1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › PGP/SMIME: Die wichtigsten Fakten zu…

Verschlüsseln und signieren (PGP)

  1. Thema

Neues Thema Ansicht wechseln


  1. Verschlüsseln und signieren (PGP)

    Autor: vergeben 23.05.18 - 10:49

    Hilft es, verschlüsselte E-Mails zusätzlich zu signieren, um Manipulationen zu erkennen? Oder ist nur der Klartext signiert, so daß erst nach der Entschlüsselung die Signatur überprüft wird?

  2. Re: Verschlüsseln und signieren (PGP)

    Autor: Mr Miyagi 23.05.18 - 11:13

    Es hilft nicht. Der Angreifer kann ja einfach eine gültige Signatur für die manipulierte Mail erstellen.

  3. Re: Verschlüsseln und signieren (PGP)

    Autor: vergeben 23.05.18 - 11:24

    Das kann er. Diese Signatur (der zugehörige Public Key) ist für meinen MUA dann aber unbekannt.

  4. Re: Verschlüsseln und signieren (PGP)

    Autor: Mr Miyagi 23.05.18 - 11:33

    Ja das stimmt schon, aber es kommt ja durchaus vor das man mit Unbekannten via Mail korrespondiert. Insbesondere als Anwalt, Aktivist, Reporter, Softwareentwickler, Unternehmen ... Insofern glaube ich nicht das man realistischerweise davon ausgehen kann, das man jeden Kommunikationspartner bereits kennt.

  5. Re: Verschlüsseln und signieren (PGP)

    Autor: Niveauacreme 27.05.18 - 06:05

    Mr Miyagi schrieb:
    --------------------------------------------------------------------------------
    > Ja das stimmt schon, aber es kommt ja durchaus vor das man mit Unbekannten
    > via Mail korrespondiert. Insbesondere als Anwalt, Aktivist, Reporter,
    > Softwareentwickler, Unternehmen ... Insofern glaube ich nicht das man
    > realistischerweise davon ausgehen kann, das man jeden Kommunikationspartner
    > bereits kennt.

    Nichts für ungut, aber das sind ja hahnebüchene behauptungen hier. Es ist NICHT möglich mit einer efail-methode text unerkannt in gpg-messages einzufügen und diesen mit einer gültigen Signatur des eigentlichen ABSENDERS zu versehen. Jeder MUA zeigt fehlerhafte Signaturen an, daraus entsteht kein Sicherheitsproblem. Das sicherheitsproblem entsteht daraus, dass der ungefragt (!) angezeigte Content, wenn er html-codiert ist, von verbuggten MUAs an den angreifer als img-source anfrage (oder dgl.) zurückgesendet wird.

    Hier ist gar nichts kaputt. Efail zeigt zwei sachen:
    1. man muss verschlüsselung auch sicher benutzen, damit sie sicher ist.
    2. Unfähigkeit in der benutzung wird bestraft durch sicherheitsverlust.

    Das heisst: Wenn ich brisantes verschluessele, dann muss ich zur integritätssicherung und sicheren authentifizierung der nachricht diese auch signieren. Und ich muss mein key-management im griff haben, d.h. Nur wenn ich meine kontakte ordentlich über einen zweiten kanal authentifiziert (und deren keys signiert) habe, kann ich sicher kommunizieren. D.h. Bei sicherer Anwendung von gpg ist in der Verschlüsselung selbst GAR NICHTS gebrochen. Wenn die Message manipuliert ist, dann wird mir das angezeigt - es sei denn ich nutze GPG nicht kompetent. Weiter passiert gar nicht bei CBC-Injection.

    Das Sicherheitsproblem entsteht nur dadurch, dass durch HTML-Quark und verbuggte MUAs der klartext ungefragt über einen sidechannel versendet wird. Das hat mit der Verschlüsselung an sich überhaupt nichts zu tun und ist nur das Problem der verbuggten MUAs. Das kann aber relativ leicht gefixt werden.

    Das ganze efail-gedöns ist nichts als ein sturm im wasserglas. Wer behauptet efail gefährde „Freiheitskämpfer“, der unterstellt, dass diese mit krypto unsicher kommunizieren. Das ist aber nicht nur mit efail ein problem, sondern wird solche leute ohnehin schnell killen. Wer von denen gpg kompetent und in einem möglichst sicheren content einsetzt (der normale mailer ohnehin ausschliesst als gpg-reader), der ist gar nicht von efail betroffen.

    Man kann aber nicht auf inkompetenz und bequemlichkeit bestehen, und dann military grade sicherheit verlangen. Gerade von Anwälten und Journalisten erwarte ich zu krypto und mandantenschutz mehr als eine bequeme konsumhaltung.

    So sieht das aus. „Oh der Kreis ist nicht gleichzeitig ein quadrat?“ - was für eine überaschung.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. willy.tel GmbH, Hamburg
  2. GKV-Spitzenverband, Berlin
  3. über duerenhoff GmbH, Raum Berlin
  4. Techniker Krankenkasse, Hamburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Samsung EVO Select 256 GB microSDXC für 28,99€, Samsung EVO Plus 256GB SDXC für 38,99€)
  2. (u. a. EVGA GeForce 3070 XC3 ULTRA GAMING für 774€, INNO3D GeForce RTX 3090 iChill X4 für 1...
  3. ab 1.199,00€ (bei acer.com)
  4. 99,90€ (Vergleichspreis 125€)


Haben wir etwas übersehen?

E-Mail an news@golem.de