GnuPG - public key austausch

U

ucell

Grünschnabel
Hallo,
ich habe mit meinem Mailprogramm nun GnuPG eingerichtet. Ein Freund hat mir dabei seinen Public Key als Mailanhang geschickt. Nun meine Frage: Ist das nicht gefährlich, den öffentlichen Schlüssel als Anhang zu schicken? Theoretisch könnte ja bei GMX ein bösewicht hocken, seinen public key gegen den eigenen austauschen und so ständig unsere konversationen abhören?!
Gruß
 
auf Wikipedia war wohl nun der interessante Textauszug:
Es gibt immer noch das Verteilungsproblem mit dem sogenannten Man-In-The-Middle-Angriff. Dabei entsteht die Frage: Ist der öffentliche Schlüssel tatsächlich echt? Ein Angreifer der zwischen zwei Parteien sitzt, sendet beiden Parteien seinen öffentlichen Schlüssel und behauptet dabei, es sei der Schlüssel des jeweils anderen. Dann entschlüsselt die Nachricht mit seinem eigenen privaten Schlüssel, verschlüsselt die Nachricht mit dem öffentlichen Schlüssel des eigentlichen Empfängers wieder und sendet sie weiter. Dieses Problem wird mit Hilfe von vertrauenswürdigen Zertifizierungsstellen gelöst.
Also war der Schlüsselaustausch als E-Mailanhang vorhin nicht sicher (wir hatten ja keine "vertrauenswürdige Zertifizierungsstelle"). Schade, dass das nicht auf den Seiten mit den Anleitungen stand :(
Vielen Dank für eure Hilfe :)
 
auf Wikipedia war wohl nun der interessante Textauszug:

Also war der Schlüsselaustausch als E-Mailanhang vorhin nicht sicher (wir hatten ja keine "vertrauenswürdige Zertifizierungsstelle"). Schade, dass das nicht auf den Seiten mit den Anleitungen stand :(
Vielen Dank für eure Hilfe :)

Wenn man sich mit dem Thema beschaeftigt, muesste man eigentlich recht schnell auf das Schlagwort 'Schluessel-Party' stossen, auf denen sich Leute leibhaftig treffen, um ihre Schluessel auszutauschen. Und wenn Du einen Schluessel mit gnupg importierst, wirst Du doch eigentlich auch gefragt, wie sehr Du der Quelle vertraust - ein weiterer Hinweis auf die von Dir angesprochene Sicherheitsluecke beim Austausch per Email.
 
Ich nutze dafür immer public-key-server, z.B. pgp.mit.edu.
 
Theoretisch hilft das aber auch nicht gegen gefakte Keys...
Wenn man sich nebenbei telefonisch oder per im über die Key-Kennung unterhält ist's eigentlich doch schon ne Kunst sich nen falschen andrehen zu lassen ;)
 
Theoretisch hilft das aber auch nicht gegen gefakte Keys...

Doch, denn ein dort hinterlegte public key ist fest mit einer bestimmten EMail-Adresse verbunden. Klar, den server könnte man hacken, genau so wie man mit einem besonders talentierten Papagei am Telefon tricksen könnte, aber bleiben wir mal realistisch, wa? ;)
 

Ähnliche Themen

PGP (GnuPG) E-Mail-Verschlüsselung & Empfänger-Public-Key Zuweisung unter Ubuntu / Ev

Server-Monitoring mit RRDTool

Zurück
Oben