Re: OpenPGP, Kryptokampagne (Re: [OT?] PGP)
On Mon, 2 Dec 2013 18:04, lists...@netcologne.de said: >> funktionieren nur under Windows richtig. > > Auch die Omnikey's 5121 o. 6121 von hier mit 'GnuPG's internal driver'? > http://www.gnupg.org/howtos/card-howto/en/smartcard-howto-single.html Ja leider. Man kann sie mit proprietären Kommandos in einen TPDU modus schalten, das ist aber nirgends dokumentiert. Ich hatte mir damals mal das USB Protokoll auf Windows angesehen und versucht das implementieren. Es geht so la-la aber alles andere als zuverlässig. Salam-Shalom, Werner -- Die Gedanken sind frei. Ausnahmen regelt ein Bundesgesetz. ___ fsfe-de mailing list fsfe-de@fsfeurope.org https://mail.fsfeurope.org/mailman/listinfo/fsfe-de
Re: OpenPGP, Kryptokampagne (Re: [OT?] PGP)
Werner Koch schrieb: Wie immer sehr informativ. (Unser deutscher Bruce Schneier ;-) Danke. > Von Omnikey sollte man die Finger lassen - die > funktionieren nur under Windows richtig. Auch die Omnikey's 5121 o. 6121 von hier mit 'GnuPG's internal driver'? http://www.gnupg.org/howtos/card-howto/en/smartcard-howto-single.html -- Ciao Marco, registered GNU/Linux-User 313353 Bitte senden Sie mir keine Word-, Exel- oder PowerPoint-Anhänge. Siehe http://www.gnu.org/philosophy/no-word-attachments.de.html signature.asc Description: This is a digitally signed message part. ___ fsfe-de mailing list fsfe-de@fsfeurope.org https://mail.fsfeurope.org/mailman/listinfo/fsfe-de
Re: OpenPGP, Kryptokampagne (Re: [OT?] PGP)
On Fri, 29 Nov 2013 23:01, p...@fsfe.org said: > Platz. Auf asymmetrische Funktionen wurde schlicht und ergreifend aus > Kostengründen verzichtet - die Primäre Funktion des Sticks ist ohnehin Nope. Aktuelle Versionen implementieren den OpenPGP Card Standard (Manufactorer ID ist 6) und sind deswegen kompatibel zur Fellowship Card. Ich habe allerdings noch keine Samples erhalten und muss mich auf Simons bericht verlassen. > ^^ Das wäre wohl eher die USB Variante der derzeitigen Fellowship Card. > Die erfüllt natürlich einen anderen Zweck, als der Yubikey. Zum Login GnuK is gut hat aber keinen sicheren Chip. Das bedeutet, dass man die Keys ohne grösseren Aufwand auslesen kann falls man so ein Token mal gefunden hat. > PGP-Stick theoretisch vollwertige Challenge-Response Authentifizierung > an Onlineservices, in der Praxis fehlen aber standardisierte Verfahren, > um so etwas z.B. im Webbrowser durchzuführen - geschweige denn von Wie wäre es mit www.scute.org - das gibt es schon seit vielen Jahren und funktionierte zumindest mit Mozilla problemelos. Ansonsten würde ich momentan einen Identive (früher CMS) SCT3512 USB Reader empfehlen. Da passt die auf ID-000 Format geschnittene Fellowchip Karte rein - oder halt eine schon vorgestanzte Karte von kernelconcepts. Ist zwar ein China Plastikteil und nicht so gut verarbeitet wie ältere Reader; vom Innenleben aber einwandfrei. Kostet wohl so 25 Euro. Von Omnikey sollte man die Finger lassen - die funktionieren nur under Windows richtig. Shalom-Salam, Werner -- Die Gedanken sind frei. Ausnahmen regelt ein Bundesgesetz. ___ fsfe-de mailing list fsfe-de@fsfeurope.org https://mail.fsfeurope.org/mailman/listinfo/fsfe-de
Re: OpenPGP, Kryptokampagne (Re: [OT?] PGP)
Bernhard Reiter , Fri, 29 Nov 2013 14:32:33 +0100: > Die Diskussion beim yubikey Vortrag in Berlin diesen Monat > ergab, dass uns nicht klar war, warum hier kein symmetrisches > Verschlüsselungsverfahren eingesetzt wird, insofern wäre ein OpenPGP > "key" sicherlich besser. Darf ich da nochmal nach Details fragen? Mir ist gerade völlig unklar, wo der Yubikey ein symmetrisches Verschlüsselungsverfahren einsetzen würde. Das klingt für mich gerade etwa so, als würdest du belgische Hot Dogs dafür kritisieren, dass sie keine symmetrische Kryptografie benutzen. Der Yubikey besteht aus einem Keygenerator auf Hash-Basis, in den ein nicht auslesbares Secret als Seed geschrieben wird. Insofern handelt es sich nicht tatsächlich um ein vollwertiges One Time Pad. Daneben gibt es eine Funktion, die Challenge-Response-Authentifizierung erlaubt. Generell basiert diese wiederum entweder auf asymmetrischer Verschlüsselung oder, wie im Falle des Yubikey, auf Hash-Verfahren. Ersteres hat Vorteile beim Schlüsselmanagement, dafür ist letzteres hardwareseitig viel einfacher zu implementieren - besonders mit den Komponenten, die aufgrund der oben genannten Funktion im Yubikey schon vorhanden sind. Symmetrische Kryptografie findet in beiden Funktionen des Yubikey keinen Platz. Auf asymmetrische Funktionen wurde schlicht und ergreifend aus Kostengründen verzichtet - die Primäre Funktion des Sticks ist ohnehin das "One-Time-Pad", die zweitklassige Challenge-Response Funktion nur eine zusätzliche Dreingabe. > So was, wie der CryptoStick oder GnuK > http://blog.asmw.org/2013/09/11/gnuk-openpgp-2-0-token/ > http://www.seeedstudio.com/depot/fst01-with-white-enclosure-p-1279.html > http://www.seeedstudio.com/wiki/FST-01 ^^ Das wäre wohl eher die USB Variante der derzeitigen Fellowship Card. Die erfüllt natürlich einen anderen Zweck, als der Yubikey. Zum Login z.B. bei Fellowship-Services ist sie weniger praktikabel, dafür erlaubt sie das Signieren von Nachrichten. Zwar erlauben die Karte bzw. der PGP-Stick theoretisch vollwertige Challenge-Response Authentifizierung an Onlineservices, in der Praxis fehlen aber standardisierte Verfahren, um so etwas z.B. im Webbrowser durchzuführen - geschweige denn von einem Internet-Cafe aus. -- Paul Hänsch█▉ Jabber: p...@jabber.fsfe.org Webmaster█▉█▉█▉ Support the FSFE Free Software Foundation Europe▉▉http://fsfe.org/support/?paul signature.asc Description: PGP signature ___ fsfe-de mailing list fsfe-de@fsfeurope.org https://mail.fsfeurope.org/mailman/listinfo/fsfe-de
Re: OpenPGP, Kryptokampagne (Re: [OT?] PGP)
On 29.11.2013 14:32, Bernhard Reiter wrote: > Moin, > > Am Donnerstag, 28. November 2013 14:17:21 schrieb Michael Kappes: >> Warum hat die FSFE nicht auch solch einen "Dienst" ?! >> http://www.heise.de/security/dienste/Wie-kann-ich-mitmachen-474837.html > > die Heise-Kryptokampagne ist nützlich und es gibt sie schon. :) > Bei Treffen der FSFE, z.B. Fellowshiptreffen, habe ich persönlich auch schon > viele Zertifikatsaustausch gesehen. Insofern: Einfach mal bei nächsten > Fellowshiptreffen da anregen und hinfahren. > Key-signing-Parties (auch Nerd-Speeddatings genannt ;-) ), gibt es bei fast allen größeren Events, von der FOSDEM bis zur ORR. Daneben wird Key-Signing auch bei Crypto-Parties angeboten und betrieben. Auch bei den Fellowshiptreffen in Düsseldorf ist Key-Signing auf Nachfrage möglich. Gleiches gilt für CAcert-Assuranses. An die breitere Öffentlichkeit wenden wir uns hier im Rahmen der Beteiligung an Crypto-Parties. Gruß Michael signature.asc Description: OpenPGP digital signature ___ fsfe-de mailing list fsfe-de@fsfeurope.org https://mail.fsfeurope.org/mailman/listinfo/fsfe-de
OpenPGP, Kryptokampagne (Re: [OT?] PGP)
Moin, Am Donnerstag, 28. November 2013 14:17:21 schrieb Michael Kappes: > Warum hat die FSFE nicht auch solch einen "Dienst" ?! > http://www.heise.de/security/dienste/Wie-kann-ich-mitmachen-474837.html die Heise-Kryptokampagne ist nützlich und es gibt sie schon. :) Bei Treffen der FSFE, z.B. Fellowshiptreffen, habe ich persönlich auch schon viele Zertifikatsaustausch gesehen. Insofern: Einfach mal bei nächsten Fellowshiptreffen da anregen und hinfahren. > Ich brauche für meine Fellow Card 'nen neuen (externen Karten Leser) > welche Hardware empfehlt ihr unter Debian (7/8) Normalerweise haben die Jungs und Mädels von Kernelconcepts dafür was passendes bereits: http://shop.kernelconcepts.de/index.php?cPath=1_26 Z.B. die Lesegeräte von identive. > BTW: Den hier (0) in Fellow Grün mit dem "richtigen" Key. Das wäre doch > mal was?! > (0) https://www.yubico.com/products/yubikey-hardware/yubikey/ Die Diskussion beim yubikey Vortrag in Berlin diesen Monat ergab, dass uns nicht klar war, warum hier kein symmetrisches Verschlüsselungsverfahren eingesetzt wird, insofern wäre ein OpenPGP "key" sicherlich besser. http://www.open-it-berlin.de/veranstaltungen/meet-greet-mit-open-it-berlin-it-sicherheit So was, wie der CryptoStick oder GnuK http://blog.asmw.org/2013/09/11/gnuk-openpgp-2-0-token/ http://www.seeedstudio.com/depot/fst01-with-white-enclosure-p-1279.html http://www.seeedstudio.com/wiki/FST-01 Gruß, Bernhard -- FSFE -- Gründungsmitglied der Vollversammmlungblogs.fsfe.org/bernhard Unterstütze Freie Software: https://www.fsfe.org/support/support.de.html signature.asc Description: This is a digitally signed message part. ___ fsfe-de mailing list fsfe-de@fsfeurope.org https://mail.fsfeurope.org/mailman/listinfo/fsfe-de