yubikey (Re: OpenPGP, Kryptokampagne)

Bernhard Reiter reiter at fsfeurope.org
Mo Dez 2 10:37:18 UTC 2013 

Am Freitag, 29. November 2013 23:01:56 schrieb Paul Hänsch:
> Bernhard Reiter <reiter at fsfeurope.org>, Fri, 29 Nov 2013 14:32:33 +0100:
> > Die Diskussion beim yubikey Vortrag in Berlin diesen Monat
> > ergab, dass uns nicht klar war, warum hier kein symmetrisches
> > Verschlüsselungsverfahren eingesetzt wird, insofern wäre ein OpenPGP
> > "key" sicherlich besser.
>
> Darf ich da nochmal nach Details fragen? Mir ist gerade völlig unklar,
> wo der Yubikey ein symmetrisches Verschlüsselungsverfahren einsetzen
> würde.

Ich meinte natürlich, warum die kein _a_symmetrisches Verfahren einsetzen
war unklar. So besteht die Möglichkeit, wenn der Server die registrierten 
Infos verliert, dass der yubikey kompromittiert ist (wenn ich mich richtig 
erinnere).

> Der Yubikey besteht aus einem Keygenerator auf Hash-Basis, in den ein
> nicht auslesbares Secret als Seed geschrieben wird. Insofern handelt es
> sich nicht tatsächlich um ein vollwertiges One Time Pad.
>
> Daneben gibt es eine Funktion, die Challenge-Response-Authentifizierung
> erlaubt. Generell basiert diese wiederum entweder auf asymmetrischer
> Verschlüsselung oder, wie im Falle des Yubikey, auf Hash-Verfahren.
> Ersteres hat Vorteile beim Schlüsselmanagement, dafür ist letzteres
> hardwareseitig viel einfacher zu implementieren - besonders mit den
> Komponenten, die aufgrund der oben genannten Funktion im Yubikey schon
> vorhanden sind.
>
> Symmetrische Kryptografie findet in beiden Funktionen des Yubikey keinen
> Platz. Auf asymmetrische Funktionen wurde schlicht und ergreifend aus
> Kostengründen verzichtet - die Primäre Funktion des Sticks ist ohnehin
> das "One-Time-Pad", die zweitklassige Challenge-Response Funktion nur
> eine zusätzliche Dreingabe.

Naja die Kostengründe sind die "offizelle" Aussage von yubikey, angesicht
der Preise im Vergleich im OpenPGP Karten, scheint mir das aber noch nicht 
einsichtig. Und wenn die Challenge-Response Funktion zweiklassig ist, warum 
dann überhaupt anbieten?

Gruß,
Bernhard


-- 
FSFE -- Founding Member of the GA            blogs.fsfe.org/bernhard
Support our work for Free Software:     https://fsfe.org/support/?ber
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 490 bytes
Beschreibung: This is a digitally signed message part.
URL         : <http://lists.fsfe.org/pipermail/fsfe-de/attachments/20131202/66adabfc/attachment.sig>

Mehr Informationen über die Mailingliste FSFE-de