann.

  14. Re: Schlüssel-Namesgebung vielleicht auch nicht ideal

    Autor: AllAgainstAds 24.06.15 - 19:25

    nicoledos schrieb:
    --------------------------------------------------------------------------------
    > So sieht es leider aus Ottilein ist es egal.

    > Das Passwort vom PC-Paswort ist ein schlechter Witz. Fällt bei jeder
    > Wörterbuchattacke.

    Viele Ottilein agieren so und das ist reine Ignoranz und falsches Sicherheitsdenken.
    Aber für solche Ignoranten wie Ottilein sind solche Entwicklungen wie Touch-ID, oder Fingerprint-Scanner auf einem Gerät sicherlich besser geeignet, denn den Finger sollten sie dann denke ich nicht irgendwo vergessen. Sicher man kann Ottilein auch den Finger abhacken, aber in dem Falle sind auch die Daten dann nicht mehr wichtig.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. DIS AG, München
  2. Dataport, Bremen, Berlin, Magdeburg, Hamburg, Rostock, Altenholz bei Kiel, Halle (Saale)
  3. Zech Management GmbH, Bremen
  4. ITC ENGINEERING GMBH & CO. KG, Stuttgart

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 0,49€
  2. (-78%) 12,99€
  3. 2,49€
  4. 2,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Mobile-Games-Auslese: Magischer Dieb trifft mogelnden Doktor
Mobile-Games-Auslese
Magischer Dieb trifft mogelnden Doktor

Ein Dieb mit Dolch in Daggerhood, dazu ein (historisch verbürgter) Arzt in Astrologaster sowie wunderschön aufbereitetes Free-to-Play-Mittelalter in Marginalia Hero: Golem.de stellt die spannendsten neuen Mobile Games vor.
Von Rainer Sigl

  1. Mobile-Games-Auslese Rollenspiel-Frühling mit leichten Schusswechseln
  2. Gaming Apple Arcade wird Spiele-Flatrate für iOS und MacOS
  3. Indiegames Stardew Valley kommt auf Android

IT-Forensikerin: Beweise sichern im Faradayschen Käfig
IT-Forensikerin
Beweise sichern im Faradayschen Käfig

IT-Forensiker bei der Bundeswehr sichern Beweise, wenn Soldaten Dienstvergehen oder gar Straftaten begehen, und sie jagen Viren auf Militärcomputern. Golem.de war zu Gast im Zentrum für Cybersicherheit, das ebenso wie die IT-Wirtschaft um guten Nachwuchs buhlt.
Eine Reportage von Maja Hoock

  1. Homeoffice Wenn der Arbeitsplatz so anonym ist wie das Internet selbst
  2. Bundesagentur für Arbeit Informatikjobs bleiben 132 Tage unbesetzt
  3. IT-Headhunter ReactJS- und PHP-Experten verzweifelt gesucht

Elektromobilität: Wohin mit den vielen Akkus?
Elektromobilität
Wohin mit den vielen Akkus?

Akkus sind die wichtigste Komponente von Elektroautos. Doch auch, wenn sie für die Autos nicht mehr geeignet sind, sind sie kein Fall für den Schredder. Hersteller wie Audi testen Möglichkeiten, sie weiterzuverwenden.
Ein Bericht von Dirk Kunde

  1. Proterra Elektrobushersteller vermietet Akkus zur Absatzförderung
  2. Batterieherstellung Kampf um die Zelle
  3. US CPSC HP muss in den USA nochmals fast 80.000 Akkus zurückrufen

  1. Videostreaming: Netflix und Amazon Prime Video locken mehr Kunden
    Videostreaming
    Netflix und Amazon Prime Video locken mehr Kunden

    Der Videostreamingmarkt in Deutschland wächst weiter. Vor allem Netflix und Amazon Prime Video profitieren vom Zuwachs in diesem Bereich.

  2. Huawei: Werbung auf Smartphone-Sperrbildschirmen war ein Versehen
    Huawei
    Werbung auf Smartphone-Sperrbildschirmen war ein Versehen

    Besitzer von Huawei-Smartphones sollten keine Werbung mehr auf dem Sperrbildschirm sehen. Der chinesische Hersteller hatte kürzlich Werbebotschaften auf seinen Smartphones ausgeliefert - ungeplant.

  3. TV-Serie: Sky sendet Chernobyl-Folge mit Untertiteln einer Fanseite
    TV-Serie
    Sky sendet Chernobyl-Folge mit Untertiteln einer Fanseite

    Der Pay-TV-Sender Sky hat die Serie Chernobyl in der Schweiz mit Untertiteln ausgestrahlt, die von einer Fan-Community erstellt wurden. Wie die inoffiziellen Untertitelspur in die Serie gelangt ist, ist unklar.


  1. 12:24

  2. 12:09

  3. 11:54

  4. 11:33

  5. 14:32

  6. 12:00

  7. 11:30

  8. 11:00