Wie sicher ist mein privater Schlüssel?

  • Hallo,


    kann mir jemand sagen, wo der private Schlüssel in Thunderbird gespeichert wird und wie dieser geschüzt ist.


    Oder kann mir jemand sagen, wo ich dies nachlesen kann.


    Denn was nützt es mir, wenn ich den privaten Schlüssel als Kopie in einen Tresor lege aber der private Schlüssel von Thunderbird für jeden Trojaner offen da liegt ;-)


    Wie macht Ihr das?


    Bin für jede Info dankbar!


    Viele Grüße


    Marcel

  • Hallo,


    redest du von Enigmail bzw. GnuPG?
    Falls ja:


    Die privaten Schlüssel sind per default in ~/.gnupg/secring.gpg (unter Linux) bzw. c:\programme\gnu\gnupg\secring.gpg (Windows) gespeichert. Und wären sie das nicht -also zB nur in deinem Tresor- wärst du auch nicht in der Lage, irgendeine mit deinem öffentlichen Schlüssel verschlüsselte Mail/Datei zu entschlüsseln.
    Dein privater Schlüssel ist im Prinzip nichts anderes als eine Textdatei, die das eigentliche Passwort zur Entschlüsselung enthält. Diese Datei ist symmetrisch per CAST5 verschlüsselt. Das Mantra dafür hast du beim Erstellen selbst gewählt (hoffentlich sicher genug), in der Regel ist das auch das schwächste Glied in der ganzen Kette.


    Was nützt dir der private Schlüssel im Tresor, wenn der Trojaner einen Keylogger installiert, deine Mailverzeichnisse verschickt etc? Das Problem liegt hier eindeutig nicht bei GnuPG.


    Mehr Infos findest du in dieser GnuPG Anleitung, wikipedia und natürlich durch die Suchmaschine deines Vertrauens.


    Grüße
    Karla

  • Hallo,
    ...wieder mal zu langsam gewesen, gerade hatte ich einen ähnlichen Text fertig.
    Kleine Anmerkung: das Schlüsselverzeichnis kann schon geändert bzw. um weitere Verzeichnisse mit Schlüsseln erweitert werden, wenn auch nicht auf einen Tresor an der Wand ;-).
    Und zum Sicherheitsaspekt: Wichtig ist, ohne Administratorrechte zu arbeiten, unnötige Dienste zu deaktivieren, vielleicht auch Virenscanner und Firewall zu benutzen(nicht unumstritten), viel wichtiger aber Brain 1.0!


    muzel

  • Ok, bei mir geht es um S/MIME...


    Aber privater Schlüssel ist privater Schlüssel egal ob S/MIME oder PGP.


    Wo wird denn der private Schlüssel bei S/MIME gespeichert.
    Ich füge ihn dem Zertifikat-Manager von Thunderbird hinzu und dann ????


    Ist er da auch als Datei im Profiles-Verzeichnis oder in einem "Container" von Thunderbird.


    Mir geht es eben darum, wie der private Schlüssel auf dem Computer gesichert ist. Das Passwort ist schon klar, und das ein Key-Logger dieses mit schneiden kann ist auch klar.


    Zitat von "Karla"


    Dein privater Schlüssel ist im Prinzip nichts anderes als eine Textdatei,...


    Mich würde eben interessieren wie die Geschützt ist?


    Also ich stelle mir das so vor...


    - Virenscanner (logisch)
    - Firewall (logisch)
    - PasswortSATZ mit Sonderzeichen und Zahlen
    - Kopie vom privaten Schlüssel auf eine CD und ab in den Tresor, falls der Rechner mal Platt ist ;-)


    Jetzt hänge ich eben, da ich nicht weis wo der Schlüssel auf dem Rechner ist... kann man die Zugriffsrechte darauf ändern, oder wie sind die gesetzt ?


    Kann man den z.B. auch wo anders ablegen und Thunderbird nutz ihn von dort aus?
    z.B.: auf eine TrueCrypt-Partition (oder ist das zu paranoid)


    Ich hoffe ich stelle nicht zu viele Fragen und ihr könnt meinen Gedankengängen noch folgen.


    Danke Euch schon mal...


    Viele Grüße


    Marcel

  • Deine eigentlichen Fragen kann ich nicht beantworten, aber du kannst dein gesamtes Profil in eine TrueCrypt-Partition legen und paranoid ist das keineswegs, da die Mail- und Adressbuchdateien im Profilverzeichnis völlig ungeschützt sind.


    Gruß, Sünndogskind_2

  • Hallo Marcel;


    Schlüssel ist nicht mein Thema, das kann Peter_Lehmann viel besser. ;-)


    Aber ich habe in der Doku diesen Part gefunden:
    http://www.thunderbird-mail.de…ion1.5/profil_dateien.php ; dort wird unter anderem auf einige Dateien im Zusammenhang mit Schlüsseln hingewiesen; secmond.db, cert7/8.db und key3.db. Die liegen alle im Profilverzeichnis und haben anscheinend unterschiedliche Funktionen (wie gesagt - Schlüssel sind nicht mein Metier).
    Lies Dir die entsprechenden Passagen am besten mal selber durch.


    Ansonsten gehe ich davon aus, das sich Peter zu seinem Libelingsthema noch äußern wird.


    Gruß

  • Danke Euch für die Infos!!!


    Hat mir schon mal sehr weiter geholfen.


    Vielleicht kann ja Peter_Lehmann noch was dazu ergänzen.


    Viele Grüße


    Marcel

  • bin wieder da ...


    Hi Marcel,


    Schön, dass du dich mit diesem Thema befasst.
    Grundsätzlich sind deine Befürchtungen berechtigt.
    Die Datei mit deinem importierten Schlüssel kann von jedem, der physischen Zugriff zu deinem Rechner hat, gestohlen werden. Aber damit ist sie in guter Gesellschaft mit jeder Datei, die sich auf deinem Rechner befindet ... . (Es sei denn, du führst eine Festplattenverschlüsselung durch, aber das soll hier kein Tehma sein. TrueCrypt wurde schon genannt, ich ergänze mit free Infosec, Safeguard easy und anderen Sachen ... . Aber all das nutzt dir auch nur so lange was, wie der Rechner nicht genutzt oder die bewusste Partition nicht gemountet ist.)


    Ich habe bewusst von der _Datei_ mit deinem privaten Schlüssel geschrieben. Der eigentliche Schlüssel ist ja nochmals durch ein hoffentlich gutes Passwort gesichert. Aber auch hier bist du in guter Gesellschaft: Wenn du ein so genanntes Softwaretoken (also ein Zertifikat in Form einer .p12- oder .pfx-Datei verwendest, ist dein Schlüssel "lediglich" durch das PW geschützt. Das trifft für sämtliche Anwendungen zu, welche diese Token verwenden. Also keinesfalls nur für irgend ein Mailprogramm, sondern für heutzutage sehr viele Anwendungen.
    Wenn dir das "zu unsicher" ist, dann musst du auf Schlüssel umsteigen, welche auf Chipkarte gespeichert sind. Ich meine damit keine "dummen" Speicherkarten, sondern echte Prozessorkarten. Von diesen Karten lässt sich der geheime Schlüssel (nach ggw. Erkenntnis!) nicht auslesen und nach 3x falscher PIN ist die Karte gesperrt. In besonders sensiblen Bereichen sind diese Chipkarten Pflicht - und sie sind Dank der Initiativen einiger Banken jetzt auch für unsereins privat erschwinglich.


    Und jetzt kommen wir wieder zu meinem Lieblingsspruch: IT-Sicherheit kostet ab einer bestimmten Schwelle so richtig Geld ... . Deshalb solltest du mit einer so genannten Risikobetrachtung ermitteln, wieviel du davon wirklich benötigst (nein, nicht vom Geld, von der Sicherheit ...). Denn auch das kann man übertreiben.


    Und dann sollst du immer daran denken, dass es bei einem Rechner mit gewissem Grundschutz (wurde ja hier alles schon erwähnt) gar nicht so einfach ist, jemandem eine Datei heimlich online von der Platte zu stehlen. Und der Teil innerhalb des Thunderbird, welcher diese relavanten Daten speichert, wird ja nicht ohne Grund "Cryptografic Service Provider" (CSP) genannt.


    Und noch einen zum Abschluss:
    Solltest du einer einer "Zielperson" von irgend jemandem gehören (was ich nicht hofffe), dann gibt es heute viel einfachere Methoden, an deine Informationen zu kommen, als diese zu entschlüsseln. Aber jetzt geraten wir in Bereiche, die hier für uns alle so wie so jenseits "von gut und böse" sind.


    MfG "Peter"

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo,


    Zitat von "EyMa"

    Ok, bei mir geht es um S/MIME...


    Davon hab ich keine Ahnung, ich beziehe mich hier darum nur auf GnuPG und auch nur auf deine eine Frage.


    Zitat von "EyMa"

    Mich würde eben interessieren wie die Geschützt ist?


    Sie ist symmetrisch mit CAST5 verschlüsselt, sofern du beim Erstellen des Schlüsselpaares ein Mantra vergeben hast. Andere Algorithmen sind möglich.


    Grüße
    Karla