Privater Schluessel entschluesselt und Widerrufszertifikat
Thomas Steinbach
steinbach at gmx-topmail.de
Do Jan 7 11:50:14 CET 2010
Hallo,
warum kann man den auf einem Keyserver veroeffentlicheten
Schluessel nicht ohne Widerrufs-Zertifikat fuer ungueltig
erklaeren. So lese ich das zumindest momentan aus diversen
Manuals heraus.
Hier koennte man doch gegenueber einer Zertifizierungsstelle
auch nachweisen (Ausweis). (Z.B. auf der CeBIT an einem
c't Krypto-Kampangnen Stand) dass man auch derjenige ist
dem der Schluessel gehoert und man ja auch den Private Key
besitzt.
Hier _muesste_ ja auch das Zertifikat fuer ungueltig erklaert
werden. (Selbst wenn man trotz des Besitzes des private Key
unterstellen wuerde, dass man nicht der Eigentuemer ist)
Denn wenn jemand den privaten Key kennt/besitzt, dann _ist_
der key ja schon komprometiert und wertlos Oder?
Problem bei mir ist momentan dass ich vor ca. dreieinhalb Jahren
mal eine Schluessel (andere email-Adresse) auf einen Keyserver
geladen habe (mehr aus Neugierde, bin nach wie vor Newbie),
dieser IMHO aber a) wohl nicht mehr als sehr sicher gilt (1024
bit DSA soweit ich das jetzt mit GPG Shell sehe) und b) ich den
damals fuer "verfaellt nie" erklaert habe und ich c) die Passphrase
nicht mehr weiss. btw: mein alter Schluessel war self-signed.
Koennte ich dennoch auf diese email einen neuen Schluessel
erstellen und veroeffentlichen?
Ich kann ja den alten (momentan) nicht fuer ungueltig erklaeren.
Was passiert mit dem "alten", aber dann wohl noch gueltigen
Schluessel?
Was passiert mit den Schluesseln die zurueckgezogen worden
sind? Werden diese dann irgendwann geloescht?
Wenn man auf einem Keyserver (z.B. http://keys.gnupg.net/)
nach der MAD Figur "Alfred E. Neumann" sucht, sind
dort drei Schluessel zu sehen. Welcher gilt denn nun und
warum ist einer der Schluessel ohne Passphrase?
Macht das ueberhaupt einen Sinn?
btw2: Kann mir jemand hier Programme/DL-Links nennen
mit denen man einen privaten key "knacken" kann, also die
Passphrase herausbekommen kann? So wie ich als Laie das aus
http://hp.kairaven.de/pgp/gpg/keylengths.html ff herauslese,
sind 1024 bit DSA wohl nicht mehr der Weisheit letzter Schluss.
Vielleicht gibt es auch sowas wie einen Webservice, wo
man seinen privaten Schluessel zum knacken uploaden kann
und die eben mehr Rechnepower wie ich haben.
Wie lange wuerde es dauern eine Passphrase bei vorliegendem
privaten Schluessel mit 1024bit DSA hrauszubekommen?
Passphrase waren nur ein paar Worte. Vermute sowas um
die 15/20 Zeichen maximal. Weiss aber nicht mehr ob das nur
"reale" Worte waren (vgl. Dictionary Attack). und ob ueberhaupt
mit Leerzeichen.
Sieh auch: http://hp.kairaven.de/pgp/gpg/gpg2.html#secpubkey
Thomas