Hallo Jürgen, On Don, 30 Sep 1999, Juergen Schwarting wrote:
Am 30.09.1999 um 13:20 Uhr schrieb Stefan Giessler:
On Don, 30 Sep 1999, Juergen Schwarting wrote:
klar - wenn er auf Deinem System eingedrungen ist kommt er auch an das lokale PGP ran !!!
In dem Moment hast Du sowieso ein Problem. Wenn ich mich auf Deinem System anmelden kann, kann ich mir:
- eine Hintertür einbauen (für's nächste mal) - Informationen über das System erlangen um mehr Rechte zu bekommen - das ferngesteuerte Programm von Hand starten...wozu der Aufwand mit der e-mail :-)
klar - mein Rechner wäre dann kompromittiert aber noch lange nicht der Remote-Rechner. Oder wie willst Du die Mail für den Remote-Rechner mit meinem PGP-/GPG-Key signieren ? Hierzu fehlt Dir immer noch mein privater Key und die Passphrase !
...ich meinte den Remote Rechner (den, den Du fernsteuerst :-) )... Wenn ich Deinen Laptop (oder was immer Du so mitschleppst) knacke bringt mir das gar nichts, es sei denn, Du hast gerade die Diskette mit den Schlüsseln eingelegt, und sie ist "world readable" :-)
Aber soweit ich mich noch erinnern kann, muß man eine Passphrase eingeben um mit dem privaten PGP-Schlüssel zu arbeiten. Der Eindringling müßte also auch noch diese Sperre überwinden, um anschließend den Remote-Rechner anzugreifen.
Das macht nichts!
Falls Du lediglich mit der Signatur arbeiten willst, brauchst Du nur ein Schlüsselpaar. Auf dem "ferngesteuerten Rechner" liegt nur der öffentliche Schlüssel; den privaten Schlüssel trägst Du auf einer Diskette mit Dir herum. Nach dem Einbruch kennt der Hacker nun (falls er die Passphrase knacken konnte) Deinen öffentlichen
richtig - der muß aber erst mal geknackt werden ! Stell Dir das nicht so leicht vor ;]
Aus der Liste der beliebtesten Passworte in Deutschland (no joke): - Passwort - Blumentopf - Computer - 2fast4u - diverse Vornamen Wir konnten trotz regelmäßiger Aufklärung an der Uni ca. 30-40% der Passworte durch Wörtebuchattacken knacken... obwohl die betroffenen User danach per mail aufgefordert wurden sich ein besseres Passwort auszudenken hat sich der Prozentsatz nie wesentlich verändert. Nach meiner Erfahrung musst Du in den meisten Unternehmen eher von >60% kompromittierbaren Passworten ausgehen. Wenn die Leute so Ihre Daten schützen, möchte ich lieber nicht wissen, wie sie ihre PGP Schlüssel schützen. BTW, viele Programme halten die Passphrase als Shellvariable im Speicher (PGPPASS), wenn ich es schaffe den Speicher zu lesen (z.B. als root) muss ich das Ding noch nicht einmal knacken...
Schlüssel... Er kann also überprüfen, ob die Nachricht tatsächlich von Dir ist, tolle Wurst :-)
Mit meinen öffentlichen Schlüssel kann jeder prüfen, ob die Nachricht von mir ist - was ist da so schlimm dran ?
Na sag ich doch. Er kann überprüfen, ob die Nachricht von mir ist, ansonsten gar nichts. No Security Problem.
Falls Du mit Signatur und Verschlüsselung arbeiten willst, brauchst Du zwei Schlüsselpaare: Auf dem "ferngesteuerten Rechner" liegt wieder Dein öffentlicher Schlüssel, zusätzlich liegt dort der private Schlüssel des Rechners. Die anderen Schlüssel hast Du wieder auf Diskette. Der Einbrecher ist nun, nachdem er die Passphrase geknackt hat, in der Lage Deine mail zu dekodieren, um zu überprüfen, ob die Mail von Dir ist...
Meine Mail ist nicht verschlüsselt, sondern nur signiert !!!
Den Fall hatte ich gerade im Absatz vorher beschrieben!
In beiden Fällen ist es dem Einbrecher nicht möglich, die notwendigen Nachrichten zu erzeugen.
hier gebe ich Dir Recht ;)
Danke :-)
Irrtum - ohne korrekte Signatur wird auf dem Remote-Rechner kein Script ausgeführt und diese Signatur ist hinreichend gesichert. (Mit Passphrase, auf Diskette, in meiner Brusttasche ;)))
Nochmal, ich bin davon ausgegangen, dass der ferngesteuerte Rechner geknackt wurde. CU, Stefan -- Stefan Giessler e-mail: stefan.Giessler@net-share.de "Nothing can be loved or hated unless it is first understood" -- Leonardo da Vinci --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com