1 up | 2 up | 3 up | 4 up | 5 up | 6 up | 7 up | 8 up | 9 up | 10 up | 11 up | 12 up | 13 up | 14 up | 15 up | 16 up |
^^^ Additional posts ^^^
zorg.ch
#14978 by @ 28.11.2002 10:24 - nach oben -
Nicht absolut, nein. Aber der Aufwand, eine GPG Sig zu faelschen ist unglaublich hoch, so das es ueberhaupt nicht mehr lohnenswert ist, dies zu probieren.

Wir bedenken:
Fuer das faelschen einer GPG Sig braucht man
a) Mehr Rechenzeit als wir im moment haben
b) den Private Key des Authors und ein paar Jahre Zeit
c) den Private Key des Authors MIT passphrase

Moeglichkeit a) nehmen wir in den naechsten 10 Jahren als unmoeglich an.
Moeglichkeit b) ist unrealistisch, ein Schluessel laeuft normalerweise nach 2 Jahren ab.
Moeglichkeit c) bleibt als einzige. Hier ist wieder der Schwaechste Faktor bei IT-Sicherheit im Mittelpunkt. Der Mensch. Dies ist die einzig realistische Variante. Erfolgreicht praktizitiert wurde sie, iirc, jedoch noch nie.

Als Schlussfolgerung:
GPG Sigs schuetzen vor Trojanern.
Nicht jedoch vor boeswilligen Authorenr.

Sicherheit kann absolut sein, wenn man einen Angriff definiert.
zorg.ch
#14984 by @ 28.11.2002 12:08 - nach oben -
Soweit ich mich erinnenr kann, waren grad vor ein paar Wochen Files von sendmail Trojaner infoziert, weil die Jemand in den Current-tree eingeschlĂ€ust hat. Da nĂŒtzt die keine einzige GPG Sig irgend was. Daraus folge ich, es gibt keine Sicherheit.
zorg.ch
#14988 by @ 28.11.2002 13:00 - nach oben -
http://www.theregister.co.uk/content/55/27511.html

[x] du redest bullshit
[x] du willst jetzt lieber ruhig sein