OT: Geheimnis (GnuPG)

Matthias Staudinger

19 Jan 2003 19 Jan '03

12:53

Hi! Inzwischen hab ich verstanden, wie man einen Schlüssel mit Geheimnis erzeugt und Dateien verschlüsselt / entschlüsselt, klappt prima. Wenn ich jetzt so eine Datei einem Freund zukommen lasse, wie kann er die entschlüsseln? Reicht der öffentliche Schlüssel? Und wie werden nun "vertrauliche" e-mails komplett verschlüsselt? Wie singniert man eine Datei? Hat das den Wert einer Unterschrift? Vielen Dank für Hinweise auch evtl URLs zum Nachlesen! Matthias

Show replies by date

Adalbert Michelic

19 Jan 19 Jan

13:43

* On Sun, 19 Jan 2003 at 13:53 +0100, Matthias Staudinger wrote:

...

Inzwischen hab ich verstanden, wie man einen Schlüssel mit Geheimnis erzeugt und Dateien verschlüsselt / entschlüsselt, klappt prima.

Wenn ich jetzt so eine Datei einem Freund zukommen lasse, wie kann er die entschlüsseln? Reicht der öffentliche Schlüssel?

Ja! Den privaten Schlüssel solltest Du keinesfalls weitergeben - sonst ist sämtliche Sciherheit beim Teufel.

...

Und wie werden nun "vertrauliche" e-mails komplett verschlüsselt?

Verschlüsselt werden sie mit dem öffentlichen Schlüssel des Empfängers, dieser (und nur dieser) kann sie dann mit seinem privaten Schlüssel entschlüsseln.

...

Wie singniert man eine Datei?

Mit gpg --sign.

...

Hat das den Wert einer Unterschrift?

Jupp. -- Adalbert GPG welcome, request public key: mailto:adalbert+key@lopez.at

B.Brodesser＠t-online.de

14:09

* Matthias Staudinger schrieb am 19.Jan.2003:

...

Inzwischen hab ich verstanden, wie man einen Schlüssel mit Geheimnis erzeugt und Dateien verschlüsselt / entschlüsselt, klappt prima.

Wenn ich jetzt so eine Datei einem Freund zukommen lasse, wie kann er die entschlüsseln? Reicht der öffentliche Schlüssel?

Normal ist, daß Du die Datei mit seinem öffentlichen Schlüssel verschlüsselst. Er und nur er kann die Datei denn mit seinem geheimen Schlüssel entschlüsseln. Jeder hat Zugang zu dem öffentlichen Schlüssel, keiner, außer man selber, hat Zugang zu den geheimen Schlüssel. Niemals irgendjemanden den geheimen Schlüssel weitergeben. Den muß man hüten. Wenn ich Dir eine verschlüsselte Mail zukommen lassen möchte, so kann ich Deinen öffentlichen Schlüssel nehmen und die Mail damit verschlüsseln. Nur Du kannst sie dann lesen, da nur Du den geheimen Schlüssel hast.

...

Und wie werden nun "vertrauliche" e-mails komplett verschlüsselt?

Wie singniert man eine Datei? Hat das den Wert einer Unterschrift?

Signieren geht genau umgekehrt. Wenn Du eine Datei mit Deinen geheimen Schlüssel verschlüsselt, so kann jeder mit Deinem öffentlichen Schlüssel die Datei entschlüsseln. Weiß aber, daß die Datei von Dir ist. Es reicht normalerweise eine Signatur zu verschlüsseln und nicht die ganze Datei. Bernd -- ROTFL = Rolling On The Floor, Laughing = Auf dem Boden wälzen, lachend. SCNR = Sorry, Could Not Resist = Sorry, Ich konte nicht wiederstehen. AFAIK = As Far As I Know = So weit ich weis|BTW = By The Way = Nebenbei bemerkt IMHO = In My Humble Opinion = meiner bescheidenen Meinung nach |Zufallssig. 9

Thorsten Haude

14:56

Moin, * Matthias Staudinger [2003-01-19 13:53]:

...

Inzwischen hab ich verstanden, wie man einen Schlüssel mit Geheimnis erzeugt und Dateien verschlüsselt / entschlüsselt, klappt prima.

Wenn ich jetzt so eine Datei einem Freund zukommen lasse, wie kann er die entschlüsseln? Reicht der öffentliche Schlüssel?

Auf jeden Fall! Deinen privaten Schlüssel solltest Du niemals aus der Hand geben!

...

Und wie werden nun "vertrauliche" e-mails komplett verschlüsselt?

Mit dem öffentlichen Schlüssel des Empfängers. Dann kann es nur mit dem geheimen Schlüssel des Empfängers entschlüsselt werden.

...

Wie singniert man eine Datei? Hat das den Wert einer Unterschrift?

Juristisch nicht, technisch ist die Unterschrift nach heutigem Kenntnisstand deutlich zuverlässiger als eine Unterschrift. Allerdings sollte man auch sorgfältig damit umgehen, siehe: http://www.gnupg.org/gph/en/manual.html Thorsten -- You're not supposed to be so blind with patriotism that you can't face reality. Wrong is wrong, no matter who does it or who says it. - Malcolm X

Martin Knipper

17:49

Hallo, Am 19.01.2003 15:56 schrieb Thorsten Haude:

...

* Matthias Staudinger [2003-01-19 13:53]:

[...]

...

...
Wie singniert man eine Datei? Hat das den Wert einer Unterschrift?

Juristisch nicht, technisch ist die Unterschrift nach heutigem Kenntnisstand deutlich zuverlässiger als eine Unterschrift. Allerdings sollte man auch sorgfältig damit umgehen, siehe: http://www.gnupg.org/gph/en/manual.html

Juristisch doch ! § 126a BGB Elektronische Form [1] (1) Soll die gesetzlich vorgeschriebene schriftliche Form durch die elektronische Form ersetzt werden, so muss der Aussteller der Erklärung dieser seinen Namen hinzufügen und das elektronische Dokument mit einer qualifizierten elektronischen Signatur nach dem Signaturgesetz [2] versehen. (2) Bei einem Vertrag müssen die Parteien jeweils ein gleichlautendes Dokument in der in Absatz 1 bezeichneten Weise elektronisch signieren. ... Zusätzlich noch §127 BGB [3] (1) Die Vorschriften des § 126, des § 126a oder des § 126b gelten im Zweifel auch für die durch Rechtsgeschäft bestimmte Form. Bin gott sei dank kein Jurist, habe aber gerade über dieses Thema eine Klausur geschrieben. Daher weiß ich, daß eine (akkreditierte) qualifizierte Signatur die gleiche Wirkung wie eine Unterschrift hat. Gruß Martin [1] siehe: http://www.juralink.de/0NORMENBANK/BGB/126.html [2] siehe z.B: http://www.netlaw.de/gesetze/sigg.htm [3] siehe: http://www.juralink.de/0NORMENBANK/BGB/127.html

Hartmut Meyer

18:29

Hallo, Am Sonntag, 19. Januar 2003 18:49 schrieb Martin Knipper:

...

Am 19.01.2003 15:56 schrieb Thorsten Haude:

...
* Matthias Staudinger [2003-01-19 13:53]:

...

...
...
Wie singniert man eine Datei? Hat das den Wert einer Unterschrift?

Juristisch nicht, technisch ist die Unterschrift nach heutigem Kenntnisstand deutlich zuverlässiger als eine Unterschrift. Allerdings sollte man auch sorgfältig damit umgehen, siehe: http://www.gnupg.org/gph/en/manual.html

Juristisch doch !

Ich glaub nicht, dass das so allgemein stimmt.

...

§ 126a BGB Elektronische Form [1]

(1) Soll die gesetzlich vorgeschriebene schriftliche Form durch die elektronische Form ersetzt werden, so muss der Aussteller der Erklärung dieser seinen Namen hinzufügen und das elektronische Dokument mit einer qualifizierten elektronischen Signatur nach dem Signaturgesetz [2] versehen.

Eben: "mit einer qualifizierten elektronischen Signatur nach dem Signaturgesetz".

...

(2) Bei einem Vertrag müssen die Parteien jeweils ein gleichlautendes Dokument in der in Absatz 1 bezeichneten Weise elektronisch signieren.

...

Zusätzlich noch §127 BGB [3]

(1) Die Vorschriften des § 126, des § 126a oder des § 126b gelten im Zweifel auch für die durch Rechtsgeschäft bestimmte Form.

Bin gott sei dank kein Jurist, habe aber gerade über dieses Thema eine Klausur geschrieben. Daher weiß ich, daß eine (akkreditierte) qualifizierte Signatur die gleiche Wirkung wie eine Unterschrift hat.

Ich geh mal davon aus, dass "akkreditierte" wieder gleich zu setzen ist mit "einer qualifizierten elektronischen Signatur nach dem Signaturgesetz". Ob das auch auf eine PGP signierte Mail zutrifft? Ich glaube kaum. Der entscheidende Punkt ist doch der, dass die Echtheit der Signatur von einer staatlich zertifizierten(!) Stelle bestätigt werden muss. Mit "Web of Trust" und dir persönlich bekannten Schlüsseln kommst du da nicht weit. Das Problem ist nicht PGP sondern die üblicherweise fehlende Überprüfbarkeit im Sinne des Signaturgesetzes. Schöne Grüße aus Bremen hartmut

Martin Knipper

18:56

Am 19.01.2003 19:29 schrieb Hartmut Meyer:

...

Am Sonntag, 19. Januar 2003 18:49 schrieb Martin Knipper:

...
Am 19.01.2003 15:56 schrieb Thorsten Haude:

...
* Matthias Staudinger [2003-01-19 13:53]:

...
...
...
Wie singniert man eine Datei? Hat das den Wert einer Unterschrift?

Juristisch nicht, technisch ist die Unterschrift nach heutigem Kenntnisstand deutlich zuverlässiger als eine Unterschrift. Allerdings sollte man auch sorgfältig damit umgehen, siehe: http://www.gnupg.org/gph/en/manual.html

Juristisch doch ! Ich glaub nicht, dass das so allgemein stimmt.

...
§ 126a BGB Elektronische Form [1]

(1) Soll die gesetzlich vorgeschriebene schriftliche Form durch die elektronische Form ersetzt werden, so muss der Aussteller der Erklärung dieser seinen Namen hinzufügen und das elektronische Dokument mit einer qualifizierten elektronischen Signatur nach dem Signaturgesetz [2] versehen.

Eben: "mit einer qualifizierten elektronischen Signatur nach dem Signaturgesetz".

...
(2) Bei einem Vertrag müssen die Parteien jeweils ein gleichlautendes Dokument in der in Absatz 1 bezeichneten Weise elektronisch signieren.

...

Zusätzlich noch §127 BGB [3]

(1) Die Vorschriften des § 126, des § 126a oder des § 126b gelten im Zweifel auch für die durch Rechtsgeschäft bestimmte Form.

Bin gott sei dank kein Jurist, habe aber gerade über dieses Thema eine Klausur geschrieben. Daher weiß ich, daß eine (akkreditierte) qualifizierte Signatur die gleiche Wirkung wie eine Unterschrift hat.

Ich geh mal davon aus, dass "akkreditierte" wieder gleich zu setzen ist mit "einer qualifizierten elektronischen Signatur nach dem Signaturgesetz".

Es gibt einen kleinen Unterschied. Jeder kann einen Trustcenter aufmachen. Wenn du jedoch eine akkreditierte (Sch**** Wort) qualifizierte Signatur haben willst, brauchst Du diese von einem Trustcenter, der sich vor der Inbetriebnahme von einer staatlichen Behörde überprüfen lassen hat.

...

Ob das auch auf eine PGP signierte Mail zutrifft? Ich glaube kaum.

Da haben wir uns vielleicht falsch verstanden. Es gibt Sicherheitsrichtlinien, die die Qualität der Signatur bestimmen (siehe SigG). Werden die gesetzlichen Bestimmingen mit gültigem Zertifikat etc. eingehalten, ist die Signatur rechtskräftig.

...

Der entscheidende Punkt ist doch der, dass die Echtheit der Signatur von einer staatlich zertifizierten(!) Stelle bestätigt werden muss. Mit "Web of Trust" und dir persönlich bekannten Schlüsseln kommst du da nicht weit. Das Problem ist nicht PGP sondern die üblicherweise fehlende Überprüfbarkeit im Sinne des Signaturgesetzes.

Richtig. Prinzipiel nein, werden die Rahmenbedingungen des SigG eingehalten schon. Das wollte ich in meiner Ursprünglichen Mail sagen.

...

Schöne Grüße aus Bremen Ebenso aus Osnabrück

Martin

Thorsten Haude

21:45

Moin, * Martin Knipper [2003-01-19 18:49]:

...

Am 19.01.2003 15:56 schrieb Thorsten Haude:

...
* Matthias Staudinger [2003-01-19 13:53]:

...
...
Wie singniert man eine Datei? Hat das den Wert einer Unterschrift?

Juristisch nicht, technisch ist die Unterschrift nach heutigem Kenntnisstand deutlich zuverlässiger als eine Unterschrift. Allerdings sollte man auch sorgfältig damit umgehen, siehe: http://www.gnupg.org/gph/en/manual.html

Juristisch doch !

Nach jetzigen Stand bei GPG nicht. Ich lasse mich gerne eines Besseren belehren, das würde mir nämlich gut gefallen. Thorsten -- It's psychosomatic. You need a lobotomy. I'll get a saw. - Calvin

David Haller

20 Jan 20 Jan

23:17

Hallo, On Sun, 19 Jan 2003, Thorsten Haude wrote:

...

* Martin Knipper [2003-01-19 18:49]:

...
Am 19.01.2003 15:56 schrieb Thorsten Haude:

...
* Matthias Staudinger [2003-01-19 13:53]:

...
...
Wie singniert man eine Datei? Hat das den Wert einer Unterschrift? Nach jetzigen Stand bei GPG nicht. Ich lasse mich gerne eines Besseren belehren, das würde mir nämlich gut gefallen.

Technisch geht's und wird auch vom BSI gefoerdert (siehe "Aegypten"-Projekt u.a. -> gnupg.org). Das Problem ist, dass deine Signatur qualifiziert sein muss, d.h. dass dein Schluessel auf einer Smartcard liegen muss und du ein Klasse 3 (IIRC, eins mit Tastatur jedenfalls) zum lesen verwendest. Weiters muss die Integritaet passend bestaetigt sein (-> Trustcenter). -dnh -- It's a myth I tell you. A myth propagated by the lusers and markedroids to keep us happy while we work, on the sad expectation that we may one day achieve this. But in truth you'd have more success hunting for the holy grail. -- Wayne Pascoe on "this life thing" in the SDM

7773

Age (days ago)

7774

Last active (days ago)

List overview

Download

8 comments

7 participants

participants (7)

Adalbert Michelic
B.Brodesser＠t-online.de
David Haller
Hartmut Meyer
Martin Knipper
Matthias Staudinger
Thorsten Haude