1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › PGP/SMIME: Die wichtigsten Fakten zu…

Verschlüsseln und signieren (PGP)

  1. Thema

Neues Thema Ansicht wechseln


  1. Verschlüsseln und signieren (PGP)

    Autor: vergeben 23.05.18 - 10:49

    Hilft es, verschlüsselte E-Mails zusätzlich zu signieren, um Manipulationen zu erkennen? Oder ist nur der Klartext signiert, so daß erst nach der Entschlüsselung die Signatur überprüft wird?

  2. Re: Verschlüsseln und signieren (PGP)

    Autor: Mr Miyagi 23.05.18 - 11:13

    Es hilft nicht. Der Angreifer kann ja einfach eine gültige Signatur für die manipulierte Mail erstellen.

  3. Re: Verschlüsseln und signieren (PGP)

    Autor: vergeben 23.05.18 - 11:24

    Das kann er. Diese Signatur (der zugehörige Public Key) ist für meinen MUA dann aber unbekannt.

  4. Re: Verschlüsseln und signieren (PGP)

    Autor: Mr Miyagi 23.05.18 - 11:33

    Ja das stimmt schon, aber es kommt ja durchaus vor das man mit Unbekannten via Mail korrespondiert. Insbesondere als Anwalt, Aktivist, Reporter, Softwareentwickler, Unternehmen ... Insofern glaube ich nicht das man realistischerweise davon ausgehen kann, das man jeden Kommunikationspartner bereits kennt.

  5. Re: Verschlüsseln und signieren (PGP)

    Autor: Niveauacreme 27.05.18 - 06:05

    Mr Miyagi schrieb:
    --------------------------------------------------------------------------------
    > Ja das stimmt schon, aber es kommt ja durchaus vor das man mit Unbekannten
    > via Mail korrespondiert. Insbesondere als Anwalt, Aktivist, Reporter,
    > Softwareentwickler, Unternehmen ... Insofern glaube ich nicht das man
    > realistischerweise davon ausgehen kann, das man jeden Kommunikationspartner
    > bereits kennt.

    Nichts für ungut, aber das sind ja hahnebüchene behauptungen hier. Es ist NICHT möglich mit einer efail-methode text unerkannt in gpg-messages einzufügen und diesen mit einer gültigen Signatur des eigentlichen ABSENDERS zu versehen. Jeder MUA zeigt fehlerhafte Signaturen an, daraus entsteht kein Sicherheitsproblem. Das sicherheitsproblem entsteht daraus, dass der ungefragt (!) angezeigte Content, wenn er html-codiert ist, von verbuggten MUAs an den angreifer als img-source anfrage (oder dgl.) zurückgesendet wird.

    Hier ist gar nichts kaputt. Efail zeigt zwei sachen:
    1. man muss verschlüsselung auch sicher benutzen, damit sie sicher ist.
    2. Unfähigkeit in der benutzung wird bestraft durch sicherheitsverlust.

    Das heisst: Wenn ich brisantes verschluessele, dann muss ich zur integritätssicherung und sicheren authentifizierung der nachricht diese auch signieren. Und ich muss mein key-management im griff haben, d.h. Nur wenn ich meine kontakte ordentlich über einen zweiten kanal authentifiziert (und deren keys signiert) habe, kann ich sicher kommunizieren. D.h. Bei sicherer Anwendung von gpg ist in der Verschlüsselung selbst GAR NICHTS gebrochen. Wenn die Message manipuliert ist, dann wird mir das angezeigt - es sei denn ich nutze GPG nicht kompetent. Weiter passiert gar nicht bei CBC-Injection.

    Das Sicherheitsproblem entsteht nur dadurch, dass durch HTML-Quark und verbuggte MUAs der klartext ungefragt über einen sidechannel versendet wird. Das hat mit der Verschlüsselung an sich überhaupt nichts zu tun und ist nur das Problem der verbuggten MUAs. Das kann aber relativ leicht gefixt werden.

    Das ganze efail-gedöns ist nichts als ein sturm im wasserglas. Wer behauptet efail gefährde „Freiheitskämpfer“, der unterstellt, dass diese mit krypto unsicher kommunizieren. Das ist aber nicht nur mit efail ein problem, sondern wird solche leute ohnehin schnell killen. Wer von denen gpg kompetent und in einem möglichst sicheren content einsetzt (der normale mailer ohnehin ausschliesst als gpg-reader), der ist gar nicht von efail betroffen.

    Man kann aber nicht auf inkompetenz und bequemlichkeit bestehen, und dann military grade sicherheit verlangen. Gerade von Anwälten und Journalisten erwarte ich zu krypto und mandantenschutz mehr als eine bequeme konsumhaltung.

    So sieht das aus. „Oh der Kreis ist nicht gleichzeitig ein quadrat?“ - was für eine überaschung.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. SMR Automotive Mirrors Stuttgart GmbH, Stuttgart
  2. Deutsche Rentenversicherung Bund, Berlin
  3. TechnoTeam Bildverarbeitung GmbH, Ilmenau
  4. über duerenhoff GmbH, Wien (Österreich)

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 1439,90€ (Vergleichspreis: 1530,95€)
  2. täglich neue Deals bei Alternate.de
  3. (u. a. 970 Evo 1 TB für 149,90€, 970 Evo 500 GB für 77,90€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Lovot im Hands-on: Knuddeliger geht ein Roboter kaum
Lovot im Hands-on
Knuddeliger geht ein Roboter kaum

CES 2020 Lovot ist ein Kofferwort aus Love und Robot: Der knuffige japanische Roboter soll positive Emotionen auslösen - und tut das auch. Selten haben wir so oft "Ohhhhhhh!" gehört.
Ein Hands on von Tobias Költzsch

  1. Orcam Hear Die Audiobrille für Hörgeschädigte
  2. Schräges von der CES 2020 Die Connected-Kartoffel
  3. Viola angeschaut Cherry präsentiert preiswerten mechanischen Switch

Sicherheitslücken: Microsoft-Parkhäuser ungeschützt im Internet
Sicherheitslücken
Microsoft-Parkhäuser ungeschützt im Internet

Eigentlich sollte die Parkhaussteuerung nicht aus dem Internet erreichbar sein. Doch auf die Parkhäuser am Microsoft-Hauptsitz in Redmond konnten wir problemlos zugreifen. Nicht das einzige Sicherheitsproblem auf dem Parkhaus-Server.
Von Moritz Tremmel

  1. Datenleck Microsoft-Datenbank mit 250 Millionen Support-Fällen im Netz
  2. Office 365 Microsoft testet Werbebanner in Wordpad für Windows 10
  3. Application Inspector Microsoft legt Werkzeug zur Code-Analyse offen

Energiewende: Norddeutschland wird H
Energiewende
Norddeutschland wird H

Japan macht es vor, die norddeutschen Bundesländer ziehen nach: Im November haben sie den Aufbau einer Wasserstoffwirtschaft beschlossen. Die Voraussetzungen dafür sind gegeben. Aber das Ende der Förderung von Windkraft kann das Projekt gefährden.
Eine Analyse von Werner Pluta

  1. Energiewende Brandenburg bekommt ein Wasserstoff-Speicherkraftwerk
  2. Energiewende Dänemark plant künstliche Insel für Wasserstofferzeugung
  3. Energiewende Nordländer bauen gemeinsame Wasserstoffwirtschaft auf

  1. Microsoft: Letztes Windows-7-Update lässt Wallpaper verschwinden
    Microsoft
    Letztes Windows-7-Update lässt Wallpaper verschwinden

    Zwar behebt das letzte Windows-7-Update einige Sicherheitslücken, aber es führt auch einen merkwürdigen Bug ein. Der Desktophintergrund einiger Anwender ist plötzlich schwarz und zeigt kein Wallpaper mehr an. Davon berichten sowohl Privatnutzer als auch angestellte Administratoren.

  2. Cirrus7 Incus A300 im Test: Lautloses Ryzen-Genie aus Deutschland
    Cirrus7 Incus A300 im Test
    Lautloses Ryzen-Genie aus Deutschland

    Passiv gekühlt aus heimischer Produktion: Wer den Incus A300 von Cirrus7 kauft, erhält einen Ryzen-basierten Mini-PC, der durchweg lautlos arbeitet. Besonders die clevere Kühlung ist außergewöhnlich - neben APU und Spannungswandlern hält sie auch zwei SSDs auf Temperatur.

  3. Mobile Games: "Mit Furz-Apps wird man kein Millionär mehr"
    Mobile Games
    "Mit Furz-Apps wird man kein Millionär mehr"

    Mit cleveren Kartenspielen wie Card Thief hat der Berliner Mobile-Games-Macher Arnold Rauers von Tinytouchtales seine gewinnbringende Nische gefunden. Im Gespräch mit Golem.de nennt er Zahlen - und gibt konkrete Empfehlungen für andere Entwickler.


  1. 12:01

  2. 12:01

  3. 12:00

  4. 11:40

  5. 11:25

  6. 11:10

  7. 10:50

  8. 10:44