2009/9/19 Juergen Fenn juergen.fenn@gmx.de
Marco Schuster schrieb:
Ich würde NIEMALS meinen Private Key irgendwo hochladen! Stell dir den
GAU
vor, nämlich dass einer der Provider gehackt wird... dann is die Kacke am Dampfen, aber richtig. Wohl noch schlimmer als wenn die VDS-Server
gehackt
werden...
Auch dann ist noch nicht aller Tage Abend. Es kommt auf die Güte der Passphrase an. Anne Roth hatte beim letzten CCC-Kongreß erzählt, die Polizei hätte aufgegeben, als sie erfuhren, daß der Private Key, den sie auf der Festplatte gefunden hatten, mit einem ordentlichen sechs- oder siebenstelligen Paßwort versehen war.
Wenn ich als Hacker einen derartigen Server hacken würde, würde ich als allererstes den Webmailer-Code so umbauen, dass er mir die Passwörter mitliefert... irgendwo müssen die ja im Klartext vorliegen. Eine Alternative wäre ein vollständiger Port von GnuPG nach Javascript. Das könnte dann den hochgeladenen Private Key per AJAX holen, die Nachricht verschlüsseln/signieren und dann abschicken; das würde auf jedem JS-fähigen Browser funktionieren und die Private Keys geschützt lassen. Aber ich denke, dass das auf längere Zeit ein Wunschtraum bleiben wird...
Marco