On 02.03.2015 10:05, Volker Grabsch wrote: > RA Stehmann schrieb: >> On 27.02.2015 16:54, Nicolai Parlog wrote: >> >>> Zur Abstreitbarkeit: >>> >>> Wenn ich eine Mail nicht signiere, weiß der Empfänger aber auch nicht, >>> das sie nicht von mir ist. Abstreitbarkeit vereint beides: der Empfänger >>> weiß, dass sie von mir ist, aber er kann es Außenstehenden nicht >>> beweisen. Das liegt daran, dass wir beide den gleichen Schlüssel >>> benutzen und er damit die gleiche Nachricht hätte erzeugen können wie ich. >> >> Was hältst Du von folgenden Verfahren? >> >> Ich erzeuge ein Schlüsselpaar nur für den Verkehr mit Dir. Dann schicke >> ich Dir auf einem sicheren Weg den public key. Diesen lade ich >> selbstverständlich weder auf einen Keyserver hoch, noch gebe ich ihn >> anderen. >> >> Wenn Du mir dann eine verschlüsselte, aber unsignierte Email schickst, >> weiß ich, dass sie von Dir stammt, denn nur Du hast den "richtigen" >> public key. Andererseits kannst Du abstreiten, sie mir geschickt zu >> haben, denn ich könnte a) die Mail selbst erzeugt oder b) den public key >> auch anderen zugänglich gemacht haben. > > Zunächst einmal brauchst du dafür keinen Public-Key, ein symmetrischer > Schlüssel tut es genauso und ist performanter.
Stimmt. > > Das Problem ist, wenn der Empfänger des (Public-)Keys kompromittiert > wird. Dann haben auch andere diesen Key und können dir Nachrichten in > seinem Namen senden. Du bist also nicht mehr sicher, dass er > derjenige ist, mit dem du reden willst. Das Problem besteht bei einer Signatur grundsätzlich auch. > > Deshalb benutzt man diese Keys immer nur kurz, für einen einzigen > Nachrichtenaustausch oder eine einzige Kommunikationssitzung. Beim > nächsten Mal handelt man einen neuen Wegwerf-Schlüssel aus. Wie immer kommt es darauf an, wie vernünftig man damit umgeht. Gruß Michael
signature.asc
Description: OpenPGP digital signature
_______________________________________________ fsfe-de mailing list [email protected] https://mail.fsfeurope.org/mailman/listinfo/fsfe-de
