GnuPG und alternative secret Key Aufbewahrung

Ingo Luetkebohle ingo at blank.pages.de
Tue Aug 21 15:33:02 CEST 2001 

On Tue, Aug 21, 2001 at 02:11:49PM +0200, Christian Ordig wrote:
> urgs ... ich fuehle mich zwar in der Lage einige Zeilen C(++) zu schreiben
> und zuweilen fuehrt das auch zu hardware-treibern, aber ich habe irgendwie
> einen gewissen Respekt vor PGP/GPG, da ich keine Lust habe, durch mein
> gepatche evtl. grundlegende Sicherheitsmassnahmen zu zerballern...

Da mach' Dir mal keine Sorgen. Notfalls gibt Werner Koch Dir ein paar
"freundliche" Hinweise :)

[USB  
> siehe Antwort auf vorherige Mail...

Naja, USB loest sich mit der Zeit von selbst. Bei Chipkartenlesern bin
ich mir da weniger sicher.

> hmmm... hoert sich nicht schlecht an, wie sieht es da mit den crypto-
> Verfahren und Schluessellaengen aus?

RSA, 1024 bit. Ist nicht toll, aber bessere Sachen habe ich bisher nur
fuer wirklich teures Geld gesehen, weil die noetige Rechenpower
vergleichsweise hoch. Im Elliptic Curve Bereich koennte es aber bald
interessant werden, weil die Algorithmen weniger Rechenleistung
brauchen.

> Ausserdem: kann ich mir einen solchen Token mit IDENTISCHEM secret
> key erstellen, den ich irgendwo an einer sicheren Stelle verwahren
> kann, falls mir mal einer abhanden kommt, damit ich noch an meine
> Daten rankomme?

Da bin ich jetzt ueberfragt, aber: Wenn das Ding *richtig* gebaut ist,
dann geht das nicht. Das ist mit einer der Gruende, warum man einen
Schluessel zum Signieren und einen zum Verschluesseln benutzen
sollte. Den Decryption-Key speicherst Du dann ganz normal auf Deinem
Host.

> Thread, und weiter passiert nix. Das verwundert mich halt... und ich
> denke mir dann: "Ist es sooo kompliziert? Will das keiner? Hat das 
> einen Sicherheits-Haken? Oder hat es mit einer Art Weltverschwrung zu
> tun? ,-)))" ...

Nein, so kompliziert ist das nicht aber: In diesem Bereich ist bisher
gar nichts zu *irgendwas* anderem kompatibel. D.h., Du hast den Aerger
mit jedem Leserhersteller und jeder Chipkarten-/Tokenfamilie wieder
und da ist dann einfach bisher die kritische Masse nicht erreicht.  Es
koennte aber bald besser werden: Neuere Versionen der OpenSSL-Library
haben ein experimentelles "engine" Feature, mit dem man
Hardwaresupport bauen koennte. Momentan wird das allerdings eher fuer
beschleunigte Verschluesselung benutzt, da OpenSSL PKCS#12 (den
Standard zum Speichern von Zertifikaten) nicht unterstuetzt.

Gruss

-- 
	Ingo Luetkebohle / ingo at blank.pages.de / Student of Bioinformatics
/
| Cross-Platform OpenPGP: http://xpg.sourceforge.net/
|
| Fargonauten.DE sysadmin; Gimp Registry maintainer;
| FP: 3187 4DEC 47E6 1B1E 6F4F  57D4 CD90 C164 34AD CE5B
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 248 bytes
Desc: not available
URL: <http://lug-owl.de/pipermail/linux/attachments/20010821/f9a08205/attachment.sig>

More information about the Linux mailing list