2009/9/19 Juergen Fenn <[email protected]> > Marco Schuster schrieb: > > Ich würde NIEMALS meinen Private Key irgendwo hochladen! Stell dir den > GAU > > vor, nämlich dass einer der Provider gehackt wird... dann is die Kacke am > > Dampfen, aber richtig. Wohl noch schlimmer als wenn die VDS-Server > gehackt > > werden... > > Auch dann ist noch nicht aller Tage Abend. Es kommt auf die Güte der > Passphrase an. Anne Roth hatte beim letzten CCC-Kongreß erzählt, die > Polizei hätte aufgegeben, als sie erfuhren, daß der Private Key, den sie > auf der Festplatte gefunden hatten, mit einem ordentlichen sechs- oder > siebenstelligen Paßwort versehen war. >
Wenn ich als Hacker einen derartigen Server hacken würde, würde ich als allererstes den Webmailer-Code so umbauen, dass er mir die Passwörter mitliefert... irgendwo müssen die ja im Klartext vorliegen. Eine Alternative wäre ein vollständiger Port von GnuPG nach Javascript. Das könnte dann den hochgeladenen Private Key per AJAX holen, die Nachricht verschlüsseln/signieren und dann abschicken; das würde auf jedem JS-fähigen Browser funktionieren und die Private Keys geschützt lassen. Aber ich denke, dass das auf längere Zeit ein Wunschtraum bleiben wird... Marco -- VMSoft GbR Nabburger Str. 15 81737 München Geschäftsführer: Marco Schuster, Volker Hemmert http://vmsoft-gbr.de _______________________________________________ WikiDE-l mailing list [email protected] https://lists.wikimedia.org/mailman/listinfo/wikide-l
