Am Montag, 10. Juni 2002 11:55 schrieb Bernd Brodesser:
* Hannes Vogelmann schrieb am 10.Jun.2002:
Am Montag, 10. Juni 2002 10:03 schrieb Bernd Brodesser:
Und um zu kontrollieren, ob die Signatur wikrlich von SuSE ist, braucht man deren öffentlichen Schlüssel. Nur woher bekomme ich den? Wenn ich den über das Netz bekomme, so ist er genauso sicher oder unsicher wie alles andere, also auch das Update direkt. Ich habe somit keinen Sicherheitsgewinn.
Dem muss ich widersprechen. Die Signatur geht gerade nicht aus dem öffentlichen Schlüssel hervor, um zusätzliche Sicherheit bei der Identität des Schlüsselinhabers gewährleisten. Die Sigantur kann nur vom Inhaber des (zu diesem öffentlichen Schlüssel gehörendem) privaten Schlüssels erzeugt werden. Also stellt das auf jeden Fall einen Sicherheitsgewinn dar!
Erzeugt werden. Ja. Weiß ich. Aber wie kann ich überprüfen, ob es der richtige ist. Ich, der natürlich nicht den privaten Schlüssel von SuSE habe? Doch mit dem öffentlichen. Aber den habe ich auch nicht.
Naja, wenn man den öffentlichen Schlüssel nicht hat, dann ist die Signatur natürlich nicht viel Wert. Aber der öffentliche Schlüssel sollte eben auch öffentlich zugänglich sein und somit könntest Du ihn haben wenn Du wolltest. Sinn macht das natürlich nur, wenn der öffentliche Schlüssel nicht auf dem selben Weg wie die Signatur zu Dir gelangt. Daher holt man sich den öffentlichen Schlüssel am besten von einem keyserver oder lässt ihn sich seperat zustellen und erwartet dann ein signiertes Dokument. Wie z.B. Software von SuSE oder eine eMail von SuSE. Klar, eine absolute Sicherheit bietet das nicht, the man in the middle könnte zuerst SuSEs public kez faken und Dir anschließend eine falsche Signatur unterschieben, in dem er Deine (an Dich adressierte) Post abfängt. Sicherer wird es durch die Signatur im Normalfall aber schon. PGP bietet ja zusätzlich auch noch den fingerprint an, den man am besten persönlich, am Telefon oder per Fax übergibt. Das ist dann schon sehr sicher. Denn den Fingerprint kann the man in the middle dann nicht mehr faken. Wenn alle drei, public key, Signatur und fingerprint zusammenpassen, ist die Sicherheit sehr sehr groß. cu Hannes