Re: Private und Public - Key. Welcher Unterschied?
* Thomas Templin schrieb am 16.Apr.2002:
In den Antworten die Du bekommen hast, sind teilweise sehr Verschiedene Aspekte die zum Feld der sicheren Datenkommunikation und authentitäts Verifizierung gehören ohne Rücksicht auf die Zusammenhänge gelistet worden. Ist auch glaube ich ein Feld in dem sich nur wenige wirklich auskennen. Schau einmal auf http://www.gnupp.de/ dort wird das Verfahren der auf key pairs basierenden Verschlüsselung recht anschaulich dargestellt. Allerdings ist die Verschlüsselung nur ein Baustein in einem Konzept der Sicheren Datenübertragung. Man spricht in diesem Zusamenhang auch von einer PKI (Public Key Infrastrukture) Architektur. Durch eine PKI werden verschiedene Aspekte erfüllt. 1. Das abgesicherte verwenden von Schlüsseln, man spricht von Verifizierung. Woher weiss man, das der Schlüssel auch vom Absender stammt? Dazu wird ein sogenannter Hashwert verwendet. Du hast vielleicht schon einmal die *.md5 Dateien gesehen, die auf einigen ftp Servern liegen. Mit dem Programm md5 kannst Du z.B. von jeder x-Beliebigen datei einen Hashwert (das ist dann ein sogenannter md5hash) erstellen. Damit kann man vergleichen ob es sich wirklich um den richtigen Schlüssel/die richtige Datei handelt.
Und was ändert das? Ob ich nun den Schlüssel als ganzes verschicke oder einen hash? Wenn ein Angreifer den ganzen Schlüssel abfangen kann, so auch den hash.
2. Das Erstellen von Schlüsseln durch einen sogenannten CA (Certificate Authority), dem Vertrauen eingeräumt wird. Sprich dem Du vertraust. Dies wird gemacht durch eine Stelle, man kann sich das vorstellen wie eine Bundesbehörde, für die Erteilung von Schlüsseln, ähnlich der Nummer auf deinem Ausweis.
Und wie bekomme ich den Privatschlüssel von denen? Über das Internet? Dann kann der Angreifer das abfangen und mir seinen selbstgenerierten Privatschlüssel zusenden, und er kann meine gesamte Privatmail lesen, weil er ja denn Privatschlüssel der CA hat mit dem er die mail entschlüsselt mit dem Publicschlüssel, die er für mich generiert hat wieder verschlüsselt und ich entschlüssele es mit dem Schlüssel, die er mir geschickt hat in der Annahme, es ist der Schlüssel der CA. Ja, ich weiß alles zimmlich theoretisch, aber wenn man meint, das dies nicht passieren kann, dann braucht man den ganzen Aufwand nicht, dann kann man auch gleich ein Paar generieren und den öffentlichen Schlüssel per Internet selber verteilen. Bernd -- Was ist quoten? Quoten ist das Zitieren aus einer mail, der man antwortet. Und wie macht man es richtig? Zitate werden mit "> " gekennzeichnet. Nicht mehr als nötig zitieren. Vor den Abschnitten das Zitat, auf das man sich bezieht, mit einer Zeile Abstand oben und unten. |Zufallssignatur 12
* Thomas Templin schrieb am 16.Apr.2002:
2. Das Erstellen von Schlüsseln durch einen sogenannten CA (Certificate Authority), dem Vertrauen eingeräumt wird. Sprich dem Du vertraust. Dies wird gemacht durch eine Stelle, man kann sich das vorstellen wie eine Bundesbehörde, für die Erteilung von Schlüsseln, ähnlich der Nummer auf deinem Ausweis. Und wie bekomme ich den Privatschlüssel von denen? Über das Internet? Dann kann der Angreifer das abfangen und mir seinen selbstgenerierten Privatschlüssel zusenden, und er kann meine gesamte Privatmail lesen, weil er ja denn Privatschlüssel der CA hat mit dem er die mail entschlüsselt mit dem Publicschlüssel, die er für mich generiert hat wieder verschlüsselt und ich entschlüssele es mit dem Schlüssel, die er mir geschickt hat in der Annahme, es ist der Schlüssel der CA. Der Schlüssel muß ja nicht wirklich von der CA erstellt werden. Ein selbst erstellter Schlüssel, den zB. die c't beglaubigt hat, würde ich
Moin,
* Bernd Brodesser
* Thorsten Haude schrieb am 16.Apr.2002:
Der Schlüssel muß ja nicht wirklich von der CA erstellt werden. Ein selbst erstellter Schlüssel, den zB. die c't beglaubigt hat, würde ich trauen, weil ich a) schonmal beobachten durfte, wie pingelig die Leute von der c't vorgehen. b) ich den Schlüssel der c't mit dem in jedem Heft abgedruckten Fingerprint selbst beglaubigen kann.
Das ist das entscheidende, aus der c't, das ist ein anderer Weg als das Internet. Es müßte sogar eine c't sein, die man aus dem Kiosk gekauft hat, wenn es die ist, die man zugesand bekommen hat, so könnte jemand die abgefangen haben und durch einen Nachdruck mit falschem Fingerprint ersetzt haben. Ist das jetzt zu Paranoid? Bei Dir und mir sicherlich, aber wenn es um geltwerte Informationen im sieben bis achtstelligen Eurobereich geht, dann ist so ein Aufwand schon zu befürchten. Bernd -- Bei Fragen an die Liste erst mal nachschauen, ob es diese Frage nicht schon einmal gegeben hat. Ein Archiv der Liste findest Du auf: http://lists.suse.com/archives/suse-linux |Zufallssignatur 7
Moin,
* Bernd Brodesser
* Thorsten Haude schrieb am 16.Apr.2002:
Der Schlüssel muß ja nicht wirklich von der CA erstellt werden. Ein selbst erstellter Schlüssel, den zB. die c't beglaubigt hat, würde ich trauen, weil ich a) schonmal beobachten durfte, wie pingelig die Leute von der c't vorgehen. b) ich den Schlüssel der c't mit dem in jedem Heft abgedruckten Fingerprint selbst beglaubigen kann. Das ist das entscheidende, aus der c't, das ist ein anderer Weg als das Internet. Es müßte sogar eine c't sein, die man aus dem Kiosk gekauft hat, wenn es die ist, die man zugesand bekommen hat, so könnte jemand die abgefangen haben und durch einen Nachdruck mit falschem Fingerprint ersetzt haben.
Ist das jetzt zu Paranoid? Bei Dir und mir sicherlich, aber wenn es um geltwerte Informationen im sieben bis achtstelligen Eurobereich geht, dann ist so ein Aufwand schon zu befürchten. Insgesamt klingt das etwas zu paranoid, weil hier kaum jemand diese Ansprüche haben dürfte. Man kann die Beglaubigung und das Web of Trust sehr wohl handhaben, ohne sich ein Arm dabei auszureißen.
Thorsten -- They that can give up essential liberty to obtain a little temporary safety deserve neither liberty nor safety. - Benjamin Franklin
participants (2)
-
B.Brodesser@t-online.de -
Thorsten Haude