Hi @ all,

ich habe GnuPG Version 1.24, beide Schlüssel haben 1024-Bit.
Wie sicher ist das eigentlich und was wisst ihr so darüber?

Danke im voraus,
Shady

[ 24. Februar 2004, 22:19: Beitrag editiert von: Shady2k ]

Bei korrekter Implementierung gelten die verwendeten Verschlüsselungsalgorithmen als derzeit absolut sicher. Allerdings sollte die Passphrase auch hinreichend lang und komplex sein. Die Entschlüsselung mittels "brute force attack" würde dann einfach zu lange dauern (Millionen Jahre). Ob das mit zunehmender Computerpower so bleiben wird, ist natürlich offen. Aber für die nächsten JAhre würde ich mir da keine Gedanken machen.

PGP ist übrigens ab Version 7.x keine Freeware mehr und gilt als korrumpierbar. GNU-PG ist da sicher die bessere Wahl! [img]smile.gif[/img]

Gruß!
MyThinkTank

GnuPGP ist OpenSource
PGP meines Wissen nicht, sondern nur für Privatbenutzer frei

Soweit ich weiss, habens in PGP einen Corprate-Key eingebaut.

Lies dich mal durch Raven's Seite http://www.kai-raven.de.vu/

Ist eine der Besten zu diesem Thema

Knacken kann man alles - ist nur eine Frage der Rechnerleistung und Zeit. Mit einem herkömmlichen Rechner kann man es nicht vernüftigen knacken

Doch, es gibt noch eine Freeware-Version aber die ist eingeschränkt und OpenSource.

Seht selbst:

http://www.pgp.com/products/freeware.html

</font><blockquote>Zitat:</font><hr /> U.S. Export Administration Regulations </font>[/QUOTE]Da liegt das Problem. Die US-Versionen von PGP gelten nicht als sicher, weil NSA, CIA und Verwandte die Möglichkeiten zur Entschlüssen haben /haben wollen. Die Verschlüsselungsstärke wurde künstlich begrenzt. Und ich vermute, dass dies bei Version 8.x so geblieben ist. Bei Version 6.5.8 gilt die internationale Version als sicher.
Imho fehlt bei Version 8.x auch der Source Code. Damit ist das NICHT sicher!

Goofys Hinweis auf die Seite von Kai Raven ist übrigens sehr lobenswert. Diese Seite ist vorzüglich!

MTT

Wie sieht das ganze denn mit GnuPG aus?
Hat dieses Proggy diese "Probleme" auch ?

@shady:
Guck doch bitte hier:
http://kai.iks-jena.de/pgp/index.html

MTT

Danke für den Link MyThinkTank [img]graemlins/kloppen.gif[/img]

Shady

[ 24. Februar 2004, 22:22: Beitrag editiert von: Shady2k ]

Das sagst du so einfach.
Jetzt haben alle, die PGP bzw. GnuPG haben meinen 1024er-Key!

Shady

Das Verfahren ist übrigens DSA.

[ 24. Februar 2004, 22:24: Beitrag editiert von: Shady2k ]

@Shady: mach Dir jetzt keinen Kopf wegen Deiner Schlüssel... wenn nämlich Deine Nachricht nicht nur auf Deinen eigenen 4096-bit-Schlüssel verschlüsselt ist, sondern auch auf den 1024 von Deinem Gegenüber, dann ist's ja doch nur 1024-sicher. Soll heißen: die Kette ist nur so stark, wie ihr schwächstes Glied.

Leider bin ich nicht Kryptologe, deshalb frage ich mich jetzt auch, wie denn nun mein "2048/1024 DH/DSS key pair" einzuordnen ist. Soviel ich verstanden habe, ist der 2048-Teil zum Verschlüsseln und der 1024-Teil zum Signieren. (unter "Key Proerties", Reiter "Subkeys")

Also, in den nächsten Jahren einen 4096-bit-Schlüssel unter die Leute bringen, besonders, wenn die Schreibpartner auch solche nutzen.

Übrigens: wie hast Du es eigentlich geschafft, daß Du mehrere Leute an PGP gebracht hast??? ich stoße leider allzuoft auf völliges Unverständnis

Hendrik

</font><blockquote>Zitat:</font><hr />Original erstellt von Shady2k:
Hi @ all,

ich habe GnuPG Version 1.24, beide Schlüssel haben 1024-Bit.
Wie sicher ist das eigentlich ?</font>[/QUOTE]Was ist das denn für ein Verfahren? RSA? Auf dem letzten CCC-Congress gab es einen Vortrag mit dem Namen "1024 RSA ist unsicher". Es ging darum, dass interessierte Organisationen mit Spezialhardware (also Prozessoren, die nur zum Zweck des Knackens eines Keys gemacht wurden) im Wert von 10 Mio. EUR einen 1024bit RSA-Key in 1 Jahr knacken können. Das hört sich erstmal noch ziemlich sicher für Privatnutzer an.
Wenn man bedenkt, dass Hardware immer billiger wird und was interessierte Organisationen für Geld zur Verfügung haben, sollte man sich vielleicht doch für nen 2048er Key entscheiden, der ist nicht doppelt so sicher, sondern _deutlich_ sicherer, da die Sicherheit eines RSA-Schlüssels nicht linear steigt.
Fazit: nimm' einen 2048er RSA-Key und gpg, kostet ja nix.

.cruz

doppelt [img]graemlins/balla.gif[/img]

</font><blockquote>Zitat:</font><hr />Original erstellt von Hendrik:
@Shady: mach Dir jetzt keinen Kopf wegen Deiner Schlüssel... wenn nämlich Deine Nachricht nicht nur auf Deinen eigenen 4096-bit-Schlüssel verschlüsselt ist, sondern auch auf den 1024 von Deinem Gegenüber, dann ist's ja doch nur 1024-sicher. Soll heißen: die Kette ist nur so stark, wie ihr schwächstes Glied.

Leider bin ich nicht Kryptologe, deshalb frage ich mich jetzt auch, wie denn nun mein "2048/1024 DH/DSS key pair" einzuordnen ist. Soviel ich verstanden habe, ist der 2048-Teil zum Verschlüsseln und der 1024-Teil zum Signieren. (unter "Key Proerties", Reiter "Subkeys")

Also, in den nächsten Jahren einen 4096-bit-Schlüssel unter die Leute bringen, besonders, wenn die Schreibpartner auch solche nutzen.

Übrigens: wie hast Du es eigentlich geschafft, daß Du mehrere Leute an PGP gebracht hast??? ich stoße leider allzuoft auf völliges Unverständnis

Hendrik </font>[/QUOTE]Nun ja, einige Leute die ich kenne sind Leute aus der Szene, die wissen natürlich das Sicherheit wichtig ist.
Dann kenne ich noch privat 2 Leute, den ersten musste ich überreden, der 2te wollte das Programm von ganz allein haben.
Ich hab jetzt so 8 Keys.

Shady

[ 24. Februar 2004, 22:24: Beitrag editiert von: Shady2k ]

</font><blockquote>Zitat:</font><hr />Original erstellt von Shady2k:
Das sagst du so einfach.
Jetzt haben alle,die PGP bzw. GnuPG haben meinen 1024er-Key!
Soll ich jetzt jedem einzelnen meinen neuen geben???</font>[/QUOTE]Das musst du natürlich selbst wissen. Mit DSA kenn ich mich auch nicht so aus.

</font><blockquote>Zitat:</font><hr />Das Verfahren ist übrigens DSA. </font>[/QUOTE]http://www.iks-jena.de/mitarb/lutz/s...ptfaq/q26.html

.cruz