Hallo, Michael Temeschinko wrote:
und wie kommt der Lümmel (man-in-the middle) an meinen privaten Key (der dann zusätzlichg noch mit einer passphrase geschützt ist)
Den braucht er ja auch gar nicht. Wenn Du Deinen Public Key an einen Kommunikationspartner schickst, kann der "man-in-the-middle" den Public Key praktisch "abfangen" und stattdessen *seinen* Public Key an Deinen Kommunikationspartner uebermitteln. Wenn nun Dein Kommunikationspartner Dir eine verschluesselte Nachricht schicken moechte, benutzt wer den Public Key des "man-in-the-middle", weil er den Key ja fuer Deinen haelt. Der "man-in-the-middle" faengt die verschluesselte Nachricht ab und ist damit in der Lage mit seinem Private Key diese zu entschluesseln. Nun kann der "man-in-the-middle" die Nachricht z.B. "abaendern", d.h. faelschen und mit *Deinem* Public Key verschluesseln. Du entschluesselst die abgeaenderte Nachricht mit Deinem Private Key und bemerkst gar nicht, dass ein "man-in-the-middle" die Nachricht gefaelscht hat. D.h. der "man-in-the-middle" braucht gar nicht Deinen "Private Key" und schon gar nicht die "Passphrase", die noetig ist, um diesen zu aktivieren. Wenn Du also Deinen Public Key an Kommunikationspartner, mit denen Du verschluesselte Botschaften austauschen willst, verteilst, solltest Du sicherstellen, dass die Kommunikationspartner auch *Deinen* Public Key erhalten haben. Eine Moeglichkeit waere, dass man die Fingerprints (eine Art Pruefsumme des Public Key) vergleicht (z.B. in einem persoenlichen Gespraech oder telefonisch), wobei ein telefonischer Vergleich u.U. auch wieder heikel sein kann. Eine andere Moeglichkeit, sind Key-Server, bei denen man den Public Key hinterlegen und zertifizieren lassen kann. Gruss, Steffen --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com