Hi,

Chris hatte auf der Comtec die Frage, ob man GPG problemlos benutzen kann, wenn man keine Kontrolle ueber den Server hat. Ich poste das mal an die Liste, da es sicher auch andere interessiert:

Seit meinem "ja, klar doch" von Samstag habe ich noch etwas recherchiert.

Gute Nachricht: der geheime Anteil der Schluessel ist cryptographisch gesichert, lt. Analyse meines eigenen Key mit AES, dessen symmetrischer Key sich aus einem mehrfach (1000x) durchgefuehrten RIPE-MD160 der Passphrase errechnet. Primaer beruht die Sicherheit des Keys also nicht auf den Dateirechten, sondern auf der Qualitaet der Passphrase.

Schlechte Nachricht: 3'2001 wurde eine Attacke auf den Key gefunden. Es wird eine sehr schwache Form des Blockcipher genommen, bei der man gezielt bestimmte Bits veraendern kann (man weiss zwar nicht, ob auf 0 oder 1, aber dass sie geaendert sind). Mit Hilfe dieser manipulierten Keys kann man (nachdem der Besitzer damit etwas signiert hat und man die Mail abgefangen hat) den Secret-Key errechnen.

Abhilfe: GPG 1.0.7 und spaeter setzen eine cryptographisch sichere Checksumme (HMAC mit SHA-1) ein, an der man die Manipulation erkennen kann. Ich persoenlich hoffe, dass Version 5 der Key-Pakete (aktuell ist 4) bessere Algorithmen (CBC statt CFB) einsetzt und Key-Signaturen einfuehrt.

Sprich, nach einer Umstellung auf 1.0.7 oder spaeter ist der Key sicher(*), da die kompromittierende Signatur nicht mehr gemacht wird. Also vor dem Einsatz die GPG-Version pruefen!

(*)"sicher" nach der ueblichen Definition: a) soweit mir persoenlich bekannt, es gibt keine Garantie auf NSA-freies Kommunizieren, b) nach dem momentanen Stand der Dinge - morgen koennte ein neues Paper veroeffentlicht werden, das alles umwirft und c) soweit der Angreifer weder verdammt viel Glueck noch einen univerumsgrossen Rechner besitzt (alternativ einen funktionierenden Quantencomputer der mehrere tausend QBits gleichzeitig im Schwebezustand halten kann).

Schlechte Nachricht fuer Paranoiker: man kann immernoch die Terminaltreiber manipulieren und die Passphrase erlauschen - auch wenn Ihr ssh einsetzt! Zumindest dem Admin muss man ausreichend vertrauen koennen a) dass er keine Treiber manipuliert, b) den Zugang genuegend sichert, c) GPG nicht manipuliert, d) entweder nicht weiss wie man solche Attacken ausfuehrt oder es einfach nicht tut.

happy crypting, Konrad