PGP auf dem Smartphone NICHT empfehlenswert

Hierzu müsste der private Schlüssel auf das Gerät, dieser sollte aber möglichst >>NICHT<< (in falsche Hände geraten) mit sich herumgetragen werden oder bösartigen Apps und Spionage durch Dritte ausgesetzt sein. Auch ein Geräteverlust wäre dann doppelt und dreifach Schmerzhaft für sich selbet und allen dritten, die einem verschlüsselte Mails gesendet haben und diese nun offen herumliegen würden.
Ein Verlust ließe sich gar nicht bemerken und das wäre die schlimmste Form eines Verlustes wichtiger Daten: Man weiß gar nicht, dass diese in falscher Hand sind.

Klar ist die Passpharse ein Schutz aber die wird wohl kaum sicher genug sein bei Eingabe in eine Smartphone-Tastatur und dementsprechend einem Tesla oder Radeon Karte nicht lange stand halten.

Wer großen Wert auf Sicherheit legt (offenbar jeder, der PGP nutzt), sollte mMn. unbedingt davon absehen, den private Key auf seinem Smartphone/Tablet mit sich herumzutragen..

@Vertrauenswürdigkeit:
Wer sich zertifizieren lassen möchte kann das recht einfach auch in Gelsenkirchen tun:
http://www.internet-sicherheit.de/pgpzi/
(Natürlich nur, falls man in der Nähe ist und da kurz vorbeischauen möchte.)



1 mal bearbeitet, zuletzt am 30.04.14 16:28 durch warJaSoKlar.

Gilt das gleiche nicht auch für jedes Programm was auf dem PC läuft?

ikhaya schrieb:
--------------------------------------------------------------------------------
> Gilt das gleiche nicht auch für jedes Programm was auf dem PC läuft?


Prinzipiell schon, allerdings ist der nicht etwas was man mit sich herumträgt und verlieren kann ;-)
Um ein Beispiel zu nennen. Zudem ist das Abgreifen von Daten auf einem Phone gefühlt deutlich leichter als auf einem ausgewachsenem PC: Dort hat man in der Regel nicht eine Taschenlampen App die sämtliche Rechte eingefordert hat und sich die Schlüssel von der SD Karte besorgt oder ähnliches.

Ich will damit nur sagen, dass man höllisch aufpassen muss, wenn man sich dafür entschließen sollte APG auf dem Phone zu nutzen. :-)



3 mal bearbeitet, zuletzt am 30.04.14 16:42 durch warJaSoKlar.

Gibt eine halbwegs brauchbare Lösung dafür, wenn auch etwas umständlich.
- Gepatchte Version von apg (android privacy guard), weil die originale kann nicht mit einem exportierten Signing Subkey umgehen ohne den private master key.
- Erzeugen eines eigenen Signing Subkeys.
- den Signing Subkey und den Encryption Key in APG reinladen.
Wenn man das Gerät verliert/gestohlen wird, einfach mit dem an einem sicheren Ort gespeicherten Master Key den Signing Subkey revoken (Sorry für das Denglisch).
Der Encryption Key (sprich der Public Key), is eh wayne - kennt ja eh jeder.

Eigenartige Argumentationsweise. Mein Tablet/Notebook kann mir auch aus dem Auto geklaut werden. Die Wahrscheinlichkeit dürfte sogar höher sein.

Abgesehen davon gibt es ja noch die revoke-Möglichkeit bei GPG.

Mein Nexus 4 ist vollverschlüsselt. Der Private Key per Passwort geschützt. Ich gebe aber zu, ich habe auch eine weile gebraucht bis ich mich getraut habe den Privat Key von meiner dm-crypt/Luks Platte auf das Handy zu schieben.

stuempel schrieb:
--------------------------------------------------------------------------------
> Eigenartige Argumentationsweise. Mein Tablet/Notebook kann mir auch aus dem
> Auto geklaut werden. Die Wahrscheinlichkeit dürfte sogar höher sein.
>
> Abgesehen davon gibt es ja noch die revoke-Möglichkeit bei GPG.

Der Umgang mit einem Vollverschlüsseltem Notebook ist imho einfacher als einem vollverschlüsseltem Mobiltelefon ... daher nicht so richtig vergleichbar.
Aber solche teuren Gerätschaften sollte man sowieso möglichst nicht alleine im Auto liegen lassen, schon gar nicht sichtbar.