WinFuture-Forum.de: PGP sicher? - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Sicherheit
  • 8 Seiten +
  • « Erste
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8

PGP sicher? Diskussion über Sinn und Unsinn der Verschlüsselung

#106 _Breaker_

  • Gruppe: Gäste

geschrieben 23. Juli 2006 - 08:13

Beitrag anzeigenZitat (bwd: 23.07.2006, 03:32)

Glaubst Du das jeder Deine Emails anschaut? Ich weis auch garnicht im geringsten, warum ich ein Tool nutzen sollte, was ich nicht überprüfen kann. Ich kaufe mir ja auch kein Mondauto.

Dein Betriebssysten hast du selbst geschrieben?
Welchen Webbrowser benutzt du nochmal?
Wie funktioniert deine Mikrowelle nochmal?
Der Vergleich hinkt, meinst du?
Hat ja nichts mit (Pseudo)Sicherheit zu tun?
Schreibst du ab und an mal eine E-Mail?
Warum? Stell sie doch einfach in ein öffentliches Forum, kann ja ruhig jeder lesen, egal was drinsteht?
Telefonate? Warum, bekommt ja auch nur einer mit?
Stellst du dich am Bankschalter in die Schlange oder lädst du jeden in der Schlange hinter dir ein doch mal bitte die Daten deines Kontos zu überpüfen? Nein? Warum nicht? Laut deinen eigenen Aussagen hast du doch nichts schützenswertes, was wichtig wäre es geheimzuhalten?

Was ich eigentlich sagen will: Ja, mir als Anwender fehlen die Möglichkeiten zu überprüfen, ob PGP sicher ist. Das liegt aber nicht an der Software, es liegt einzig und allein an meinem mangelnden Verständnis der Arbeitsweise der Software, welches ich mir aber in mühevoller Kleinarbeit erarbeiten könnte.
Der Programmierer hat die Möglichkeit herauszufinden ob es sicher arbeitet, der Quellcode liegt offen. Aufgrund dessen hat er die Möglichkeit das Programm selbst aufgrund vorliegender Fakten zu rekonstruieren und zu beurteilen ob da alles mit rechten Dingen zugeht. Was er findet, das fehlerhaft ist lässt er in eine Entwicklung mit einfliessen, das nennt sich dann allgemein Versionssprung (Version 0.1).
Da das aber nicht nur einer macht, sondern viele, wird immer wieder gegengeprüft ob der vorherige Entwickler ein Hintertürchen/Fehler eingebaut hat und dieses geschlossen (Version 0.2, 0.3).
So bekommt man mit der Zeit ein recht sicheres Programm.
Was jedem klar sein muss: 100%ige Sicherheit gibt es nicht, da die Entwicklung voranschreitet und das, was heute noch als sicher galt morgen wieder überholt sein kann aufgrund z.b. besserer Arbeitsweisen, besserer Programme, mehr Rechenleistung etc..
Dennoch hat jedes Lebewesen ein natürliches Bedürfnis nach Sicherheit, was man in vielen Belangen merkt, eben auch in der Computersicherheit.
0

Anzeige



#107 Mitglied ist offline   bwd 

  • Gruppe: aktive Mitglieder
  • Beiträge: 77
  • Beigetreten: 14. April 05
  • Reputation: 0

geschrieben 31. Juli 2006 - 14:23

Beitrag anzeigenZitat (Rika: 23.07.2006, 04:59)

"Da Du nicht überprüfen kannst, ob die Zufallszahlen wirklich Zufallszahlen sind oder von einem versteckten Schlüsselgenerator..."

Und nochmal: Das hat nichts, aber auch überhaupt nichts mit Kryptographie zu tun, ist auch kein Argument gegen Kryptographie.


Ich habe nie gesagt, dass meine Ausführungen ein Argument für oder gegen Kryptographie sind. PGP hat damit ja auch nichts zu tun. Die Startschlüsselerzeugung hat -da stimme ich voll zu- nichts mit der eigentlichen Kryptographie zu tun. Was wolltest Du uns mit Deinem Hinweis sagen?


Beitrag anzeigenZitat (Rika: 23.07.2006, 04:59)

Es ist ein Argument wie Vertrauen durch Prüfprozesse der Herstellung von Hard- und Software hergestellt werden kann. Prüfen kann man es sowieso nicht, da es ein Axiom ist.


Ja. Genau. Die Erzeugung von Zufallszahlen mittels physikalischer Prozesse ist theoretisch und praktisch natürlich möglich. Nur kann ich als Anwender ohne Prüfmittel die Zufallszahlengenerierung nicht überprüfen. Dies ist tatsächlich ein als gültig anerkannter Grundsatz, der nicht bewiesen werden muss. Die Herstellung von Hard- und Software kann der Anwender genauso wenig überprüfen. Genau. Aber warum schreibst Du so, als hätte ich etwas anderes gesagt? Ich mahne doch die ganze Zeit an, dass die Zufallszahlengenerierung durch den Anwender nicht überprüfbar ist.

Dadurch, dass die Erzeugung der in Verschlüsselungssoftware verwendeten Zufallszahlengenerierung nicht überprüfbar ist, folgt meine Aussage: Es sind nicht alle Funktionen von PGP/GnuPG überprüfbar. Daraus folgt PGP/GnuPG ist NICHT vertrauenswürdig. Daran ändert auch nichts der einsehbare Quelltext, da die entscheidene Funktion (Zufallszahlengenerierung) nicht im Quelltext enthalten ist.

Beitrag anzeigenZitat (Rika: 23.07.2006, 04:59)

Außerdem will kein schwanzloser Schwanzlurch außer dir nachweisen, daß zufällige Daten zufällig sind. Mal ganz davon abgesehen, daß das prinzipiell nicht geht. Wenn doch, dann erkläre mir bitte, wie du feststellen willst, welcher der folgenden beiden Zeichenketten zufällig ist und welche nicht:

8432bn5vc64nvb5389321b46vc1n428903mx1yn4cfkcmlnvsk
enwc8830c

8432bn5vc64nvb5389321b46vc1n428903mx1yn4cfkcmlnvsk
enwc8830c

Welchen Teil von "beweisbar sicher" hast du nicht verstanden? Du kannst eine Paritätskodierung als lineares Gleichungssystem über einem RSA-Produktkörper fomulieren. Wenn du einen Unterschied feststellen könntest, dann könntest du auch RSA brechen.

Auf einen wesentlichen Aspekt, den man bei der Sammlung von Zufallsdaten achten muss: Daß ein Angreifer gezielt die Daten manipulieren könnte. Deshalb nimmt man rein zufällige Daten aus Quellen, einen vom System abhängigen Wert, einen vom Hersteller gewählten Wert und einen vom Benutzer festgelegten Wert. Und hashst das ganze natürlich mit einem kryptographisch sicheren Hash.


Du wiedersprichst Dich fortlaufend. Es geht nicht um RSA, sondern darum -ich sage es noch einmal- es geht um die Überprüfbarkeit der Startschlüsselgeneratoren. Es geht also gerade, um die Zufallszahlengenerierung selbst und dass diese angreifbar ist und dass dies gerade nicht im Quelltext steht.

Bleiben wir mal bei dem vom Benutzer festgelegten Wert: Du kannst theoretisch Deine eigenen Startschlüssel (zum Beispiel) mit Würfel selbständig generieren und diese Zufallszahlen als Startschlüssel verwenden. Kein Problem! Das macht aber keiner. PGP erzeugt die Startschlüssel selbst. Die Erzeugung ist durch die verwendeten Methoden (Wackeln mit der Maus, usw.) durch den Anwender nicht überprüfbar. Nicht durch den Quelltext überprüfbar und nicht durch aufwendige Messmethoden überprüfbar.

Jetzt bleib bei diesem einfachen Gedanken!

Du kannst noch so schöne viele mathematischen Tricks anwenden. Wenn die Startschlüssel manipuliert werden, ist die gesamte Software unbrauchbar. Die Erzeugung der Startschlüssel ist nicht überprüfbar. Eine Manipulation wäre nicht bemerkbar. ;D
0

#108 Mitglied ist offline   Rika 

  • Gruppe: aktive Mitglieder
  • Beiträge: 11.505
  • Beigetreten: 11. Juni 03
  • Reputation: 2
  • Geschlecht:Männlich

geschrieben 01. August 2006 - 00:51

Zitat

Ich habe nie gesagt, dass meine Ausführungen ein Argument für oder gegen Kryptographie sind. PGP hat damit ja auch nichts zu tun.

Vorher hast du aber behauptet, daß PGP generell unsicher sei. Was denn nun?

Zitat

Dadurch, dass die Erzeugung der in Verschlüsselungssoftware verwendeten Zufallszahlengenerierung nicht überprüfbar ist, folgt meine Aussage: Es sind nicht alle Funktionen von PGP/GnuPG überprüfbar.

Und das ist falsch, denn die nicht überprüfbare Funktion des Gesamtsystems liegt außerhalb der Software.

Zitat

Du kannst theoretisch Deine eigenen Startschlüssel (zum Beispiel) mit Würfel selbständig generieren und diese Zufallszahlen als Startschlüssel verwenden. Kein Problem! Das macht aber keiner. PGP erzeugt die Startschlüssel selbst.

Es sammelt Mausbewegung, Tastatureingaben... das unterscheidet sich nicht wesentlich vom Würfeln. Selbst die Systemzeit ist von dem von dir gewählte Einschaltzeitpunkt abhängig.

Zitat

Die Erzeugung ist durch die verwendeten Methoden (Wackeln mit der Maus, usw.) durch den Anwender nicht überprüfbar. Nicht durch den Quelltext überprüfbar und nicht durch aufwendige Messmethoden überprüfbar.
Natürlich ist sie das. Nimm 'nen Debugger. Oder nimm den Quellcode und die Compilerkorrektheit.

Zitat

Wenn die Startschlüssel manipuliert werden, ist die gesamte Software unbrauchbar.

Wenn die Software manipulierbar ist, dann ist das alles unbrauchbar. Deshalb achtet man ja eben darauf, daß die Software nicht manipuliert ist.

Zitat

Die Erzeugung der Startschlüssel ist nicht überprüfbar. Eine Manipulation wäre nicht bemerkbar.

Eine Manipulation ist ausschließbar, wenn man Eingabequellen verschiedener Besitzer wählt. Ein vom Hersteller festgelegter Wert, ein vom Benutzer festgelegter Wert, ein vom System festgelegter Wert, und dazu noch generelle Entropiequellen - so kann sich keine einzelne Partei gegen den gesamten Schlüsselgenerierungsprozess verschwören.
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Eingefügtes Bild
Ja, mata ne!

(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
0

Thema verteilen:


  • 8 Seiten +
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0