2009/9/19 Juergen Fenn <juergen.fenn(a)gmx.de>
Marco Schuster schrieb:
Ich würde NIEMALS meinen Private Key irgendwo
hochladen! Stell dir den
GAU
vor, nämlich dass einer der Provider gehackt
wird... dann is die Kacke am
Dampfen, aber richtig. Wohl noch schlimmer als wenn die VDS-Server
gehackt
werden...
Auch dann ist noch nicht aller Tage Abend. Es kommt auf die Güte der
Passphrase an. Anne Roth hatte beim letzten CCC-Kongreß erzählt, die
Polizei hätte aufgegeben, als sie erfuhren, daß der Private Key, den sie
auf der Festplatte gefunden hatten, mit einem ordentlichen sechs- oder
siebenstelligen Paßwort versehen war.
Wenn ich als Hacker einen derartigen Server hacken würde, würde ich als
allererstes den Webmailer-Code so umbauen, dass er mir die Passwörter
mitliefert... irgendwo müssen die ja im Klartext vorliegen. Eine Alternative
wäre ein vollständiger Port von GnuPG nach Javascript. Das könnte dann den
hochgeladenen Private Key per AJAX holen, die Nachricht
verschlüsseln/signieren und dann abschicken; das würde auf jedem JS-fähigen
Browser funktionieren und die Private Keys geschützt lassen. Aber ich denke,
dass das auf längere Zeit ein Wunschtraum bleiben wird...
Marco
--
VMSoft GbR
Nabburger Str. 15
81737 München
Geschäftsführer: Marco Schuster, Volker Hemmert
http://vmsoft-gbr.de