# PGP 9 - Datei verschlüsselt, Key gelöscht und Datei ist ohne Key wiederherstellbar



## exitboy (5. August 2006)

*PGP 9 - Fragen*

Hallo,


hier einige Fragen für deren Beantwortung ich Euch im Voraus danke.

1. Was genau passiert beim Key Serverabgleich (Veröffentlichung im Global Key Directory auf den PGP Servern). Speichern die dort den Key? Ist dieser zwingend erforderlich. Laut Handbuch erhält dieser sonst keine Gültigkeit. Brauche ich diese den zwingend?
2. Weiß jmd. ob PGP 9 verschlüsselte Dateien geknackt werden können? Ich meine gelesen zu haben, dass selbst Fachleute sich daran die Zähne ausbeisen würden ... .
3. Gibt es Anhaltspunkte, dass PGP die verschlüsselten Daten mitloggt oder ggf. einsehen kann?
4. Was hat es mit dem "eigenes Passwort" (unter Optionen) auf sich? Wofür soll das sein?
5. Wenn es doch den publical Key gibt, der öffentlich ist, kann man dann nicht einfach mit BruteForce den zweiten Teil also das Passwort für den Private Key knacken?
Oder ist das garnicht der Private Key, sondern noch ein Key?



Liebe Grüße,
Exitboy


----------



## Neurodeamon (6. August 2006)

Hi!
1. Der Key kann im Verzeichnis abgelegt werden, muss aber nicht. Das Key Directory ist ein zentraler Ort an dem andere Menschen nach Deinem öffentlichen PGP-Schlüssel suchen können um Dir ganz einfach eine verschlüsselte Nachricht schicken zu können.
2. und 5.: Mit Supercomputern könnte man sicherlich den Schlüssel in ein paar Jahren knacken (?), mit einem normalen (heutigen) PC dauert sowas mitunter schon mehrere tausend Jahre. Es ist eine Frage der Qualität des Passwortes. Intelligente »Passworte« wie z. B. *12345678* und *passwort* dürften sicherlich innerhalb von 1 Nanosekunde geknackt worden sein.
3. Das ist der Nachteil von nicht Quelloffener Software. Deshalb würde ich »gnuPG« nutzen. Das ist Quelloffen, d. h. JEDER kann den Quelltext einsehen und nachschauen ob mitgeloggt wird. Ich glaube allerdings nicht das PGP mitloggt.
4. Sorry, da ich kein PGP User bin (ich nutze S/MIME) kenne ich die Menüoptionen nicht (kenne nur ältere PGP Versionen)
5. Achtung! Den privaten Schlüssel kann man nur knacken, wenn man ihn hat. Da ein Benutzer, der Dir etwas verschlüsselt schicken möchte, Deinen öffentlichen Schlüssel zum verschlüsseln verwendet - und nur Du mit dem privaten Schlüssel (UND dem Passwort) entschlüsseln kannst, sollte es schon relativ schwer sein Deine Daten zu knacken.

Schau mal bitte auf
Öffentlicher Schlüssel
Geheimer (privater) Schlüssel
PGP
Symmetrische Verschlüsselung
Asymmetrische Verschlüsselung
Hybride_Verschlüsselung


----------



## exitboy (6. August 2006)

mir geht es eigentlich in erster Linie darum, meine Daten auf der Festplatte zu verschlüsseln, dass da keiner rankommt. Kann ich dafür auch gnuPG nutzen?


----------



## Neurodeamon (7. August 2006)

Wenn Du Deine Daten verschlüsseln willst ist PGP nicht unbedingt nötig. Ein viel besseres Tools ist da Truecrypt. Es ist open source und extra dafür entworfen worden Festplatten zu verschlüsseln (oder eine Containerdatei).

Folgender Wikipedia-Artikel ist sehr aufschlussreich (und listet auch alternative Programme auf):
http://de.wikipedia.org/wiki/TrueCrypt


----------



## exitboy (9. August 2006)

mir ist nur auch wichtig, dass die Daten unter keinen Umständen geknackt werden können. PGP gilt als sehr sicher, soll ja angeblich nicht mal Kryptoexperten knacken können. Ist das mit TC auch so?


----------



## Sinac (9. August 2006)

TrueCrypt bietet verschiedene Verschlüsselungen an, darunter z.B. Twofish, AES und 3DES. Ich denke das reicht für dich  Egal was du nimmst, alles ist knackbar aber ich bezweifle sehr stark das deine Daten es Wert sind den Aufwand zu treiben eine 3DES Verschlüsselung zu knacken.


----------



## Christian Kusmanow (9. August 2006)

Es gibt aber auch noch ein sehr gutes kommerzielles Produkt: SafeGuard Easy


----------



## exitboy (9. August 2006)

ja nur die kommerziellen haben keinen offenen Code. Wer weiß was die wieder alles mitfiltern.
Sicher ist sowieso nichts, aber wie Du schon sagtest. Ich brauche etwas wo ich den Code einsehen könnte & wo die Verschlüsselung selbst für IT Kryptos zu viel Arbeit machen würde sie zu entschlüsseln.


----------



## Christian Kusmanow (9. August 2006)

Ich glaube kaum das sich eine deratige Firma eine solche Publicity leisten kann wenn bekann wird,
dass sie ihre Finger im verschlüsselten Entprodukt haben.
Denke mal das hier eher der Vorteil darin liegt das niemand den Quellcode kennt
und somit auch niemand die Software manipulieren/aushebeln kann
oder sie derart verändert dass sie nicht mehr korrekt funktioniert oder gar Schaden entsteht...

Ich bin leider kein richtiger Crack in der Angelegenheit. Vielleicht gibt es hier jemand
der Beruflich ausschließlich mit sowas zu tun hat und ganz ganau weiss was alles möglich ist.


----------



## Dennis Wronka (9. August 2006)

Christian Kusmanow hat gesagt.:
			
		

> Ich glaube kaum das sich eine deratige Firma eine solche Publicity leisten kann wenn bekann wird,
> dass sie ihre Finger im verschlüsselten Entprodukt haben.
> Denke mal das hier eher der Vorteil darin liegt das niemand den Quellcode kennt
> und somit auch niemand die Software manipulieren/aushebeln kann
> oder sie derart verändert dass sie nicht mehr korrekt funktioniert oder gar Schaden entsteht...


Dazu verweise ich einfach mal auf diesen englischen Wikipedia-Artikel, welcher wirklich interessant ist und auch schoen zeigt wie "falsch" Deine Aussage doch ist.


----------



## Neurodeamon (9. August 2006)

Ich werde nicht viel schreiben, nur einiges zum Lesen angeben. Das hätte man sich aber auch mal selbst anschauen können:

http://de.wikipedia.org/wiki/Advanced_Encryption_Standard


> AES ist in den USA für staatliche Dokumente mit höchster Geheimhaltungsstufe zugelassen.



PGP nutzt(e):
Diffie-Hellman-Algorithmus, später RSA
http://members.tripod.com/irish_ronan/rsa/attacks.html
http://www.matheprisma.uni-wuppertal.de/Module/RSA/index.htm

Mal etwas tiefer in das Thema schnuppern?
http://www.cryptool.de/

Letztendes würde ich nur meinem eigenen Verschlüsselungssystem trauen. Daaas ist für heutige Systeme allerdings zu Rechenintensiv


----------



## Christian Kusmanow (9. August 2006)

Dennis Wronka hat gesagt.:
			
		

> Dazu verweise ich einfach mal auf diesen englischen Wikipedia-Artikel, welcher wirklich interessant ist und auch schoen zeigt wie "falsch" Deine Aussage doch ist.



Ich hab nicht gesagt das die einen eigenen Algorithmus verwenden. 
Ausserdem glaube ich kaum das die Funktionweise der Software
was mit den Verschlüsselungstechniken ansich zu hat...

Aber dieser Traveller Mode vom TrueCrypt schaut wirklich sehr interessant aus. 
Das werd ich mir mal genauer anschauen...


----------

