5 Beiträge in diesem Thema

Empfohlene Beiträge

Antidote    1846

Antidote
erstellt

Huhu!

Ich beschäftige mich gerade mit PGP und hab mich in den ganzen Murks jetzt mal eingearbeitet und kriegs auch hin Nachichten zu verschlüssen und zu entschlüsseln, habe auch das grundlegene System verstanden.

Des einzige was ich nicht verstanden habe ist Fingerprint.

Kann mir jemand das genauer erklären was genau das ist, wie genau das funktioniert und so?

Ich habe verstanden das es wohl darum geht den "Man in the middle" zu verhindern der quasi ein Schlüsselsystem dazwischen stellt, aber diese Zahlenkombination die der Fingerprint darstellt kann er doch einfach dann auch anhängen oder wie? Verstehe das nicht, das ist einfach alles in Nerd-Sprache geschrieben und ich hätte es gerne in deutsch für Normalsterbliche :D

Gruß,

Antidote

Diesen Beitrag teilen

Link zum Beitrag

UNSC117    20

UNSC117
geantwortet

Jop, das ist ein Hashwert. Verifiziert jedoch nur einen Schlüssel und dich nicht als Person ;)

Also eine Absicherung, dass du keinen verfälschten Schlüssel bekommst oder "verteilst".

Wenn du unsichere Infrastruktur nutzt und deinen Publickey nicht über Keyserver bereitstellst, könnte dies passieren. Jedoch ist das kein 0815 Angriff und für die meisten Informationen sicherlich auch uninteressant.

Macht daher nur Sinn für die Übermittlung des Fingerprints ein anderes Medium zu wählen. Diesen im gleichen Kontext wie den Publickey bereitstellen ist für die Katz, weil es ja ebenfalls kompromitiert sein könnte und lediglich den falschen Schlüssel als richtig bestätigen würde.

Beispiel: Du versendest deinen Publickey über Email oder Internet und prüfst die Schlüssel-Richtigkeit per Fingerprint der über Telefon oder Post übermittelt wurde.

Diesen Beitrag teilen

Link zum Beitrag

Antidote    1846

Antidote
geantwortet

Jop, das ist ein Hashwert. Verifiziert jedoch nur einen Schlüssel und dich nicht als Person ;)

Also eine Absicherung, dass du keinen verfälschten Schlüssel bekommst oder "verteilst".

Wenn du unsichere Infrastruktur nutzt und deinen Publickey nicht über Keyserver bereitstellst, könnte dies passieren. Jedoch ist das kein 0815 Angriff und für die meisten Informationen sicherlich auch uninteressant.

Macht daher nur Sinn für die Übermittlung des Fingerprints ein anderes Medium zu wählen. Diesen im gleichen Kontext wie den Publickey bereitstellen ist für die Katz, weil es ja ebenfalls kompromitiert sein könnte und lediglich den falschen Schlüssel als richtig bestätigen würde.

Beispiel: Du versendest deinen Publickey über Email oder Internet und prüfst die Schlüssel-Richtigkeit per Fingerprint der über Telefon oder Post übermittelt wurde.

Danke erstmal.

Das heißt doch dann abre doch schon das ich den Fingerprint eben NICHT auf meine Homepage zusammen mit dem Publickey stelle oder?

Diesen Beitrag teilen

Link zum Beitrag

UNSC117    20

UNSC117
geantwortet

Genau, das ist überflüssig und nicht im Sinne der Erfinder. Wie im Beispiel, der Fingerprint sollte da ausgetauscht werden wo eigentlich kein Mann in der Mitte ist.

Telefonisch oder bei einem persönlichen Treffen.

Wenn man GPG voll ausnerdet kann man, durch Fingerprints bzw. allgemein signierte Schlüssel, Vertrauensmodelle aufbauen...

responsible_behavior.png

http://www.gnupg.org/gph/en/manual/x334.html

  • TOP 2

Diesen Beitrag teilen

Link zum Beitrag

Erstelle ein Mitgliedskonto, oder melde Dich an, um zu kommentieren

Du musst ein Mitgliedskonto haben, um einen Kommentar verfassen zu können

Mitgliedskonto erstellen

Registriere Dich ganz einfach in unserer Community.

Mitgliedskonto registrieren

Anmelden

Du hast bereits ein Mitgliedskonto? Melde Dich hier an.

Jetzt anmelden
Gehe zur Themenübersicht Plauderecke

  • Wer ist Online   0 Mitglieder

    Aktuell keine registrierten Mitglieder auf dieser Seite.