OpenPGP, Kryptokampagne (Re: [OT?] PGP)

Paul Hänsch paul at fsfe.org
Fr Nov 29 22:01:56 UTC 2013


Bernhard Reiter <reiter at fsfeurope.org>, Fri, 29 Nov 2013 14:32:33 +0100:
> Die Diskussion beim yubikey Vortrag in Berlin diesen Monat
> ergab, dass uns nicht klar war, warum hier kein symmetrisches
> Verschlüsselungsverfahren eingesetzt wird, insofern wäre ein OpenPGP
> "key" sicherlich besser.

Darf ich da nochmal nach Details fragen? Mir ist gerade völlig unklar,
wo der Yubikey ein symmetrisches Verschlüsselungsverfahren einsetzen
würde.
Das klingt für mich gerade etwa so, als würdest du belgische Hot Dogs
dafür kritisieren, dass sie keine symmetrische Kryptografie benutzen.

Der Yubikey besteht aus einem Keygenerator auf Hash-Basis, in den ein
nicht auslesbares Secret als Seed geschrieben wird. Insofern handelt es
sich nicht tatsächlich um ein vollwertiges One Time Pad.

Daneben gibt es eine Funktion, die Challenge-Response-Authentifizierung
erlaubt. Generell basiert diese wiederum entweder auf asymmetrischer
Verschlüsselung oder, wie im Falle des Yubikey, auf Hash-Verfahren.
Ersteres hat Vorteile beim Schlüsselmanagement, dafür ist letzteres
hardwareseitig viel einfacher zu implementieren - besonders mit den
Komponenten, die aufgrund der oben genannten Funktion im Yubikey schon
vorhanden sind.

Symmetrische Kryptografie findet in beiden Funktionen des Yubikey keinen
Platz. Auf asymmetrische Funktionen wurde schlicht und ergreifend aus
Kostengründen verzichtet - die Primäre Funktion des Sticks ist ohnehin
das "One-Time-Pad", die zweitklassige Challenge-Response Funktion nur
eine zusätzliche Dreingabe.

> So was, wie der CryptoStick oder GnuK
> http://blog.asmw.org/2013/09/11/gnuk-openpgp-2-0-token/
> http://www.seeedstudio.com/depot/fst01-with-white-enclosure-p-1279.html
> http://www.seeedstudio.com/wiki/FST-01

^^ Das wäre wohl eher die USB Variante der derzeitigen Fellowship Card.
Die erfüllt natürlich einen anderen Zweck, als der Yubikey. Zum Login
z.B. bei Fellowship-Services ist sie weniger praktikabel, dafür erlaubt
sie das Signieren von Nachrichten. Zwar erlauben die Karte bzw. der
PGP-Stick theoretisch vollwertige Challenge-Response Authentifizierung
an Onlineservices, in der Praxis fehlen aber standardisierte Verfahren,
um so etwas z.B. im Webbrowser durchzuführen - geschweige denn von
einem Internet-Cafe aus.

-- 
Paul Hänsch                        █▉     Jabber: paul at jabber.fsfe.org
Webmaster                        █▉█▉█▉               Support the FSFE
Free Software Foundation Europe    ▉▉    http://fsfe.org/support/?paul
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 836 bytes
Beschreibung: nicht verfügbar
URL         : <http://lists.fsfe.org/pipermail/fsfe-de/attachments/20131129/59f79ea0/attachment.sig>


Mehr Informationen über die Mailingliste FSFE-de