1 up | 2 up | 3 up | 4 up | 5 up | 6 up | 7 up | 8 up | 9 up | 10 up | 11 up | 12 up | 13 up | 14 up | 15 up |
^^^ Additional posts ^^^
zorg.ch
#14977 by @ 28.11.2002 09:25 - nach oben -
es hat sich dort doch recht ernsthaft angelesen...
aber dir sei verziehen.

dennoch: auch sigs prüfen bringt ja nicht absolute sicherheit, es ist nur ein anhaltspunkt... zwar ein seeeehr triftiger, aber nicht absolut.
zorg.ch
#14978 by @ 28.11.2002 10:24 - nach oben -
Nicht absolut, nein. Aber der Aufwand, eine GPG Sig zu faelschen ist unglaublich hoch, so das es ueberhaupt nicht mehr lohnenswert ist, dies zu probieren.

Wir bedenken:
Fuer das faelschen einer GPG Sig braucht man
a) Mehr Rechenzeit als wir im moment haben
b) den Private Key des Authors und ein paar Jahre Zeit
c) den Private Key des Authors MIT passphrase

Moeglichkeit a) nehmen wir in den naechsten 10 Jahren als unmoeglich an.
Moeglichkeit b) ist unrealistisch, ein Schluessel laeuft normalerweise nach 2 Jahren ab.
Moeglichkeit c) bleibt als einzige. Hier ist wieder der Schwaechste Faktor bei IT-Sicherheit im Mittelpunkt. Der Mensch. Dies ist die einzig realistische Variante. Erfolgreicht praktizitiert wurde sie, iirc, jedoch noch nie.

Als Schlussfolgerung:
GPG Sigs schuetzen vor Trojanern.
Nicht jedoch vor boeswilligen Authorenr.

Sicherheit kann absolut sein, wenn man einen Angriff definiert.
zorg.ch
#14984 by @ 28.11.2002 12:08 - nach oben -
Soweit ich mich erinnenr kann, waren grad vor ein paar Wochen Files von sendmail Trojaner infoziert, weil die Jemand in den Current-tree eingeschläust hat. Da nützt die keine einzige GPG Sig irgend was. Daraus folge ich, es gibt keine Sicherheit.
zorg.ch
#14988 by @ 28.11.2002 13:00 - nach oben -
http://www.theregister.co.uk/content/55/27511.html

[x] du redest bullshit
[x] du willst jetzt lieber ruhig sein