Passwortsperre

  • Thunderbird-Version: 31.1.2
    Betriebssystem + Version: Windows 7
    Kontenart (POP / IMAP): POP
    Postfachanbieter (z.B. GMX):
    S/MIME oder PGP: PGP
    Hallo!
    Ich weiß nicht ob ich hier richtig bin, hoffe aber trotzdem das mir einer helfen kann.


    Mein privater Schlüssel ist auf meinem PC gespeichert. Um eine Datei zu entshlüsseln muss ich zwar mit meinem Passwort bestätigen, aber beim GNU Privavy Assistenten kann jeder ohne weiteres den privaten Key auslesen. Warum gibt es hier nicht auch eine Passwortsperre :?:


    Danke im Voraus :)

  • Hallo haemda,


    Zitat von "haemda"

    Ich weiß nicht ob ich hier richtig bin, hoffe aber trotzdem das mir einer helfen kann.


    Tja, ich denke, die einzige Hilfe, die wir Dir dazu geben können, ist der Rat, Dich an das GnuPG-Projekt selbst zu wenden. Von denen stammt der GPA.


    Der GPA ist eine grafische Oberfläche zur Verwaltung des Schlüsselbundes, so wie Seahorse oder Kleopatra (Cleopatra?). Mit dem TB oder Enigmail hat das Programm nichts zu tun. Du kannst grundsätzlich auch ohne ein solches Tool arbeiten und Deine Schlüssel über die Kommandozeile verwalten.
    Das Problem bleibt aber bestehen: Einen extra Passwortschutz, außer den Mechanismen, die Dein Betriebssystem Dir bietet, hast Du dadurch nicht. Wer Zugriff auf Deinen Rechner und die entsprechenden Rechte hat, kann auf den Schlüsselbund zugreifen und auch Schlüssel exportieren. Ohne Passphrase nutzen sie ihm allerdings zunächst nichts.
    Wenn Du einen weiteren Schutz einrichten möchtest, dann kannst Du das über die Rechteverwaltung des Betriebssystems tun. Dort kannst Du z.B. festlegen, wer den GPA überhaupt ausführen darf.


    Gruß


    Susanne

  • Gut, Danke für die Antwort!


    Ich wusste eigentlich, dass TB oder Enigmail mit dem GPA nichts zu tun hat, war aber trotzdem in der Hoffnung, hier kompetente Leute zu finden ;)


    Natürlich, eine Stärke von GPA ist das nicht gerade, Enigmail fragt aber schon das Passwort ab. Und wenn jemand meinen privaten Schlüssel hat, aber nicht das Passwort kann er trotzdem meine Nachrichten entschlüsseln?
    Wenn ja, wäre das nicht sehr hilfreich, da man sich doch recht schnell das Kennwort, bei mir konkret das Windowspasswort, erknacken kann (mit Ophcrack...). Wenn man wirklich große Sicherheit haben will müsste es aber helfen, seine Festplatte zu verschlüsseln, oder nicht?


    Und wenn ich das richtig verstehe braucht Enigmail GPA zwingend, bzw. die anderen von dir erwähnten Programme bieten auch keine Passwortsperre, oder?


    lg haemda

  • Zitat von "haemda"

    Und wenn jemand meinen privaten Schlüssel hat, aber nicht das Passwort kann er trotzdem meine Nachrichten entschlüsseln?


    Prinzipiell ja, aber er benötigt dazu zwingend auch Deine Passphrase. Die bietet also einen gewissen Schutz, ist aber bei weitem nicht so sicher, wie die GPG-Verschlüsselung an sich.


    Zitat von "haemda"

    da man sich doch recht schnell das Kennwort, bei mir konkret das Windowspasswort, erknacken kann


    Wenn Du Dein Windowskennwort auch als Passphrase verwendest, bist Du schon selbst schuld :mrgreen:


    Zitat von "haemda"

    Und wenn ich das richtig verstehe braucht Enigmail GPA zwingend


    Das wäre mir neu. Auf meinem Rechner gibt es keinen GPA. Die Schlüsselverwaltung von Enigmail hat aber, wie auch Seahorse, keinen eigenen Passwortschutz.


    Zitat von "haemda"

    Wenn man wirklich große Sicherheit haben will müsste es aber helfen, seine Festplatte zu verschlüsseln, oder nicht?


    Wenn es Dir um den Diebstahlschutz geht (z.B. bei einem Notebook) würde ich Dir das sehr empfehlen, ja. Übrigens, selbst wenn der GPA einen zusätzlichen Passwortschutz hätte, würde Dir dieser ohne verschlüsselte Platte in diesem Fall auch nicht helfen. Jemand, der Zeit und Fähigkeit hat, die Passphrase zu knacken, hätte mit dem einfachen Passwortschutz wohl auch kein Problem. Du siehst, ab einem gewissen Punkt erscheint Dein Wunsch nicht mehr sinnvoll.


    Wenn es darum geht, dass jemand Zugriff auf Deinen laufenden Rechner hat, bringt Dir auch eine verschlüsselte Platte nicht viel. Derjenige könnte die Schlüssel ja im Betrieb exportieren. Das musst Du also über ein hinreichend gutes Windowspasswort absichern.


    Last but not least ... . Exportierte Schlüssel (das Backup) gehören sicher aufbewahrt, also nicht auf Deinem Rechner!

  • Ja, danke mal für die schnelle Antwort. :D

    Zitat von "SusiTux"


    Prinzipiell ja, aber er benötigt dazu zwingend auch Deine Passphrase. Die bietet also einen gewissen Schutz, ist aber bei weitem nicht so sicher, wie die GPG-Verschlüsselung an sich.


    Ok. Also bietet das zumindest ein Stück an Sicherheit.

    Zitat von "SusiTux"

    Wenn Du Dein Windowskennwort auch als Passphrase verwendest, bist Du schon selbst schuld :mrgreen:


    Nö, dürfte nicht der Fall sein :) . Aber auch dieses lässt sich (kommt natürlich auf die Komplexität des PW an) doch recht leicht knacken.

    Zitat von "SusiTux"


    Das wäre mir neu. Auf meinem Rechner gibt es keinen GPA. Die Schlüsselverwaltung von Enigmail hat aber, wie auch Seahorse, keinen eigenen Passwortschutz.


    Naja das stimmt. Enigmail hat auch keinen Passwortschutz, wobei das dann das gleiche Problem bei GPA wäre ;). Und wenn ich GPA nicht will, müsste ich halt die Keys mit der Konsole verwalten?!

    Zitat von "SusiTux"

    Wenn es Dir um den Diebstahlschutz geht (z.B. bei einem Notebook) würde ich Dir das sehr empfehlen, ja. Übrigens, selbst wenn der GPA einen zusätzlichen Passwortschutz hätte, würde Dir dieser ohne verschlüsselte Platte in diesem Fall auch nicht helfen. Jemand, der Zeit und Fähigkeit hat, die Passphrase zu knacken, hätte mit dem einfachen Passwortschutz wohl auch kein Problem. Du siehst, ab einem gewissen Punkt erscheint Dein Wunsch nicht mehr sinnvoll.


    Natürlich 100%ige Sicherheit ist eine Wunschvorstellung. Von daher würde auch die Passphrase und der gewünschte Passwortschutz irgendwan mal anfällig sein. Hätte mir aber gedacht, dass vielleicht ein bisschen mehr Sicherheit zustandekommt ;)

    Zitat von "SusiTux"


    Wenn es darum geht, dass jemand Zugriff auf Deinen laufenden Rechner hat, bringt Dir auch eine verschlüsselte Platte nicht viel. Derjenige könnte die Schlüssel ja im Betrieb exportieren. Das musst Du also über ein hinreichend gutes Windowspasswort absichern.


    Natürlich, wenn jemand auf meinen laufenden Rechner kann und die entsprechenden Adminrechte hat, kann er meinen privaten Key auslesen. Aber eigentlich wäre ich davon ausgegangen, dass der PC aus ist.

    Zitat von "SusiTux"


    Last but not least ... . Exportierte Schlüssel (das Backup) gehören sicher aufbewahrt, also nicht auf Deinem Rechner!


    Ja schon, aber wenn jeder mit Zugriff diese selber exportieren kann, dann ist er nicht auf Backups angewiesen. Gut, er könnte diese trotzdem abgreifen (Live-OS etc.), aber um eben dies zu verhindern, wäre dann ja eine Festplattenverschlüsselung sinvoll.


    lg haemda

  • Zitat von "haemda"

    Und wenn ich GPA nicht will, müsste ich halt die Keys mit der Konsole verwalten?!


    Nein, es gibt weitere Tools, schrieb ich doch. Unter Windows z.B. Kleopatra. Ob die angeblich so schöne Dame einen zusätzlichen Passwortschutz hat, weiß ich aus dem Stand nicht. Ich vermute aber, dass nicht.


    Zitat von "haemda"

    Natürlich, wenn jemand auf meinen laufenden Rechner kann und die entsprechenden Adminrechte hat, kann er meinen privaten Key auslesen


    Dazu braucht es keine Adminrechte.


    Zitat von "haemda"

    Aber eigentlich wäre ich davon ausgegangen, dass der PC aus ist. ... wäre dann ja eine Festplattenverschlüsselung sinvoll.


    Schrieb ich ebenfalls schon.


    Gruß


    Susanne