PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : PGP-Sicherheit Heute - macht das Sinn?



NiceDay
05.11.2005, 15:51
Moin.
Also ich habe mir auch mittels Kgpg nen PGP-Key machen lassen und verwende diesen per Enigmail im Thunderbird. Bloß... macht das wirklich Sinn?
Denn wenn jetzt jemand kein PGP-Plugin in seinem Clienten drinne hat dann kann er die Mail von mir ja gar nicht entziffern, denkt vielleicht noch es wäre Spam und schmeißt sie weg...
Aber woher soll ich denn bitte wissen ob der Gegenüber so nen Plugin installiert hat od nich?

Also macht das Heute auch noch nicht weniger Sinn als wie vor 2 Jahren (habe mal bisserl das Archib gewältzt^^) ?

Danke.

schwedenmann
05.11.2005, 15:57
Hallo


Man braucht doch keinplugin, um die Mails zu entschlüseln, das geht zur Not doch über die Zwischenablage. Ob dein gegenüber pgp benutzt, kannst du natürlich icht wissen. Das funktioneirt nur, wenn du das von anderen Seite weißt, oder ihr euch abgesprochen habt, und die Schlüssel ausgetauscht habt.

Mfg
schwedenmann

NiceDay
05.11.2005, 16:27
Das ist natürlich dumm, gerade wenn man mit jmd. das erste Mal Kontakt hat oder nur einmalig, z.B. mit ner Behörde, Sparkasse oder sonstige Verwaltungen oder Info-Adressen.
Wenn ich mit wem jeden Tag schreibe kann ich das natürlich abklären. Also immer noch so sehr praxisfern, gerade weil die meisten ja doch eh keine Verschlüsselung o.ä. verwenden oder sich gar nicht damit auskennen...

hex
05.11.2005, 16:32
Interessant bei GnuPG oder ähnliches ist die Signierung von Mails, mit deren Hilfe
du den Absender eindeutig erkennt kannst. Du lässt die den Public Key von deinem
Gegenüber geben und setzt diesen Schlüssel auf "vertrauenswürdig". Wenn er dann
eine wichtige E-Mail schreibt kann er sie signieren und du kannst die dann sicher
sein, dass der Inhalt nicht verfälscht wurde. Sollte die E-Mail verfälscht worden
sein ergibt die Kombination des mitgeschickten Hash-Codes, der vom Absender
mit Hilfe des Private Key generiert wurde plus den Public Key, in dessen Besitz
du sein solltest einen falschen Wert und dein Plugin erkennt, dass die E-Mail
verfälscht wurde.

Verschlüsselung macht nur Sinn, wenn das Gegenüber die gleiche Ausstattung an
E-Mail-Programm-Plugins, etc. hat und der E-Mail Verkehr sehr geheim sein soll!


mfg hex

pinky
05.11.2005, 16:41
@NiceDay: Du kannst an einen Empfänger nur verschlüsseln, wenn du seinen public-key hast. Wenn du also von Person A einen public-key hast, dann kannst du wohl auch davon ausgehen das er mit gnupg-mails umgehen kann. Hast du keinen public-key kannst du ihm eh nichts verschlüsseltes schicken.

NiceDay
05.11.2005, 16:45
@NiceDay: Du kannst an einen Empfänger nur verschlüsseln, wenn du seinen public-key hast. Wenn du also von Person A einen public-key hast, dann kannst du wohl auch davon ausgehen das er mit gnupg-mails umgehen kann. Hast du keinen public-key kannst du ihm eh nichts verschlüsseltes schicken.
Das würde Sinn machen, ja. Gut dann muss ich immer schauen ob wer seinen Key auf der Website anbietet oder nicht. Wenn nicht dann kann er wohl nich mit umgehen oder möchte ne normale Nachricht erhalten.

qmasterrr
05.11.2005, 17:20
Das Schlagwort ist Keyserver

gpg --keyserver wwwkeys.de.pgp.net --search-keys $SUCHWORT

NiceDay
05.11.2005, 17:55
Das Schlagwort ist Keyserver

gpg --keyserver wwwkeys.de.pgp.net --search-keys $SUCHWORT
Und was wenn wer seinen Key nicht auf diesem Server hat sondern auf nem anderen? Müsste man den anderen ja dann kennen um dort nach nem Key zu suchen oder?

Graf_Ithaka
05.11.2005, 19:12
Und was wenn wer seinen Key nicht auf diesem Server hat sondern auf nem anderen? Müsste man den anderen ja dann kennen um dort nach nem Key zu suchen oder?


Ja genau das ist der Knackpunkt, ich bekomme manchmal mails mit gpg verschluesselt, kmail zeigt diese an, aber mit einem gelben Hintergrund. Haette ich den Schluessel koennte ich sie entschluesseln, aber ich weiss nicht auf welchem Server der Gegenüber seinen key geladen hat.. Gibts sowas wie einen zentralen Server der alle vernetzt? Ich mein, ich kann einfach nachfragen in dem Fall, aber prinzipiell gemeint..

MfG,
Graf_Ithaka

schwedenmann
05.11.2005, 19:54
Hallo


Ob die vernetzt sind kann ich nicht sagen, es bleibt aber das problem, daß wahrscheinlich eine Menge user ihren Key gar nicht hochgeladen haben, dafür aber auf ihrer HP abgelegt haben. Beides zusammen macht ja Sinn, aber auf der HP nicht.

Mfg
schwedenmann

Bâshgob
05.11.2005, 21:31
Huhu!

AFAIK gleichen die meisten Keyserver wohl ab. Probiers mal aus: Lade deinen öffentlichen Schlüssel auf irgendeinen Keyserver und schau nach einiger Zeit mal nach dem auf einem anderen Server.

qmasterrr
06.11.2005, 09:13
Aus der man von GPG

Most keyservers synchronize with each other, so there is gen-
erally no need to send keys to more than one server. The
keyserver "hkp://subkeys.pgp.net" uses round robin DNS to
give a different keyserver each time you use it.

NiceDay
06.11.2005, 09:55
Aus der man von GPG

Most keyservers synchronize with each other, so there is gen-
erally no need to send keys to more than one server. The
keyserver "hkp://subkeys.pgp.net" uses round robin DNS to
give a different keyserver each time you use it.
Danke dir ;)

Graf_Ithaka
06.11.2005, 10:08
Aus der man von GPG

Most keyservers synchronize with each other, so there is gen-
erally no need to send keys to more than one server. The
keyserver "hkp://subkeys.pgp.net" uses round robin DNS to
give a different keyserver each time you use it.


Okay, danke!! Das kommt davon, dass ich die man-pages immer nur überfliege..

MfG,
Graf_Ithaka