From Simon.Scheithauer at uni-weimar.de Thu Apr 1 11:58:56 2010 From: Simon.Scheithauer at uni-weimar.de (Simon Scheithauer) Date: Thu, 01 Apr 2010 11:58:56 +0200 Subject: Vertrauensnetzwerk Message-ID: <4BB46E60.509@uni-weimar.de> Hallo, Ich habe eine kurze Frage. Gestern habe ich ein Programm und die dazugehörige Signatur runtergeladen. Beim Download der letzteren erschien der Hinweis, dass die Signatur durch einen Fehler womöglich ungültig erscheinen könnte -was dann auch passierte- obwohl sie eigentlich gültig sei. Man müsse, so der Hinweis, diese zunächst signieren um sie dadurch als vertrauenswürdig einzustufen: "That's how PGP and GPG work". Ich bin in der Hinsicht eher ein Anfänger, aber irgendwie macht mich das doch stutzig!? Wenn das Hauptproblem ist, sich der Echtheit der Signaturen zu versichern, dann ist es doch etwas merkwürdig wenn ich mir diese selbst nachweise? Ich weiß zwar von wo ich das Programm her habe, aber die Signatur kommt schließlich von der selben Seite. Ein paar weitere Meinungen hierzu wären sicher hilfreich. Gruß, S From telegraph at gmx.net Fri Apr 2 15:04:58 2010 From: telegraph at gmx.net (Gregor Zattler) Date: Fri, 2 Apr 2010 15:04:58 +0200 Subject: Vertrauensnetzwerk In-Reply-To: <4BB46E60.509@uni-weimar.de> References: <4BB46E60.509@uni-weimar.de> Message-ID: <20100402130458.GA8764@shi.workgroup> Hi Simon, * Simon Scheithauer [01. Apr. 2010]: > Ich habe eine kurze Frage. Gestern habe ich ein Programm und > die dazugehörige Signatur runtergeladen. Beim Download der > letzteren erschien der Hinweis, dass die Signatur durch einen > Fehler womöglich ungültig erscheinen könnte -was dann auch > passierte- obwohl sie eigentlich gültig sei. Man müsse, so der > Hinweis, diese zunächst signieren um sie dadurch als > vertrauenswürdig einzustufen: "That's how PGP and GPG work". Es wäre hilfreich die Fehlermeldung genau zu kennen. Du hast ein Programm aus dem Internet gezogen und eine Signatur. Die Signatur soll zum Programm passen, prüfen kann man das aber nur mit dem Publik Key / öffentliche Schlüssel der Programmiererin oder des Unternehmens.. Wenn die Signatur zum Programm passt und der publik key / öffentliche Schlüssel aus vertrauenswürdig eingestuft ist, dass kommt eine Meldung, dass alles o.k. ist. Wenn die Signatur passt, der key / Schlüssel aber nicht als Vertrauenswürdig bekannt ist, dann kommt eine Meldung, dass die Signatur passt, es aber keinen Hinweis gibt, von wem sie ausgestellt wurde. > Ich bin in der Hinsicht eher ein Anfänger, aber irgendwie macht > mich das doch stutzig!? Wenn das Hauptproblem ist, sich der > Echtheit der Signaturen zu versichern, dann ist es doch etwas > merkwürdig wenn ich mir diese selbst nachweise? Ich weiß zwar > von wo ich das Programm her habe, aber die Signatur kommt > schließlich von der selben Seite. Richtig. Im letzten Fall oben kann man die "störende" Meldung beseitigen, in dem man selbst den öffentlichen Schlüssel unterschreibt. Das ist dann unproblematisch, wenn man vorher geprüft hat, dass er tatsächlich von der Programmiererin oder dem Unternehmen stammt. Bloß: Wie soll man das tun? Und: Warum sollte man dann nicht gleich sicherstellen, dass das Programm von ihr / dort kommt? Wenn Dein Key und der Key der Programmiererin / des Unternehmens je weiter keine Unterschriften hat, dann hilft die Signatur nicht mehr, als eine Checksumme. Wenn sich die Programmiererin / das Unternehmen Mühe gibt, dann ist der fragliche Key ins Vertrauensnetz / web of trust eingebunden, d. h. der Umstand, dass der Schlüsselt zu denen gehört wurde von (mehreren) anderen Personen geprüft und bestätigt durch Unterschriften unter diesen Schlüssel. Wenn Dein eigener Schlüssel selbst Teil des selben Vertrauensnetzes ist, dann kann es sein, dass bereits eine oder mehrere Kette(n) von Vertrauensbeziehungen zwischen Deinem Schlüssel und dem der Programmiererin / des Unternehmens besteht. Es gibt im Netz Services, die Vertrauenspfade zwischen öffentlich gemachten öffentlichen Schlüsseln darstellen. Einer ist z. B.: http://pgp.cs.uu.nl/ Damit kann man feststellen, ob (mehrere) disjunkte Pfade -- d. h. solche die sich nicht kreuzen -- zwischen zwei Schlüsseln bestehen. Angenommen es bestehen mehrere solche Ketten von Unterschriften von Deinem Schlüssel zu dem der Programmiererin und weiter angenommen, dass Dir der Service dieses Ergebnis nicht einfach nur vorspiegelt, obwohl es diese Unterschriften nicht gibt, dann kannst Du Dir überlegen, ob Du es für ausreichend wahrscheinlich hältst, dass diese disjunkten Ketten *nicht* dadurch zustande gekommen sind, dass Dich jemand reinlegen will, der sich in alle die Ketten geschmuggelt hat und sie durch ungeprüfte beziehungsweise schlich falsche Unterschriften irreführend gemacht hat. Puh! Ciao, Gregor -- -... --- .-. . -.. ..--.. ...-.- From rose-indorf at gmx.de Wed Apr 14 02:21:08 2010 From: rose-indorf at gmx.de (Sebastian Rose-Indorf) Date: Wed, 14 Apr 2010 02:21:08 +0200 Subject: GnuPG-Pack: Neue Version: 10.4.3 Message-ID: -----BEGIN PGP SIGNED MESSAGE----- Hash: RIPEMD160 Hallo, ich habe eine neue Version des GnuPG-Packs - vormals GnuPG-Pack Basics - bereitgestellt: 10.4.3. Was ist neu? * Stunnel wurde auf Version 4.33 und OpenSSL auf Version 1.0.0 aktualisiert. OpenSSL 1.0.0 ist ein "major release" und behebt also keine Fehler gegenüber der aktuellen 0.9er-Version (0.9.8n), sondern führt neue Features ein. M.a.W.: Für Anwender, die Stunnel 4.32/OpenSSL 0.9.8n verwenden, ist ein Update des Packs bedenkenswert, aber nicht notwendig. Da das Pack in OpenSSL seit jeher SHA1 als Hash-Algorithmus verwendet, dürften aus dem Wechsel des dort voreingestellten Hash-Algorithmus' von MD5 nach SHA1 keine Probleme erwachsen (Stichwort: "re-hashing"). * Optionen zur Erzeugung einer Zertifikatsanfrage zur Beglaubigung durch eine Beglaubigungsinstanz/Certificate Authority (CA) eingefügt. * Versionskontrollen für Thunderbird und MS Outlook eingefügt. * Ein - offenbar bislang keine Probleme verursachender - Fehler bei der Installation von GPGSX wurde behoben. * Nicht neu, aber wegen Rückfragen erwähnenswert: Das Pack kann nicht nur unter Windows 2000/XP/Vista/7, sondern auch weiterhin unter den "Oldies" 9x/ME und NT4 verwendet werden. * Das Pack ist ein wenig "dünner" geworden: durch Optimierungen bei der Kompression. Das GnuPG-Pack ist ein Installationspaket für GnuPG und WinPT Tray sowie für Stunnel mit OpenSSL. Die Projektseite finden Sie unter http://home.arcor.de/rose-indorf. Frohes Schaffen! Sebastian -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.10 (MingW32) - GPGrelay v0.962 Comment: Protect messages and files using GnuPG and OpenSSL! Comment: The GnuPG-Pack: http://home.arcor.de/rose-indorf iD8DBQFLxQqroNLoClWVo8MRA/QkAKChj61ql+jiy0dPsEaK3SGn1aAkwgCeJUKh KOJBaaGHwfPzemYIP3aW0gY= =AArT -----END PGP SIGNATURE----- From rose-indorf at gmx.de Mon Apr 26 01:26:43 2010 From: rose-indorf at gmx.de (Sebastian Rose-Indorf) Date: Mon, 26 Apr 2010 01:26:43 +0200 Subject: GnuPG-Pack: Neue Version: 10.4.5 Message-ID: -----BEGIN PGP SIGNED MESSAGE----- Hash: RIPEMD160 Hallo, ich habe gestern eine neue Version des GnuPG-Packs bereitgestellt: 10.4.5. Was ist neu? * Die Änderungen betreffen im Wesentlichen die Erzeugung bzw. Aktualisierung eines X.509-Zertifikats (Option, wenn Stunnel mitinstalliert wird): 1. Die verwendeten Algorithmen wurden aktualisiert: von SHA1/RSA-3DES nach SHA256/RSA-AES256. 2. Die Option, das X.509-Zertifikat in Windows zu installieren, wurde überarbeitet. * Einzelne kleine Änderungen, die z.B. die Versionskontrolle für Thunderbird betreffen. * Ein Fehler, der ggf. die gemeinsame Verwendung der GnuPG Keyrings unter Windows 9x/ME betrifft, wurde korrigiert. Das GnuPG-Pack - vormals GnuPG-Pack Basics - ist ein Installationspaket für GnuPG, WinPT Tray und GPGrelay sowie für Stunnel mit OpenSSL. Die Projektseite finden Sie unter http://home.arcor.de/rose-indorf. Frohes Schaffen! Sebastian -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.10 (MingW32) - GPGrelay v0.962 Comment: Protect messages and files using GnuPG and OpenSSL! Comment: The GnuPG-Pack: http://home.arcor.de/rose-indorf iD8DBQFL1M+/oNLoClWVo8MRA2RgAKC+zgxUSkO1i/7oDAy7wZupYEmJcACfbLHe UvRNNKPj+hi2ktuqHKLyNPw= =OhEo -----END PGP SIGNATURE-----