Hi ich nochmal Bei Yast gibt es ja das Online-Update, welches automatisiert oder manuel einzelne Updates vom Server holt. Nun, bei jedem Paket erhalte ich die Meldung, daß kein GPG-Paket istaliert ist (was isn das?) oder dass die Patchbeschreibung fehlerhaft ist. Suse kann nicht gerantieren, daß der Patch tatsächlich von Suse stammt. Ist es sinnvoll, die angebotenen Patches installiert werden? Suse 8.0 Pro vielen Dank und nette Grüße Detlef Moebus
Am Sonntag, 9. Juni 2002 22:33 schrieb Detlef Moebus:
Bei Yast gibt es ja das Online-Update, welches automatisiert oder manuel einzelne Updates vom Server holt. Nun, bei jedem Paket erhalte ich die Meldung, daß kein GPG-Paket istaliert ist (was isn das?) oder dass die Patchbeschreibung fehlerhaft ist. Suse kann nicht gerantieren, daß der Patch tatsächlich von Suse stammt. Ist es sinnvoll, die angebotenen Patches installiert werden?
Ja. Dadurch werden Fehler in den installierten Paketen behoben, zum Teil sind das kleine Bug-fixes, zum Teil werden auch gröbere Schnitzer beseitigt. Wegen dem GPG mach dir keine Sorgen. Das ist auch ein Bug, der aber durch das Online Update behoben wird. HTH -- Homepage :: http://www.karzelek.com/karl Reg. Linux user :: #214057 | PGP :: http://www.karzelek.com/karl/pgp.html
Hi und Hallo vielen Dank! aber was ist denn das GPG? c-u Detlef -----Ursprüngliche Nachricht----- Von: Karl Karzelek [mailto:karl@karzelek.com] Gesendet: Sonntag, 9. Juni 2002 22:42 An: suse-linux@suse.com Betreff: Re: Was taugt das Online-Update? Am Sonntag, 9. Juni 2002 22:33 schrieb Detlef Moebus:
Bei Yast gibt es ja das Online-Update, welches automatisiert oder manuel einzelne Updates vom Server holt. Nun, bei jedem Paket erhalte ich die Meldung, daß kein GPG-Paket istaliert ist (was isn das?) oder dass die Patchbeschreibung fehlerhaft ist. Suse kann nicht gerantieren, daß der Patch tatsächlich von Suse stammt. Ist es sinnvoll, die angebotenen Patches installiert werden?
Ja. Dadurch werden Fehler in den installierten Paketen behoben, zum Teil sind das kleine Bug-fixes, zum Teil werden auch gröbere Schnitzer beseitigt. Wegen dem GPG mach dir keine Sorgen. Das ist auch ein Bug, der aber durch das Online Update behoben wird. HTH -- Homepage :: http://www.karzelek.com/karl Reg. Linux user :: #214057 | PGP :: http://www.karzelek.com/karl/pgp.html -- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfügbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
Hallo, at Sun, 9 Jun 2002 22:46:10 +0200 Detlef Moebus wrote:
aber was ist denn das GPG?
Infos findest Du unter http://www.gnupp.de/start.html Gruß Michael -- Homepage http://macbyte.info/ | Registered Linux User #228306 Phone/Fax +49 7000 MACBYTE | http://counter.li.org GNU GPG-Key ID 0140F88B | ICQ #151172379 +Webdesign #Don't send HTML coded Mails# PHP Development+
Am Sonntag, 9. Juni 2002 22:46 schrieb Detlef Moebus:
Hi und Hallo vielen Dank!
aber was ist denn das GPG?
Das ist der GNU Privacy Guard, das freie Gegenstück zu PGP, Pretty Good Privacy, so heißt das ausgeschrieben glaube ich. Das ist ein Verschlüsselungsprogramm, mit dem du eMails oder Dateien (1)Verschlüsseln oder (2)signieren kannst. Bei (1) werden die eMails oder Dateien so "verunstaltet", dass niemand, der nicht dazu berechtigt ist, und das entsprechende Programm besitzt, diese eMails oder Dateien verwenden/lesen kann. Bei (2) wird an die eMails/Dateien eine Signatur angehängt, eine Art Digitale Unterschrift, mit der man sicherstellen kann, dass diese eMail/Datei auch wirklich von der Person stammt, von der du diese anforderst. SuSE und auch die meisten anderen Distributoren signieren ihre Pakete, damit der Benutzer auch wirklich die Pakete erhält, die der Distributor gebaut hat, und niemand dir irgendwelche gefakten Pakete, mit eventuellen Fehlern/Viren/Sicherheitslücken andreht. HTH
* Karl Karzelek schrieb am 09.Jun.2002:
Das ist der GNU Privacy Guard, das freie Gegenstück zu PGP, Pretty Good Privacy, so heißt das ausgeschrieben glaube ich. Das ist ein Verschlüsselungsprogramm, mit dem du eMails oder Dateien (1)Verschlüsseln oder (2)signieren kannst. Bei (1) werden die eMails oder Dateien so "verunstaltet", dass niemand, der nicht dazu berechtigt ist, und das entsprechende Programm besitzt, diese eMails oder Dateien verwenden/lesen kann. Bei (2) wird an die eMails/Dateien eine Signatur angehängt, eine Art Digitale Unterschrift, mit der man sicherstellen kann, dass diese eMail/Datei auch wirklich von der Person stammt, von der du diese anforderst. SuSE und auch die meisten anderen Distributoren signieren ihre Pakete, damit der Benutzer auch wirklich die Pakete erhält, die der Distributor gebaut hat, und niemand dir irgendwelche gefakten Pakete, mit eventuellen Fehlern/Viren/Sicherheitslücken andreht.
Und um zu kontrollieren, ob die Signatur wikrlich von SuSE ist, braucht man deren öffentlichen Schlüssel. Nur woher bekomme ich den? Wenn ich den über das Netz bekomme, so ist er genauso sicher oder unsicher wie alles andere, also auch das Update direkt. Ich habe somit keinen Sicherheitsgewinn. Bernd -- Umsteiger von Microsoft Windows xx? Hast Du schon file://usr/doc/howto/de/DE-DOS-nach-Linux-HOWTO.txt gelesen? Auch file://usr/doc/Books/Linuxhandbuch.dvi ist zu empfehlen. |Zufallssignatur 1
Am Montag, 10. Juni 2002 10:03 schrieb Bernd Brodesser:
Und um zu kontrollieren, ob die Signatur wikrlich von SuSE ist, braucht man deren öffentlichen Schlüssel. Nur woher bekomme ich den? Wenn ich den über das Netz bekomme, so ist er genauso sicher oder unsicher wie alles andere, also auch das Update direkt. Ich habe somit keinen Sicherheitsgewinn.
Dem muss ich widersprechen. Die Signatur geht gerade nicht aus dem öffentlichen Schlüssel hervor, um zusätzliche Sicherheit bei der Identität des Schlüsselinhabers gewährleisten. Die Sigantur kann nur vom Inhaber des (zu diesem öffentlichen Schlüssel gehörendem) privaten Schlüssels erzeugt werden. Also stellt das auf jeden Fall einen Sicherheitsgewinn dar! cu Hannes
* Hannes Vogelmann schrieb am 10.Jun.2002:
Am Montag, 10. Juni 2002 10:03 schrieb Bernd Brodesser:
Und um zu kontrollieren, ob die Signatur wikrlich von SuSE ist, braucht man deren öffentlichen Schlüssel. Nur woher bekomme ich den? Wenn ich den über das Netz bekomme, so ist er genauso sicher oder unsicher wie alles andere, also auch das Update direkt. Ich habe somit keinen Sicherheitsgewinn.
Dem muss ich widersprechen. Die Signatur geht gerade nicht aus dem öffentlichen Schlüssel hervor, um zusätzliche Sicherheit bei der Identität des Schlüsselinhabers gewährleisten. Die Sigantur kann nur vom Inhaber des (zu diesem öffentlichen Schlüssel gehörendem) privaten Schlüssels erzeugt werden. Also stellt das auf jeden Fall einen Sicherheitsgewinn dar!
Erzeugt werden. Ja. Weiß ich. Aber wie kann ich überprüfen, ob es der richtige ist. Ich, der natürlich nicht den privaten Schlüssel von SuSE habe? Doch mit dem öffentlichen. Aber den habe ich auch nicht. Bernd -- ACK = ACKnowledge = Zustimmung | NAC = No ACknowledge = keine Zustimmung DAU = Dümmster Anzunehmender User | LOL = Laughing Out Loud = Lautes Lachen IIRC = If I Remember Correctly = Falls ich mich richtig erinnere OT = Off Topic = Am Thema (der Liste) vorbei |Zufallssignatur 11
Bernd Brodesser schrieb am 10.06.2002 um 11:55:12 +0200: Hallo Bernd,
* Hannes Vogelmann schrieb am 10.Jun.2002:
Am Montag, 10. Juni 2002 10:03 schrieb Bernd Brodesser:
Und um zu kontrollieren, ob die Signatur wikrlich von SuSE ist, braucht man deren öffentlichen Schlüssel. Nur woher bekomme ich den? Wenn ich den über das Netz bekomme, so ist er genauso sicher oder unsicher wie alles andere, also auch das Update direkt. Ich habe somit keinen Sicherheitsgewinn.
Dem muss ich widersprechen. Die Signatur geht gerade nicht aus dem öffentlichen Schlüssel hervor, um zusätzliche Sicherheit bei der Identität des Schlüsselinhabers gewährleisten. Die Sigantur kann nur vom Inhaber des (zu diesem öffentlichen Schlüssel gehörendem) privaten Schlüssels erzeugt werden. Also stellt das auf jeden Fall einen Sicherheitsgewinn dar!
Erzeugt werden. Ja. Weiß ich. Aber wie kann ich überprüfen, ob es der richtige ist. Ich, der natürlich nicht den privaten Schlüssel von SuSE habe? Doch mit dem öffentlichen. Aber den habe ich auch nicht.
auf der Homepage, auf der CD/DVD. Bis denne, Michael -- ---------------------------------------------------------- Michael Schulz, Institut f. Geophysik, Universität Münster Corrensstr. 24, 48149 Münster Tel.: 0251-8333938, e-mail: michael@earth.uni-muenster.de
Hallo Michael, * Michael Schulz schrieb am 10.Jun.2002: [öffentlicher GPG-Schlüssel]
auf der Homepage, auf der CD/DVD.
CD/DVD ist ein Argument. Homepage aber nicht. Wenn es nicht zuverlässig ist, daß das Heruntergeladene tatsächlich von SuSE ist, dann ist es auch nicht zuverlässig, daß der Schlüssel auf der Homepage stimmt. Bernd -- Bitte die Etikette beachten: http://www.suse-etikette.de.vu/etikette.html Bitte Realnamen angeben, kein Vollquoting, kein Html, PGP oder Visitenkarten benutzen. Signatur mit "-- " abtrennen, bei Antworten "Re: " voranstellen, sonst nichts. |Zufallssignatur 4
Am Montag, 10. Juni 2002 17:49 schrieb Bernd Brodesser:
* Michael Schulz schrieb am 10.Jun.2002:
auf der Homepage, auf der CD/DVD.
CD/DVD ist ein Argument. Homepage aber nicht. Wenn es nicht zuverlässig ist, daß das Heruntergeladene tatsächlich von SuSE ist, dann ist es auch nicht zuverlässig, daß der Schlüssel auf der Homepage stimmt.
Auch die Homepage ist ein Argument, immerhin werden öffentliche Schlüssel in aller Regel signiert (bin jetzt zu Faul, nachzuschaun, ob der von SuSE auch, wer will 'gpg --list-sigs'). Wenn Key xyz also ne Signatur (sprich Bestätigung der Echtheit) von einer vertrauenswürdigen Stelle hat, hat das durchaus was auszusagen. Natürlich bringt es mir nichts, wenn (frei Erfunden) Heinz Dietrich auch Hamburg, den ich nie selbst getroffen habe, mir seinen Key auf der Homepage oder per Mail anbietet, wenn der von seiner kleinen Schwester und einem Freund unterschrieben ist, die ich wiederum beide nicht kenne. Wenn allerdings ein zertifiziertes TrustCenter den Segen drunterklatscht, oder eine Institution wie der Heise-Verlag (Heise Crypto-Kampagne), dann hat das für mich einen Echtheitswert. -- Machs gut | http://www.iiv.de/schwinde/buerger/tremmel/ Manfred | http://www.knightsoft-net.de
Am Montag, 10. Juni 2002 22:26:22 schrieb Manfred Tremmel:
Wenn Key xyz also ne Signatur (sprich Bestätigung der Echtheit) von einer vertrauenswürdigen Stelle hat, hat das durchaus was auszusagen. Natürlich bringt es mir nichts, wenn (frei Erfunden) Heinz Dietrich auch Hamburg, den ich nie selbst getroffen habe, mir seinen Key auf der Homepage oder per Mail anbietet, wenn der von seiner kleinen Schwester und einem Freund unterschrieben ist, die ich wiederum beide nicht kenne. Wenn allerdings ein zertifiziertes TrustCenter den Segen drunterklatscht, oder eine Institution wie der Heise-Verlag (Heise Crypto-Kampagne), dann hat das für mich einen Echtheitswert.
Aber nur, wenn du den Schlüssel, mit dem Heise unterzeichnet hat einwandfrei verifizieren kannst. Und das geht nur über den Fingerabdruck des Schlüssels. Also doch mal bei Heinz Heise anrufen. Mich hält ja nichts davon ab, ein paar Schlüssel zu generieren, deren Eigentümer ich als Verisign, RSA Data Security oder Thawte ausgebe. Allein dass der Schlüssel signiert ist, sagt _nichts_ aus. Martin -- when in danger or in doubt, run in circles, scream and shout! pgp-key: via wwwkeys.de.pgp.net, key id is 0x21eec9b0
On Tue, 11 Jun 2002 at 19:13 (+0200), Martin Borchert wrote:
Am Montag, 10. Juni 2002 22:26:22 schrieb Manfred Tremmel:
Wenn Key xyz also ne Signatur (sprich Bestätigung der Echtheit) von einer vertrauenswürdigen Stelle hat, hat das durchaus was auszusagen. Natürlich bringt es mir nichts, wenn (frei Erfunden) Heinz Dietrich auch Hamburg, den ich nie selbst getroffen habe, mir seinen Key auf der Homepage oder per Mail anbietet, wenn der von seiner kleinen Schwester und einem Freund unterschrieben ist, die ich wiederum beide nicht kenne. Wenn allerdings ein zertifiziertes TrustCenter den Segen drunterklatscht, oder eine Institution wie der Heise-Verlag (Heise Crypto-Kampagne), dann hat das für mich einen Echtheitswert.
Aber nur, wenn du den Schlüssel, mit dem Heise unterzeichnet hat einwandfrei verifizieren kannst. Und das geht nur über den Fingerabdruck des Schlüssels. Also doch mal bei Heinz Heise anrufen.
Der Fingerabdruck findet sich in jeder c't, da brauchst Du nicht bei Heise anzurufen. Und gefälschte c'ts in den Umlauf zu bringen dürfte _ziemlich_ aufwendig sein. In der aktuellen 12/2002 auf Seite 14. Ansonsten hast Du natürlich recht. ACK. Gruß, Bernhard -- The feature you'd like to have is probably already installed on your Linux system.
Am Dienstag, 11. Juni 2002 19:48:19 schrieb Bernhard Walle:
On Tue, 11 Jun 2002 at 19:13 (+0200), Martin Borchert wrote:
Am Montag, 10. Juni 2002 22:26:22 schrieb Manfred Tremmel:
Wenn Key xyz also ne Signatur (sprich Bestätigung der Echtheit) von einer vertrauenswürdigen Stelle hat, hat das durchaus was auszusagen. Aber nur, wenn du den Schlüssel, mit dem Heise unterzeichnet hat einwandfrei verifizieren kannst. Und das geht nur über den Fingerabdruck des Schlüssels. Also doch mal bei Heinz Heise anrufen. Der Fingerabdruck findet sich in jeder c't, da brauchst Du nicht bei Heise anzurufen. Und gefälschte c'ts in den Umlauf zu bringen dürfte _ziemlich_ aufwendig sein. In der aktuellen 12/2002 auf Seite 14.
Ok, ich lese keine c't. Ich wollte nur klarstellen, dass ein Schlüssel nicht vertrauenswürdig ist, nur weil er - von wem auch immer - signiert ist. Aber wir scheinen uns da ja einig zu sein. Martin -- when in danger or in doubt, run in circles, scream and shout! pgp-key: via wwwkeys.de.pgp.net, key id is 0x21eec9b0
* Manfred Tremmel schrieb am 10.Jun.2002:
Am Montag, 10. Juni 2002 17:49 schrieb Bernd Brodesser:
* Michael Schulz schrieb am 10.Jun.2002:
auf der Homepage, auf der CD/DVD.
CD/DVD ist ein Argument. Homepage aber nicht. Wenn es nicht zuverlässig ist, daß das Heruntergeladene tatsächlich von SuSE ist, dann ist es auch nicht zuverlässig, daß der Schlüssel auf der Homepage stimmt.
Auch die Homepage ist ein Argument, immerhin werden öffentliche Schlüssel in aller Regel signiert (bin jetzt zu Faul, nachzuschaun, ob der von SuSE auch, wer will 'gpg --list-sigs'). Wenn Key xyz also ne Signatur (sprich Bestätigung der Echtheit) von einer vertrauenswürdigen Stelle hat, hat das durchaus was auszusagen. Natürlich bringt es mir nichts, wenn (frei Erfunden) Heinz Dietrich auch Hamburg, den ich nie selbst getroffen habe, mir seinen Key auf der Homepage oder per Mail anbietet, wenn der von seiner kleinen Schwester und einem Freund unterschrieben ist, die ich wiederum beide nicht kenne. Wenn allerdings ein zertifiziertes TrustCenter den Segen drunterklatscht, oder eine Institution wie der Heise-Verlag (Heise Crypto-Kampagne), dann hat das für mich einen Echtheitswert.
Ich will ja nicht nerven, aber woher weiß ich, daß das Zertifikat von Heise Echt ist? Solange ich alles nur über das Internet habe, bringt es das nicht. Und Anrufe kann man sich auch sparen, wenn man den Angerufenen nicht kennt, und somit auch nicht seine Stimme. Bernd -- Bei Fragen an die Liste erst mal nachschauen, ob es diese Frage nicht schon einmal gegeben hat. Ein Archiv der Liste findest Du auf: http://lists.suse.com/archives/suse-linux |Zufallssignatur 7
Hallo Bernd, at Tue, 11 Jun 2002 20:50:28 +0200 Bernd Brodesser wrote:
* Manfred Tremmel schrieb am 10.Jun.2002:
Am Montag, 10. Juni 2002 17:49 schrieb Bernd Brodesser:
* Michael Schulz schrieb am 10.Jun.2002:
auf der Homepage, auf der CD/DVD.
CD/DVD ist ein Argument. Homepage aber nicht. Wenn es nicht zuverlässig ist, daß das Heruntergeladene tatsächlich von SuSE ist, dann ist es auch nicht zuverlässig, daß der Schlüssel auf der Homepage stimmt.
Wenn allerdings ein zertifiziertes TrustCenter den Segen drunterklatscht, oder eine Institution wie der Heise-Verlag (Heise Crypto-Kampagne), dann hat das für mich einen Echtheitswert.
Ich will ja nicht nerven, aber woher weiß ich, daß das Zertifikat von Heise Echt ist? Solange ich alles nur über das Internet habe,
Soweit ich weiss, "unterschreibt" Heise den Schlüssel nur persönlich. D.h. auf Messen o.ä. Ich werd demnächst zu denen in die Redaktion fahren, um meinen Schlüssel von denen Signieren lassen. Übers Internet machen die es definitiv nicht. Bye Michael -- Bugs come in through open Windows. Registered Linux User #228306 ICQ #151172379 http://counter.li.org GNU GPG-Key ID 0140F88B
Am Dienstag, 11. Juni 2002 23:58:23 schrieb Michael Raab:
Soweit ich weiss, "unterschreibt" Heise den Schlüssel nur persönlich. D.h. auf Messen o.ä. Ich werd demnächst zu denen in die Redaktion fahren, um meinen Schlüssel von denen Signieren lassen. Übers Internet machen die es definitiv nicht.
Das Problem ist aber folgendes: Heise unterschreibt mit der User-ID ct magazine CERTIFICATE <pgpCA@ct.heise.de> Und es hindert mich _niemand_, einen Schlüssel mit der gleichen User-ID zu erzeugen und meinen Schlüssel damit selbst zu signieren. Damit sieht es auf den ersten Blick ok aus. Die key-ID B3B2A12C kann ich möglicherweise auch fälschen - ich weiß spontan nicht, wie die ermittelt wird. Der einzig sichere Weg ist also, den Fingerabdruck zu überprüfen. Martin -- when in danger or in doubt, run in circles, scream and shout! pgp-key: via wwwkeys.de.pgp.net, key id is 0x21eec9b0
Hallo Martin, at Wed, 12 Jun 2002 00:37:21 +0200 Martin Borchert wrote:
Am Dienstag, 11. Juni 2002 23:58:23 schrieb Michael Raab:
Soweit ich weiss, "unterschreibt" Heise den Schlüssel nur persönlich.
Das Problem ist aber folgendes:
Heise unterschreibt mit der User-ID
ct magazine CERTIFICATE <pgpCA@ct.heise.de>
Und es hindert mich _niemand_, einen Schlüssel mit der gleichen User-ID zu erzeugen und meinen Schlüssel damit selbst zu signieren. Damit sieht es auf den ersten Blick ok aus.
Ich kann Deine reale Unterschrift auch fälschen. Die sieht dann auf den ersten Blick dann auch Ok aus. Gruß Michael -- Coming soon: Visual Edlin for Windows. Registered Linux User #228306 ICQ #151172379 http://counter.li.org GNU GPG-Key ID 0140F88B
Am Dienstag, 11. Juni 2002 20:50:20 schrieb Bernd Brodesser:
* Manfred Tremmel schrieb am 10.Jun.2002:
Am Montag, 10. Juni 2002 17:49 schrieb Bernd Brodesser:
Auch die Homepage ist ein Argument, immerhin werden öffentliche Schlüssel in aller Regel signiert (bin jetzt zu Faul, nachzuschaun, ob der von SuSE auch, wer will 'gpg --list-sigs'). Wenn Key xyz also ne Signatur (sprich Bestätigung der Echtheit) von einer vertrauenswürdigen Stelle hat, hat das durchaus was auszusagen. Natürlich bringt es mir nichts, wenn (frei Erfunden) Heinz Dietrich auch Hamburg, den ich nie selbst getroffen habe, mir seinen Key auf der Homepage oder per Mail anbietet, wenn der von seiner kleinen Schwester und einem Freund unterschrieben ist, die ich wiederum beide nicht kenne. Wenn allerdings ein zertifiziertes TrustCenter den Segen drunterklatscht, oder eine Institution wie der Heise-Verlag (Heise Crypto-Kampagne), dann hat das für mich einen Echtheitswert. Ich will ja nicht nerven, aber woher weiß ich, daß das Zertifikat von Heise Echt ist? Solange ich alles nur über das Internet habe, bringt es das nicht. Und Anrufe kann man sich auch sparen, wenn man den Angerufenen nicht kennt, und somit auch nicht seine Stimme.
Da stellt sich natürlich die Frage, wie paranoid du bist. Bei Heise erledigt sich das wohl, da - wie Bernhard geschrieben hat - der Fingerabdruck in der c't veröffentlicht wird. Aber Vorsicht. Wenn du die c't abonniert hast, hat dir vielleicht jemand ein gefälschtes Exemplar untergejubelt. Wenn du sie dir am Kiosk holst, ist die Gefahr relativ gering. Im Zweifelsfall also neu kaufen. Bei SuSE ist der key wohl irgendwo auf den CDs drauf, sollte sich also besorgen lassen. CDs zu fälschen ist auch kein so leichtes Unterfangen. Und was das Anrufen angeht: Wenn du im Telefonbuch die Nummer des Unterzeichners suchst und diesen dann anrufst, statt des Unterzeichners aber den Angreifer dran hast, hat der entweder das Telefonbuch gefälscht und in Umlauf gebracht, die Telefonleitung umgelegt oder der Unterzeichner existiert nicht mehr. In allen drei Fällen hast du glaube ich ohnehin erhebliche Probleme, sodass ein gefälschtes rpm den Kohl auch nicht mehr fett macht. ;) Martin -- when in danger or in doubt, run in circles, scream and shout! pgp-key: via wwwkeys.de.pgp.net, key id is 0x21eec9b0
* Martin Borchert schrieb am 12.Jun.2002:
Da stellt sich natürlich die Frage, wie paranoid du bist.
Ich bin nicht sonderlich paranoid. Aber ich kann mir auch nicht vorstellen, daß ein feindlicher Dienst bereit ist mehere Millionen Euro auszugeben, um mich auszuspionieren. Anderen ergeht es da anders. Dienste geben locker mal hunderte von Millionen Euro aus, um ein Unternehmen, oder was auch immer, auszuspionieren. Wenn man das bedenkt, dann ist das alles nicht mehr ganz so paranoid, sondern eine reale Gefahr.
Bei Heise erledigt sich das wohl, da - wie Bernhard geschrieben hat - der Fingerabdruck in der c't veröffentlicht wird. Aber Vorsicht. Wenn du die c't abonniert hast, hat dir vielleicht jemand ein gefälschtes Exemplar untergejubelt. Wenn du sie dir am Kiosk holst, ist die Gefahr relativ gering. Im Zweifelsfall also neu kaufen.
Zum Beispiel. Und man muß auch bedenken, daß der Fingerprint nun mal weit unsicherer ist, als der komplette Schlüssel. Man hat nicht mehr die Sicherheit des gpg-Verfahrens.
Bei SuSE ist der key wohl irgendwo auf den CDs drauf, sollte sich also besorgen lassen. CDs zu fälschen ist auch kein so leichtes Unterfangen. Und was das Anrufen angeht: Wenn du im Telefonbuch die
Eine CD zu fälschen ist nun wirklich kein Problem.
Nummer des Unterzeichners suchst und diesen dann anrufst, statt des Unterzeichners aber den Angreifer dran hast, hat der entweder das Telefonbuch gefälscht und in Umlauf gebracht, die Telefonleitung umgelegt oder der Unterzeichner existiert nicht mehr. In allen drei
Telefonleitungen anzapfen ist ebenfalls kein Problem.
Fällen hast du glaube ich ohnehin erhebliche Probleme, sodass ein gefälschtes rpm den Kohl auch nicht mehr fett macht. ;)
Aber genau darum geht es doch. Warum also den ganzen Aufwand? Wenn der Aufwand zu groß ist, Telefonleitungen anzuzapfen usw. dann ist auch der Aufwand zu groß, sich irgendwo im Internet einzuklemmen, Adressen zu fälschen und eine verseuchte Software anzubieten. Viel wahrscheinlicher ist es, daß jemand gefälschte CDs weitergibt. Oder Trojaner selber anbietet. Wer überprüft schon jede Software? Es genügt doch eine einzige. Und dann? Wenn der Trojaner gut ist, merkt man nicht, daß er existiert. Ein Virus, der erkennbaren Schaden anrichtet ist nicht wirklich gut. Viel gefährlicher sind Viren, die man nicht bemerkt, sich gut verbreiten, und heimlich Daten sammelt und versendet. Bernd -- Probleme mit dem Drucker? Schon die Druckercheckliste beachtet? http://localhost/doc/sdb/de/html/drucker-howto.html | Auch lesenswert: Oder schon das Drucker-HOWTO gelesen? | man lpr file://usr/shar/doc/howto/de/DE-Drucker-HOWTO.txt.gz | Zufallssignatur 3
Am Mittwoch, 12. Juni 2002 10:13:10 schrieb Bernd Brodesser:
* Martin Borchert schrieb am 12.Jun.2002:
Da stellt sich natürlich die Frage, wie paranoid du bist. Ich bin nicht sonderlich paranoid. Aber ich kann mir auch nicht vorstellen, daß ein feindlicher Dienst bereit ist mehere Millionen Euro auszugeben, um mich auszuspionieren. Anderen ergeht es da anders. Dienste geben locker mal hunderte von Millionen Euro aus, um ein Unternehmen, oder was auch immer, auszuspionieren.
Richtig. Wenn du aber jemand derart wichtiges bist, benutzt du auch entsprechende Gegenmaßnahmen. Persönliche Schlüsselübergabe mit Vergleich des genetischen Fingerabdrucks. Laptop lässt sich nur starten, wenn du eine Blutprobe in den Scanner tust (wobei natürlich keine Stresshormone oder Betäubungsmittel in der Probe auftauchen dürfen). Bei falscher identifizierung vernichtet sich die Kiste selbst. Du hast eine Kompanie Bodyguards, die allesamt nichts lieber tun würden, als ihr Leben für dich zu geben, etc...
Bei Heise erledigt sich das wohl, da - wie Bernhard geschrieben hat - der Fingerabdruck in der c't veröffentlicht wird. Aber Vorsicht. Wenn du die c't abonniert hast, hat dir vielleicht jemand ein gefälschtes Exemplar untergejubelt. Wenn du sie dir am Kiosk holst, ist die Gefahr relativ gering. Im Zweifelsfall also neu kaufen. Zum Beispiel. Und man muß auch bedenken, daß der Fingerprint nun mal weit unsicherer ist, als der komplette Schlüssel. Man hat nicht mehr die Sicherheit des gpg-Verfahrens.
Moment, der Fingerprint ist soweit ich weiß eine SHA-1-Hash-Funktion des Schlüssels. Ergo mit hinreichender Sicherheit nicht zu fälschen: <QUOTE source="http://www.itl.nist.gov/fipspubs/fip180-1.htm">The SHA-1 is called secure because it is computationally infeasible to find a message which corresponds to a given message digest, or to find two different messages which produce the same message digest.</QUOTE>
[Schlüssel auf CD] Eine CD zu fälschen ist nun wirklich kein Problem. [Vergleich per Telefonanruf] Telefonleitungen anzapfen ist ebenfalls kein Problem.
Es gibt noch einige Möglichkeiten mehr, den Schlüssel zu validieren (z.B. Keyserver unterschiedlicher Betreiber). Der Angreifer muss _alle_ diese Möglichkeiten manipulieren. Irgendwo auf diesem Weg fängt für mich Paranoia an.
Fällen hast du glaube ich ohnehin erhebliche Probleme, sodass ein gefälschtes rpm den Kohl auch nicht mehr fett macht. ;) Aber genau darum geht es doch. Warum also den ganzen Aufwand? Wenn der Aufwand zu groß ist, Telefonleitungen anzuzapfen usw. dann ist auch der Aufwand zu groß, sich irgendwo im Internet einzuklemmen, Adressen zu fälschen und eine verseuchte Software anzubieten. Viel wahrscheinlicher ist es, daß jemand gefälschte CDs weitergibt. Oder Trojaner selber anbietet. Wer überprüft schon jede Software? Es genügt doch eine einzige. Und dann? Wenn der Trojaner gut ist, merkt man nicht, daß er existiert. Ein Virus, der erkennbaren Schaden anrichtet ist nicht wirklich gut. Viel gefährlicher sind Viren, die man nicht bemerkt, sich gut verbreiten, und heimlich Daten sammelt und versendet.
Na das ist doch mein Reden. Dafür gibt es Policies. Du definierst für dich (oder dein Unternehmen oder deine Kinder oder weiß der Geier was), was Sicherheit bedeutet und wie sie umgesetzt wird. Bei mir heißt das z.B., dass _jedes_ Paket, das eingespielt wird, schlüsseltechnisch untersucht wird. Wenn ich Software auf nicht vertrauenswürdiger Quelle installieren muss, tue ich das nicht als root, sondern als Benutzer test. Benutzerumschaltung ist ja nun unter Linux kein Problem. Die Frage ist dann wieder, wem du vertraust. Den Leuten von kernel.org? Den Mitarbeitern von SuSE? Dem Hacker aus Novosibirsk, der aus dem mplayer noch 2% Performance herauskitzelt? Du musst abwägen zwischen Sicherheit und Komfort. Ein paar grundlegende Dinge sind mit minimalen Komforteinbußen verbunden. Z.B. nicht als root zu arbeiten. Andere machen das Leben schwieriger. Es gibt Leute, die benutzen nur selbstkompilierte Software. Auch aus Sicherheitsgründen. Vielleicht gibt es auch Leute, die lesen sich den Quellcode jedes Programmes erstmal durch, das sie installieren. Imo Paranoia. In dem gesamten Gebäude "Sicherheit" ist gpg dann aber nur noch ein kleiner Baustein. Die Grundregel muss es sein, es einem Angreifer so schwer zu machen, dass sich der Aufwand für einen Angriff nicht mehr lohnt. Und das schaffst du, um zu dem Beispiel zurückzukommen, in meinen Augen ganz gut, indem du jede Software eier Prüfung unterziehst. Und sei es nur, indem du md5-Summe oder gpg-Schlüssel überprüfst. Scheiße ist das viel geworden... Sorry. Martin -- when in danger or in doubt, run in circles, scream and shout! pgp-key: via wwwkeys.de.pgp.net, key id is 0x21eec9b0
On Wed, 12 Jun 2002 at 00:31 (+0200), Martin Borchert wrote:
Am Dienstag, 11. Juni 2002 20:50:20 schrieb Bernd Brodesser:
* Manfred Tremmel schrieb am 10.Jun.2002:
Am Montag, 10. Juni 2002 17:49 schrieb Bernd Brodesser:
Auch die Homepage ist ein Argument, immerhin werden öffentliche Schlüssel in aller Regel signiert (bin jetzt zu Faul, nachzuschaun, ob der von SuSE auch, wer will 'gpg --list-sigs'). Wenn Key xyz also ne Signatur (sprich Bestätigung der Echtheit) von einer vertrauenswürdigen Stelle hat, hat das durchaus was auszusagen. Natürlich bringt es mir nichts, wenn (frei Erfunden) Heinz Dietrich auch Hamburg, den ich nie selbst getroffen habe, mir seinen Key auf der Homepage oder per Mail anbietet, wenn der von seiner kleinen Schwester und einem Freund unterschrieben ist, die ich wiederum beide nicht kenne. Wenn allerdings ein zertifiziertes TrustCenter den Segen drunterklatscht, oder eine Institution wie der Heise-Verlag (Heise Crypto-Kampagne), dann hat das für mich einen Echtheitswert. Ich will ja nicht nerven, aber woher weiß ich, daß das Zertifikat von Heise Echt ist? Solange ich alles nur über das Internet habe, bringt es das nicht. Und Anrufe kann man sich auch sparen, wenn man den Angerufenen nicht kennt, und somit auch nicht seine Stimme.
Da stellt sich natürlich die Frage, wie paranoid du bist.
Bei Heise erledigt sich das wohl, da - wie Bernhard geschrieben hat - der Fingerabdruck in der c't veröffentlicht wird. Aber Vorsicht. Wenn du die c't abonniert hast, hat dir vielleicht jemand ein gefälschtes Exemplar untergejubelt. Wenn du sie dir am Kiosk holst, ist die Gefahr relativ gering. Im Zweifelsfall also neu kaufen.
Wozu kaufen, Du brauchst ja nur im Kiosk den Fingerabdruck zu vergleichen. Mal ehrlich: Wenn man eine Zeitschrift abonniert, dann länger. Und wie groß wäre der Aufwand, Dir 24 Ausgaben gefälschte c'ts zu schicken. Zumal der Fälscher verdammt schnell sein muss: Die c't bekommt man, wenn man sie abonniert hat, am Samstag; am Kiosk erst am Montag. D. h. der Fälscher müsste bei Heise arbeiten und gleichzeitig sehr gute Beziehungen zur Post haben. => irrelevant In dem Zusammenhang gilt der Satz "Ein System ist so sicher, wie der Aufwand, es zu knacken in keinem Verhältnis dazu steht, was man davon hat." Ein 100 % sicheres System gibt es schlicht nicht. Gruß, Bernhard -- At least Microsoft offers updates to keep your selection of bugs fresh. -- Alan Shutko, hating Corel even more, in asr
* Bernhard Walle schrieb am 12.Jun.2002:
In dem Zusammenhang gilt der Satz "Ein System ist so sicher, wie der Aufwand, es zu knacken in keinem Verhältnis dazu steht, was man davon hat." Ein 100 % sicheres System gibt es schlicht nicht.
So ist es. Du als Privatperson wirst schon recht sicher sein. Auch ohne GPG. Wer hat schon ein Intresse, Dir fehlerhafte Software unterzuschieben? Leider sieht das Sicherheitsbewußtsein in vielen Unternehmen nicht anders aus. Auch da denken sich viele, wer hat ein Intresse? Aber gleichzeitig arbeiten schon viele hochbezahlte Menchen daran, in deren Rechner einzudringen. Bernd -- ROTFL = Rolling On The Floor, Laughing = Auf dem Boden wälzen, lachend. SCNR = Sorry, Could Not Resist = Sorry, Ich konte nicht wiederstehen. AFAIK = As Far As I Know = So weit ich weis|BTW = By The Way = Nebenbei bemerkt IMHO = In My Humble Opinion = meiner bescheidenen Meinung nach |Zufallssig. 9
Am Mittwoch, 12. Juni 2002 19:36 schrieben Sie:
* Bernhard Walle schrieb am 12.Jun.2002:
In dem Zusammenhang gilt der Satz "Ein System ist so sicher, wie der Aufwand, es zu knacken in keinem Verhältnis dazu steht, was man davon hat." Ein 100 % sicheres System gibt es schlicht nicht.
So ist es. Du als Privatperson wirst schon recht sicher sein. Auch ohne GPG. Wer hat schon ein Intresse, Dir fehlerhafte Software unterzuschieben? Leider sieht das Sicherheitsbewußtsein in vielen Unternehmen nicht anders aus. Auch da denken sich viele, wer hat ein Intresse? Aber gleichzeitig arbeiten schon viele hochbezahlte Menchen daran, in deren Rechner einzudringen.
Aber Du musst doch zugeben, dass die Sicherheit gegen solche Angriffe erheblich zunimmt wenn zusätzlich zum pgp-Schlüssel auch noch Signatur und Fingerprint kommen. Über verschiedene Wege versteht sich. Weil der Aufwand für einen erfolgreichen Angriff auf diesem Wege dann sehr schnell jeden nur erdenklichen "Nutzen" übersteigt. cu Hannes
Ich will ja nicht nerven, aber woher weiß ich, daß das Zertifikat von Heise Echt ist? Solange ich alles nur über das Internet habe, Stimmt nicht, wenn du die Fingerprint Info (oder den Public key)
Am Dienstag, 11. Juni 2002 20:50 schrieb Bernd Brodesser: per https:// vom richtigen http Server und der Inhalt des SSL-Zertifikats dem erwarteten Wert entspricht, ist extrem schwierig, da jemand deinen Browser manipulieren müßte. Aber im Prinzip hast du natürlich Recht. Paranoia kann man etwas weit treiben: -) Anrufen: Kann man wenn man "mächtig" genug ist ja auch abfangen. Woher weißt du das der Richtige auf der anderen Seite sitzt? -) Anrufen: Woher weißt, das nicht jemand einfach die Stimme am anderen Ende fälscht? -) Persönliches Treffen: Woher weißt du das du nicht mit einem Zwilling redest? (Ich bin mit einem Zwilling verheiratet, man kann sie auseinander halten wenn man sie kennt, aber für jemand der sie nicht kennt, ist es kaum möglich.) -) Persönliches Treffen: Woher weißt du das der Ausweis wirklich zur Person gehört und nicht nur einfach das Foto ähnlich ist? -) Alter Freund: Woher weißt du das Peter wirklich Peter ist, und nicht Tommy, der Al Kaida Schläfer der sich für Peter ausgibt?
bringt es das nicht. Und Anrufe kann man sich auch sparen, wenn man den Angerufenen nicht kennt, und somit auch nicht seine Stimme. Siehe oben, die Paranoia kann locker soweit treiben, daß man ohne Probleme auf die Psychatrie kommt.
Wie immer im Bereich der "Sicherheit" haben wir es halt mit Wahrscheinlichkeitsrechnung zu tun. Wenn man die Parameter der Situation kennt, kann man abschätzen wie wahrscheinlich ein Angriff ist und wieviel Resourcen er brauchen täte. Andreas -- Andreas Kostyrka +43 676 4091256 andreas@kostyrka.priv.at andreas@mtg.co.at
Am Dienstag, 11. Juni 2002 20:50 schrieb Bernd Brodesser:
Ich will ja nicht nerven, aber woher weiß ich, daß das Zertifikat von Heise Echt ist? Solange ich alles nur über das Internet habe,
Wenn ich einen Key von irgend einem Typen kriege und mir den Key von Heise von deren Homepage lade und das ganze zusammenpasst hab ich natürlich noch keine 100% Sicherheit, die Wahrscheinlichkeit allerdings, dass die beiden Keys gefälscht sind *und* zusammenpassen dürfte gegen 0 gehen. Wenn ich mir dann noch den Key vom TC TrustCenter in Hamburg von deren Homepage besorge (die haben wiederum den Key von Heise unterschrieben), und der auch noch passt, halte ich es für so gut wie Unmöglich, dass auch der Key noch gefälscht ist. Wenn ich jetzt noch weiß, dass Heise keine Keys ohne persönliche Begutachtung der Person und des Ausweises der Person erteilt, dann kann ich, ohne eine der Keybesitzer persönlich zu kennen, mit (nahezu) 100% Sicherheit sagen dass der Key echt ist.
bringt es das nicht. Und Anrufe kann man sich auch sparen, wenn man den Angerufenen nicht kennt, und somit auch nicht seine Stimme.
Eine 100% Sicherheit hast Du nie, selbst wenn er Dir den Key per Diskette in die Hand drückt, könnte vorher jemand die Disketten vertauscht haben, oder mehrere Bitkipper den Key genau so verfälscht, dass er einem gefakten entspricht, oder ein Virus hat es auf seinem Rechner bereits gefakt, ... -- Machs gut | http://www.iiv.de/schwinde/buerger/tremmel/ Manfred | http://www.knightsoft-net.de
Am Montag, 10. Juni 2002 11:55 schrieb Bernd Brodesser:
* Hannes Vogelmann schrieb am 10.Jun.2002:
Am Montag, 10. Juni 2002 10:03 schrieb Bernd Brodesser:
Und um zu kontrollieren, ob die Signatur wikrlich von SuSE ist, braucht man deren öffentlichen Schlüssel. Nur woher bekomme ich den? Wenn ich den über das Netz bekomme, so ist er genauso sicher oder unsicher wie alles andere, also auch das Update direkt. Ich habe somit keinen Sicherheitsgewinn.
Dem muss ich widersprechen. Die Signatur geht gerade nicht aus dem öffentlichen Schlüssel hervor, um zusätzliche Sicherheit bei der Identität des Schlüsselinhabers gewährleisten. Die Sigantur kann nur vom Inhaber des (zu diesem öffentlichen Schlüssel gehörendem) privaten Schlüssels erzeugt werden. Also stellt das auf jeden Fall einen Sicherheitsgewinn dar!
Erzeugt werden. Ja. Weiß ich. Aber wie kann ich überprüfen, ob es der richtige ist. Ich, der natürlich nicht den privaten Schlüssel von SuSE habe? Doch mit dem öffentlichen. Aber den habe ich auch nicht.
Naja, wenn man den öffentlichen Schlüssel nicht hat, dann ist die Signatur natürlich nicht viel Wert. Aber der öffentliche Schlüssel sollte eben auch öffentlich zugänglich sein und somit könntest Du ihn haben wenn Du wolltest. Sinn macht das natürlich nur, wenn der öffentliche Schlüssel nicht auf dem selben Weg wie die Signatur zu Dir gelangt. Daher holt man sich den öffentlichen Schlüssel am besten von einem keyserver oder lässt ihn sich seperat zustellen und erwartet dann ein signiertes Dokument. Wie z.B. Software von SuSE oder eine eMail von SuSE. Klar, eine absolute Sicherheit bietet das nicht, the man in the middle könnte zuerst SuSEs public kez faken und Dir anschließend eine falsche Signatur unterschieben, in dem er Deine (an Dich adressierte) Post abfängt. Sicherer wird es durch die Signatur im Normalfall aber schon. PGP bietet ja zusätzlich auch noch den fingerprint an, den man am besten persönlich, am Telefon oder per Fax übergibt. Das ist dann schon sehr sicher. Denn den Fingerprint kann the man in the middle dann nicht mehr faken. Wenn alle drei, public key, Signatur und fingerprint zusammenpassen, ist die Sicherheit sehr sehr groß. cu Hannes
On Mon, 10 Jun 2002 at 10:03 (+0200), Bernd Brodesser wrote:
* Karl Karzelek schrieb am 09.Jun.2002:
Das ist der GNU Privacy Guard, das freie Gegenstück zu PGP, Pretty Good Privacy, so heißt das ausgeschrieben glaube ich. Das ist ein Verschlüsselungsprogramm, mit dem du eMails oder Dateien (1)Verschlüsseln oder (2)signieren kannst. Bei (1) werden die eMails oder Dateien so "verunstaltet", dass niemand, der nicht dazu berechtigt ist, und das entsprechende Programm besitzt, diese eMails oder Dateien verwenden/lesen kann. Bei (2) wird an die eMails/Dateien eine Signatur angehängt, eine Art Digitale Unterschrift, mit der man sicherstellen kann, dass diese eMail/Datei auch wirklich von der Person stammt, von der du diese anforderst. SuSE und auch die meisten anderen Distributoren signieren ihre Pakete, damit der Benutzer auch wirklich die Pakete erhält, die der Distributor gebaut hat, und niemand dir irgendwelche gefakten Pakete, mit eventuellen Fehlern/Viren/Sicherheitslücken andreht.
Und um zu kontrollieren, ob die Signatur wikrlich von SuSE ist, braucht man deren öffentlichen Schlüssel. Nur woher bekomme ich den?
Ist der nicht auf den CDs mit drauf. Außerdem: Du kannst z. B. den Fingerprint erzeugen und ggf. telefonisch überprüfen. Dafür ist er ja da. Gruß, Bernhard -- Der Rechner von heute stuerzt ja schon ab, bevor man ihn ueberhaupt eingeschaltet hat. Das ist dann energiesparend und deshalb kein Bug sondern ein Feature.
Hallo Bernhard, at Mon, 10 Jun 2002 17:27:41 +0200 Bernhard Walle wrote:
On Mon, 10 Jun 2002 at 10:03 (+0200), Bernd Brodesser wrote:
Und um zu kontrollieren, ob die Signatur wikrlich von SuSE ist, braucht man deren öffentlichen Schlüssel. Nur woher bekomme ich den?
Ist der nicht auf den CDs mit drauf.
Jepp, isser. Zumindest auf meinen Redhat CD's isser das. RedCarpet prüft nach dem Download die empfangenen Pakete auch. Gruß Michael -- This is an air conditioned room -- do not open Windows! Registered Linux User #228306 ICQ #151172379 http://counter.li.org GNU GPG-Key ID 0140F88B
Guten Tag Detlef Moebus, am Sonntag, 9. Juni 2002 um 22:33 schrieben Sie: DM> Hi ich nochmal DM> Bei Yast gibt es ja das Online-Update, welches automatisiert oder manuel DM> einzelne Updates vom Server holt. Nun, bei jedem Paket erhalte ich die DM> Meldung, daß kein GPG-Paket istaliert ist (was isn das?) oder dass die DM> Patchbeschreibung fehlerhaft ist. Suse kann nicht gerantieren, daß der Patch DM> tatsächlich von Suse stammt. DM> Ist es sinnvoll, die angebotenen Patches installiert werden? DM> Suse 8.0 Pro DM> vielen Dank und nette Grüße DM> Detlef Moebus als root funktioniert das nicht, melde dich normaler User an und rufe dann Yast auf, nach Eingabe des root-Passworts funktionierts dann -- Mit freundlichen Grüssen Kasimir Müller mailto:Kasimir.Mueller@gmx.de
DM> Hi ich nochmal DM> Bei Yast gibt es ja das Online-Update, welches automatisiert oder manuel DM> einzelne Updates vom Server holt. Nun, bei jedem Paket erhalte ich die DM> Meldung, daß kein GPG-Paket istaliert ist (was isn das?) oder dass die DM> Patchbeschreibung fehlerhaft ist. Suse kann nicht gerantieren, daß der Patch DM> tatsächlich von Suse stammt. DM> Ist es sinnvoll, die angebotenen Patches installiert werden?
DM> Suse 8.0 Pro
DM> vielen Dank und nette Grüße
DM> Detlef Moebus
als root funktioniert das nicht, melde dich normaler User an und rufe dann Yast auf, nach Eingabe des root-Passworts funktionierts dann
also unter SuSE 7.2 und 7.3 funktioniert das als root ich habe auch mal diese Fehlermeldungen bekommen nutze dazu einfach einen anderen ftp server dann sollte wieder alles in Butter sein
participants (12)
-
Andreas Kostyrka -
B.Brodesser@t-online.de -
Bernhard Walle -
Detlef Moebus -
Hannes Vogelmann -
Karl Karzelek -
Kasimir Müller -
Manfred Tremmel -
Martin Borchert -
Michael Raab -
Michael Schulz -
Tobias Korb