PBeM-Spiele
Aktuelle Zeit: 15.10.2019 04:08

Alle Zeiten sind UTC + 1 Stunde




Ein neues Thema erstellen Auf das Thema antworten  [ 6 Beiträge ] 
Autor Nachricht
 Betreff des Beitrags: Public PGP Key
BeitragVerfasst: 04.03.2014 22:28 
Offline
Administrator
Administrator
Benutzeravatar

Registriert: 18.02.2002 21:34
Beiträge: 4483
Wohnort: Hamburg
In verdorbenen Zeiten wie diesen soll keiner sagen können, dass keiner was tut, daher fängt man am besten bei sich selber an und wer seine Mailkorrespondenz gesichert an mich richten möchte kann das gerne tun. Links zum aktuellen Public PGP Key von mir findet man nun in meinen Mail- und Forensignaturen. Aber Achtung: Züge sollten nicht verschlüsselt werden, da eventuelle, serverseitige Auswertung sonst Probleme machen könnten.

_________________
Steam-Profil: sun-e | Steam-Gruppe: pbem-spiele | G+ Seite | G+ Community
Demnächst startende Partien / Anmeldungsstände | Twitter
Public PGP Key: 8A35 E947 7C53 D53D 92EF 8C55 4DE3 7F78 3031 A54C


Nach oben
 Profil  
Mit Zitat antworten  
 Betreff des Beitrags: Re: Public PGP Key
BeitragVerfasst: 05.03.2014 04:04 
Offline
PBEM-Gott
PBEM-Gott
Benutzeravatar

Registriert: 23.02.2002 19:29
Beiträge: 2141
Wohnort: Vestfold, Norwegen
Titel: Eressea Spielleiter
Prima, aber das (HTTP URL) ist die falsche Methode, um Deinen PGP-Key zu publizieren. Wenn Du selber keinen Server mit SSL hast, kannst Du Dir z.B. mit Twitter behelfen: https://jacob.hoffman-andrews.com/READM ... itter-bio/


Nach oben
 Profil  
Mit Zitat antworten  
 Betreff des Beitrags: Re: Public PGP Key
BeitragVerfasst: 05.03.2014 11:29 
Offline
Administrator
Administrator
Benutzeravatar

Registriert: 18.02.2002 21:34
Beiträge: 4483
Wohnort: Hamburg
Wäre der Weg über einen Keyserver besser? Ein echter Sicherheitsabgleich wäre sowieso doch nur telefonisch per Fingerprint möglich, bzw. direkte Übergabe per USB-Stick um maximales Vertrauen zu ermöglichen. Aber interessant gerade Twitter dafür herzuhalten...

_________________
Steam-Profil: sun-e | Steam-Gruppe: pbem-spiele | G+ Seite | G+ Community
Demnächst startende Partien / Anmeldungsstände | Twitter
Public PGP Key: 8A35 E947 7C53 D53D 92EF 8C55 4DE3 7F78 3031 A54C


Nach oben
 Profil  
Mit Zitat antworten  
 Betreff des Beitrags: Re: Public PGP Key
BeitragVerfasst: 05.03.2014 13:43 
Offline
Donator
Donator

Registriert: 28.09.2011 18:33
Beiträge: 246
Wohnort: Bonn
USB-Stick, örks. :-)

Ich mag ja die Idee eines Web-of-trust. Dazu bräuchte man aber möglichst viele oder weniger, aber größere, Keysigning-Partys oder ähnliches, wo tatsächlich eine Identität (mit Ausweis mit Foto) mit einem Fingerprint in Verbindung gebracht wird und man das mittels einer Unterschrift unter den entsprechenden Key bestätigt.


Nach oben
 Profil  
Mit Zitat antworten  
 Betreff des Beitrags: Re: Public PGP Key
BeitragVerfasst: 05.03.2014 16:34 
Offline
Administrator
Administrator
Benutzeravatar

Registriert: 18.02.2002 21:34
Beiträge: 4483
Wohnort: Hamburg
Ich denke nur die Erhöhung des verschlüsselten Mailaufkommen wäre schon ein Zugewinn, selbst wenn der minimal bleibt. Wer wirklich plant New York zu sprengen sollte den PGP persönlich übergeben und auf einen offline Rechner den Masterkey vorhalten. Wegen der Metadaten dann aber auch ohnehin nicht mailen. Letztendlich sind die PGP-Lösungen auch zu kompliziert, wobei GPG4WIN mit Kleopatra schon ein netter Ansatz ist. Schön gemacht hat es hingegen den Messanger Threema. Der 08/15 User bekommt von der Verschlüsselung nicht mal mehr was mit.

_________________
Steam-Profil: sun-e | Steam-Gruppe: pbem-spiele | G+ Seite | G+ Community
Demnächst startende Partien / Anmeldungsstände | Twitter
Public PGP Key: 8A35 E947 7C53 D53D 92EF 8C55 4DE3 7F78 3031 A54C


Nach oben
 Profil  
Mit Zitat antworten  
 Betreff des Beitrags: Re: Public PGP Key
BeitragVerfasst: 06.03.2014 07:39 
Offline
PBEM-Gott
PBEM-Gott
Benutzeravatar

Registriert: 23.02.2002 19:29
Beiträge: 2141
Wohnort: Vestfold, Norwegen
Titel: Eressea Spielleiter
sun-e hat geschrieben:
Wäre der Weg über einen Keyserver besser? Ein echter Sicherheitsabgleich wäre sowieso doch nur telefonisch per Fingerprint möglich, bzw. direkte Übergabe per USB-Stick um maximales Vertrauen zu ermöglichen. Aber interessant gerade Twitter dafür herzuhalten...


Da habe ich schon einen Artikel dazu verlinkt, und dann ist das immer noch unklar? Zitat:

Zitat:
There is a network of keyservers to which anyone can upload a PGP key with any email address. The hard part is, once you’ve retrieved a key, verifying whether it was the right one or a fake. A fake could be inserted at the keyservers, or it could be inserted in real time when you fetch the key, by a system like QuantumInject.


Mit anderen Worten: eigentlich ist Keyserver schon ganz in Ordnung, aber es besteht immer noch die Chance, dass da jemand einen public key eingeschleust hat, der auf den gleichen Fingerprint passt. Aber das eigentliche Problem ist, dass ich deinen Fingerprint nicht kenne. Dass der hier im Forum in deiner Signature steht, bedeutet gar nichts. Das kann an beliebiger Stelle modifiziert worden sein: Der HTTP-Traffic kann irgendwo zwishen wo-der-server-steht und bei mir in Kalifornien verändert werden, oder mein Browser hat einen Trojaner, oder deine Webseite (hier sind ja überall Werbebanner und andere Inhalte, denen ich nicht vertrauen wuerde), oder... die Liste ist ziemlich lang. Den Fingerprint auf einem Server zu hinterlegen, der HTTPS spricht, möglichst bei einem Dienst, dem wir vertrauen (das könnte auch dein privater Server sein), waere der richtige Weg. Dass ich mich entschieden habe, den bei Twitter zu hinterlegen, ist eher eine Notlösung. Ich habe keinen Server mit HTTPS-Zertifikat, dem jemand vertrauen sollte, und der Firma Twitter muss man dann halt vertrauen, aber man hat immerhin HTTPS, was bedeutet das zumindest auf dem Weg zwischen denen und dem Leser keine Änderungen passieren.

Wenn Leute sagen, dass Verschlüsselung zu kompliziert ist, und die ganze Software für Laien unverständlich gemacht wurde, dann meint das in Wirklichkeit nur, dass Kryptografie nicht einfach ist. Der Teufel ist ein Eichhörnchen, wie man im Deutschen sagt.


Nach oben
 Profil  
Mit Zitat antworten  
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen Auf das Thema antworten  [ 6 Beiträge ] 

Alle Zeiten sind UTC + 1 Stunde


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste


Du darfst keine neuen Themen in diesem Forum erstellen.
Du darfst keine Antworten zu Themen in diesem Forum erstellen.
Du darfst deine Beiträge in diesem Forum nicht ändern.
Du darfst deine Beiträge in diesem Forum nicht löschen.
Du darfst keine Dateianhänge in diesem Forum erstellen.

Suche nach:
Gehe zu:  
cron
Powered by phpBB® Forum Software © phpBB Group
Deutsche Übersetzung durch phpBB.de
Webhosting by sunrise design ohg