Textkommentare in öffentlichen GnuPG Keys

B

bananenBrot

Well-Known Member
Hi,

bei den öffentlichen Keys steht ja immer eine oder mehrere Kommentarzeilen dabei - meist mit welcher Version der Key erstellt wurde und auf welcher Plattform.
Diese Information kann man ja im Key beliebig editieren, und er bleibt trotzdem gültig.

Jetzt die Frage: Wozu dient diese Information? Ich finde es eher ein Risiko, denn über die verwendete Software kann ich auf Schwachstellen schließen und die verwendete Plattform gibt mit Aufschluss über das System, welches mein "Ziel" nutzt. Daraus kann ich auch einiges ableiten.

Gruß
 
Zuletzt bearbeitet:
Danke für die Auflistung.

Du kannst die Einstellungen unter Edit→Preferences→Advanced→General→Config Editor auch ohne Texteditor vornehmen.
 
Bisherige Antworten zielen ja eher darauf ab "stell es ab und sei glücklich" als zu beantworten warum es tatsächlich so ist ...

Ich habe vor einiger Zeit recht intensiv mit den entsprechenden Standards gearbeitet und teilweise Implementierungen in dem Bereich gemacht (d.h. ASN.1 Objekte lesen, verwalten, usw). Die Schlüssel werden üblicherweise als ASN.1 Objekte kodiert und enthalten -- sofern ich damals nichts übersehen habe und mich korrekt erinnere -- keine Information womit sie erzeugt worden sind. Das hat jedoch durchaus Relevanz!

Es gab in der Vergangenheit immer wieder GnuPG Versionen -- teils auf unterschiedlichen Systemen -- die durch Sicherheitsprobleme auffällig wurden (bspw. nicht genug Zufall bei Schlüsselerzeugung usw). Um dem vorzubeugen ist es absolut sinnvoll entsprechende Informationen zumindestens beim Schlüssel abzuspeichern.

Ansonsten kann es dir passieren, dass du im Endeffekt nicht mehr weißt welche Version zum Erstellen genutzt wurde. Für *dich* solltest du diese Informationen daher unter allen Umständen vorhalten. Ob du diese Information jedem bereit stellen möchtest ist eine andere Frage.

Meiner Meinung nach sollte man solche Schlüssel auf einem separaten, abgesicherten System (idealerweise ohne Netzwerkzugang) erzeugen. Dabei ist es dann auch völlig unerheblich ob dein Gegenüber das System/Version kennt mit dem der Schlüssel ursprünglich erzeugt worden ist.

--> Ich wüsste zum Beispiel gerne auf welchem System/Version der Schlüssel meines Kommunikationspartners erstellt wurde, um ihn ggf. auf bekannte Schwächen dieser Version hinzuweisen.
 
@h^2
Leider beginnt das Boundary immer mit ----enig. Ich habe auf die Schnelle nichts dazu gefunden wie man das abschaltet.
 
k_e_x schrieb:
--> Ich wüsste zum Beispiel gerne auf welchem System/Version der Schlüssel meines Kommunikationspartners erstellt wurde, um ihn ggf. auf bekannte Schwächen dieser Version hinzuweisen.
Zum Vergrößern anklicken....
Kann man nach dem Import noch sehen, aus welcher Version der Key gefallen ist?
Eine Option hab ich dafür nicht gefunden.
 
Nein, leider nicht. Soweit mir bekannt ist es sogar so, dass wenn du einen importierten Schlüssel wieder exportierst -- der Kommentar dann deine eigene genutzte Version angibt (das dürfte zwar im Einzelfall von der verwendeten Software abhängen, aber ich glaube da verhalten sich alle gleich ...).

Ich denke schon, dass das irgendwie nicht 100%ig durchdacht ist, was aber vielleicht auch daran liegt, dass man damals noch nicht so abschätzen konnte wie wichtig die tatsächliche spätere Implementierung sein könnte ...
 
k_e_x schrieb:
Soweit mir bekannt ist es sogar so, dass wenn du einen importierten Schlüssel wieder exportierst -- der Kommentar dann deine eigene genutzte Version angibt (das dürfte zwar im Einzelfall von der verwendeten Software abhängen, aber ich glaube da verhalten sich alle gleich ...).
Zum Vergrößern anklicken....
Tatsächlich :eek: :ugly:
Wirklich etwas wenig durchdacht das ganze :)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben