On Don, 30 Sep 1999, Juergen Schwarting wrote:
Ja, habe ich eingesehen, siehe andere mails. Aber doch noch eine Frage dazu. Wenn ich davon ausgehe, daß der Einbrecher mein ~/.procmailrc in meinem fernen Rechner lesen kann, kann ich genau so gut davon ausgehen, daß er an meinem pgp auf meinem nahen Rechner gelangt. IMHO
klar - wenn er auf Deinem System eingedrungen ist kommt er auch an das lokale PGP ran !!!
In dem Moment hast Du sowieso ein Problem. Wenn ich mich auf Deinem System anmelden kann, kann ich mir: - eine Hintertür einbauen (für's nächste mal) - Informationen über das System erlangen um mehr Rechte zu bekommen - das ferngesteuerte Programm von Hand starten...wozu der Aufwand mit der e-mail :-) - ...
Aber soweit ich mich noch erinnern kann, muß man eine Passphrase eingeben um mit dem privaten PGP-Schlüssel zu arbeiten. Der Eindringling müßte also auch noch diese Sperre überwinden, um anschließend den Remote-Rechner anzugreifen.
Das macht nichts! Falls Du lediglich mit der Signatur arbeiten willst, brauchst Du nur ein Schlüsselpaar. Auf dem "ferngesteuerten Rechner" liegt nur der öffentliche Schlüssel; den privaten Schlüssel trägst Du auf einer Diskette mit Dir herum. Nach dem Einbruch kennt der Hacker nun (falls er die Passphrase knacken konnte) Deinen öffentlichen Schlüssel... Er kann also überprüfen, ob die Nachricht tatsächlich von Dir ist, tolle Wurst :-) Falls Du mit Signatur und Verschlüsselung arbeiten willst, brauchst Du zwei Schlüsselpaare: Auf dem "ferngesteuerten Rechner" liegt wieder Dein öffentlicher Schlüssel, zusätzlich liegt dort der private Schlüssel des Rechners. Die anderen Schlüssel hast Du wieder auf Diskette. Der Einbrecher ist nun, nachdem er die Passphrase geknackt hat, in der Lage Deine mail zu dekodieren, um zu überprüfen, ob die Mail von Dir ist... In beiden Fällen ist es dem Einbrecher nicht möglich, die notwendigen Nachrichten zu erzeugen. Hintergrund: Zum Verschlüsseln brauche ich den öffentlichen Schlüssel des Empfängers, zum Signieren meinen privaten. Zum Entschlüsseln brauche ich meinen privaten Schlüssel, zum überprüfen der Signatur den öffentlichen Schlüssel des Absenders.
Wie Du siehst, ist es mit der Signatur zwar nicht unmöglich, unbefugt auf einen anderen Rechner einzudringen, aber es wird einem schon sehr schwer gemacht ;)
Die Signatur macht das weder leichter noch schwerer... CU, Stefan -- Stefan Giessler e-mail: stefan.Giessler@net-share.de As Zeus said to Narcissus, "Watch yourself." --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com