Diskussion:GNU Privacy Guard
Sicherheitsproblem
[Quelltext bearbeiten]Noch Aktuell ?? : In der Verschlüsselungs-Software Gnu Privacy Guard (GnuPG) wurde ein schwerwiegender Fehler entdeckt, der die Sicherheit von ElGamal-Schlüsseln bedroht. Dies teilte Werner Koch, Maintainer des GnuPG-Entwiklungsteams, in einem heute veröffentlichten Advisory mit. Herkömmliche RSA-Schlüssel sind von dem Problem nicht betroffen.
Die Sicherheitslücke existiert offenbar seit der Optimierung von GnuPG für die betroffene Schlüsselvariante im Jahr 2000. Die Codes können sowohl zum Verschlüsseln als auch zum Signieren (Typ 20) verwendet werden. Ein Angreifer kann den Schlüssel aus einer Signatur extrahieren und damit auch auf codierte Dokumente zugreifen. Entdeckt wurde das Problem vom Kryptografie-Experten Phong Nguyen, der zur Zeit als Dozent an der Ecole Normale Superieure, einer der renommiertesten Hochschulen Frankreichs, tätig ist.
Koch hat bereits einen Patch für das Problem bereit gestellt. Der Entwickler empfiehlt allen Nutzern von ElGamal-Keys, die ausschließlich im Expertenmodus der Krypto-Software erstellt werden können, diese ungültig zu machen. Obwohl der Fehler wahrscheinlich erst ab der Version 1.0.2 auftrat, sollten auch ElGamal-Nutzer mit älteren GnuPG-Varianten neue Schlüssel anfertigen. c.h.
- Ich habe den Text mal gekürtzt und um aktuelle Infos ergänzt. Aber im Grunde könnte das ganz raus, Wikipedia muss ja nicht über die Sicherheitslücken aller möglichen Programme berichten, oder? -- IGEL 04:45, 5. Okt 2004 (CEST)
- ACK. Die Passage kann IMHO bedenkenlos bis auf eine kleine Notiz (Weblink?) gekürzt werden.
- --Qbi 12:11, 5. Okt 2004 (CEST)
Vorschlag zum Umbau
[Quelltext bearbeiten]Funktionsweise und Web of Trust enthalten sehr ähnliche Passagen. Das würde ich gerne stärker trennen. Vielleicht kann man die technische Beschreibung auch mehr auf die Spezialartikel wie z.B. OpenPGP verlagern und hier mehr auf das Programm bzw. das GnuPG-Projekt eingehen?!? Insgesamt sind fast alle Artikel im PGP-Umfeld recht überarbeitungswürdig. Eventuell kann man sich da teilweise an der englischen Version anlehnen? Eure Meinung?
- HoSe 00:47, 24. Jun 2005 (CEST)
- Ist erledigt (nicht nur von mir, sondern schon irgendwann vorher; ich will hier nur den Status kenntlich machen). --Hauke Laging (Diskussion) 03:38, 8. Okt. 2012 (CEST)
Umgang mit PGP-Schlüssel
[Quelltext bearbeiten]Hi habe heute von einem eurer Web-Server eine von mir versendete Mail wiederbekommen, an dem ein solcher Schlüssel anhing. habe aber leider keine Ahnung, wie ich damit umgehen muss, soll, kann, darf. wäre schön, wenn einer von euch mir das erklären könnte. Im voraus vielen Dank--Keigauna 09:35, 7. Okt 2005 (CEST)
- Die Wikipedia soll eigentlich keine Bedienungsanleitung sein. Aber ganz kurz: Vemutlich handelt es sich um eine Mail mit einer Signatur. Damit kann man die Unversertheit und den Autor der Mail feststellen. Weiteres dazu in den Weblinks des Artikels --Walter Koch 14:45, 8. Okt 2005 (CEST)
Hallo, ich will hier den Rat nicht ausnutzen, aber ich glaube, daß meine folgende Frage auch eine Anregung zur weiteren Verbesserung der Verständlichkeit des Textes für (Noch-) Laien ist: Im Text steht, man solle die Schlüssel unbedingt sehr behutsam austauschen, z. B. über Keyserver. Wäre denn die Veröffentlichung auf einer eigenen Homepage unbehutsam ? Da doch auch Keyserver öffentlich zugänglich sind. Oder haben diese spezielle zusätzliche Vorteile ? (Pardon, falls diese Frage von zu wenig Mitdenken zeugt.) --219.110.235.38 02:07, 19. Dez 2005 (CET)
- Nicht bei der Veröffentlichung seines öffentlichen Schlüssels soll man behutsam sein, sondern beim Austausch. Das heißt, Du kannst Deinen Key überall veröffentlichen, auch auf der eigenen Homepage. Aber wenn Du den Schlüssel eines Kommunikationspartners von irgendwo her beziehst, solltest Du mit der Möglichkeit rechnen, dass er auf dem Übertragungsweg manipuliert wurde. Deshalb solltest Du immer den Fingerprint des heruntergeladenen Schlüssels mit einem Fingerprint des Schlüssels, den Du auf einem anderen Kommunikationsweg erhalten hast, vergleichen. Beispiel: Wenn Du den Schlüssel des ct magazine CERTIFICATE <pgpCA@ct.heise.de> von einem Keyserver herunterlädst, solltest Du seinen Fingerprint mit dem vergleichen, der in der c't abgedruckt ist: 19ED 6E14 58EB A451 C5E8 0871 DBD2 45FC B3B2 A12C.
- Ich denke, genau das steht auch, allerdings etwas kompakter, im Artikel. Ausführlicher würde ich es dort auf keinen Fall hinschreiben, sonst ist es wirklich eine Bedienungsanleitung. Außerdem ist dies ja auch keine spezielle Eigenschaft von gpg, sondern durch die Architektur eines Web of Trust vorgegeben. --Hjaekel 22:03, 20. Dez 2005 (CET)
Quellen
[Quelltext bearbeiten]kritik zu erwähnen mag ja gut sein, aber dann sollte schon eine quelle her. ich beziehe mich hier auf den letzten absatz und SHA-1. ich kenne die diskussion um die angebliche unsicherheit von sha1, eine kritik an gnupg in diesem zusammenhang kenne ich nicht. Startx 20:26, 28. Nov. 2006 (CET)
- die kritik ist nicht mehr aktuell - man kann standardmaessig SHA bei der generierung des schluesselpaares gar nicht mehr auswaehlen. habe eine kleine "historie" aus der englischen wikiseite uebernommen --15:49, 10. Mär. 2009 (CET)
- Das ist Unfug. SHA kann man bei der Schlüsselgenerierung natürlich nicht auswählen, konnte man nie, weil das eine Hashfunktion ist und kein Typ eines asymmetrischen Schlüssels. SHA-1 ist fest in Version 4 des OpenPGP-Schlüsselformats verankert, wird also ständig verwendet, ob man nun will oder nicht. Außerdem ist es der Fallback-Hash für Signaturen, falls der Abgleich zwischen den Wünschen der beiden Parteien (Präferenzen im Zertifikat) nichts anderes liefert.--Hauke Laging (Diskussion) 21:45, 28. Okt. 2012 (CET)
Weblinks
[Quelltext bearbeiten]Der Link Ein Artikel vom Linux Magazin ist ungültig und führt nur auf die allgemeine "Ausgaben"-Seite des Linuxmagazin. Aber auch dort ist die Ausgabe 12/99 nicht (mehr) erhältlich. Ein Bezug zu GPG ist (so) nicht erkennbar. Ich habe deshalb den Link entfernt.
Dafür habe ich die beiden hilfreichen Links "GPG For Windows (gpg4win) ist ein einfach zu installierendes Gesamtpaket" und "Der Große Bruder: Umfassender Überblick zu OpenPGP" hinzugefügt. Man findet zwar diese Links bereits in den Wikipedia-Artikeln zu "PGP" bzw. "Open PGP", aber hier in diesem Artikel habe ich diese wichtigen Links vermisst. 84.176.18.82 08:22 Uhr, 22. April 2007 (CET)
Frontends: serverbasierte vs. serverbasierende
[Quelltext bearbeiten](Ist vielleicht hier nicht ganz die richtige Stelle, wer eine bessere kennt, möge die Diskussion dahin verlegen.) Hier wurde gerade serverbasierte Frontends in serverbasierende Frontends geändert. Diese Änderung kann ich nicht so richtig nachvollziehen und sie widerspricht meinem Empfinden. Sowas kann ja aber mal täuschen. ;-) Die Erklärungen, die ich dazu finde laufen im Prinzip immer darauf hinaus:
...basierend | Partizip I | Vorgang noch aktiv |
...basiert | Partizip II | Vorgang abgeschlossen |
Nun handelt es sich bei serverbasierten/-basierenden Frontends aber doch nicht um einen Vorgang. Wie muss es also (verständlich begründet) richtig heissen? -- Zone42 09:26, 3. Nov. 2008 (CET)
- Ich habe diesen Blog-Eintrag gefunden: [1]. Danach hat 91.128.26.124 recht: Das Partizip II (Ich basiere A auf B. bzw. A ist B-basiert.) ist nicht möglich; das Partizip I (serverbasierende Frontends) ist richtig. --Hjaekel 22:16, 3. Nov. 2008 (CET) der das …basiert da ursprünglich mal reingeschrieben hat [2].
Wortwahl: Signierungen
[Quelltext bearbeiten]Aus dem Abschnitt "Web of Trust":
wie sehr man den Signierungen der Person[...]
Wäre hier "Signaturen" angebracht? --80.136.116.83 19:00, 17. Jan. 2009 (CET)
Trittbrettfahrer
[Quelltext bearbeiten]Es gibt kommerzielle Trittbrettfahrer, die versuchen, auf dem Projekt ihr Süppchen zu kochen. Das naheliegende http://www.gnupgp.org führt mitnichten zur Website des Projekts, sondern zu einem kommerziellen Angebot. Noch ärgerlicher ist http://www.gnupgp.com: ein kommerzielles Angebot mit Werbepopups sowohl beim Öffnen als auch beim Schließen der Seite. --Mussklprozz 21:17, 6. Apr. 2009 (CEST)
FireGPG
[Quelltext bearbeiten]Laut http://de.getfiregpg.org/s/home wurde die Entwicklung von FireGPG eingestellt. Eventuell sollte der entsprechende Abschnitt im Artikel gelöscht werden. --Quantenemitter 23:08, 26. Jul. 2010 (CEST)
- Ist erledigt (nicht von mir, sondern schon irgendwann vorher; ich will hier nur den Status kenntlich machen). --Hauke Laging (Diskussion) 03:35, 8. Okt. 2012 (CEST)
BMWA
[Quelltext bearbeiten]Ich würde es begrüßen, wenn dieser Abschnitt um eine Hinweis ergänzt wird, der klarstellt, daß es bei der Unterstützung lediglich um die Portierung von GnuPG nach Windows ging. Ich habe schon oft zu hören bekommen, daß die GnuPG Entwicklung vom Bund geförtert wurde und diese Software deswegen nicht vertrauenswürdig sein kann. Weitere Infos und Quellen könnt ihr gern bei mir per Mail anfragen (wk@gnupg.org, bitte kein HTML in der Mail).
-- Dd9jn 13:32, 29. Jul. 2011 (CEST)
- Ist erledigt (nicht von mir, sondern schon irgendwann vorher; ich will hier nur den Status kenntlich machen). --Hauke Laging (Diskussion) 03:34, 8. Okt. 2012 (CEST)
BMI
[Quelltext bearbeiten]Vom BMI gefördert? Davon ist mir nichts bekannt. Gibt's dafür Quellen? Bisher weiß ich nur von 150.000 DM, die das Wirtschaftministerium unter Minister Müller beigesteuert hat. Vielleicht sollte bis zur Klärung das BMI aus dem Text genommen werden. --padeluun (Diskussion) 11:40, 7. Mai 2012 (CEST)
Änderung des Private Keys
[Quelltext bearbeiten]Hallo,
wenn man bei einem solchen Verfahren - z.B.auch bei GPG - den private Key ändert, muss dann auch der Public Key geändert werden? Dem Bild im Artikel zur asymmetrischen Verschlüsselung nach muss ja der dann geändert werden, aber ist das in der Praxis wirklich der Fall, das wäre ja super unpraktisch ... --85.179.242.125 19:48, 26. Okt. 2012 (CEST)
- Das ist nicht unpraktisch. Schlicht und ergreifend aus dem Grund, dass private Schlüssel nicht geändert werden. So eine Änderung wäre nichts anderes als die Erzeugung eines neuen Schlüsselpaars (unter Beibehaltung oder Zurückziehen des alten Schlüssels). Die Formulierung "einen privaten Schlüssel ändern" ist mir jedenfalls noch nie über den Weg gelaufen.--Hauke Laging (Diskussion) 21:40, 28. Okt. 2012 (CET)
Überarbeiten-Baustein
[Quelltext bearbeiten]Der Absatz über den gpg-agent ist aus dem Kontext gerissen und vollkommen unverständlich. Hadhuey (Diskussion) 13:03, 24. Aug. 2015 (CEST)
Infobox, hier Version und Vorabversion
[Quelltext bearbeiten]Die ebenfalls in der Infobox verlinkte Projekt-Internetseite unterscheidet zwischen stable- und modern-Variante. Warum unterscheiden wir dann hier zwischen etwa stable und development? Mir ist klar, dass die Infobox vordefinierte Bezeichner hat, aber die Unterscheidung ist etwas irreführend. In der Infobox von KeePass (KeePass gibt es in vergleichbarer classic- und professional-Variante) sind beide Versionsangaben unter „Aktuelle Version“ zusammengefasst. --BRFBlake (Diskussion • Bewerte mich! • Vertrauen) 09:25, 29. Nov. 2016 (CET)
Inkompatibilitäten
[Quelltext bearbeiten]Vielleicht sollte man irgendwo einarbeiten, dass ältere PublicKeys mit neuen GPG-Versionen nicht mehr benutzt werden können, dass also viele Keys, die man in den öffentlchen Datenbanken findet, unbrauchbar geworden sind. Ich kann mangels genauer Kenntnisse nur mutmaßen, wo das Problem liegt, weil es beim Inmportversuch der PublicKeys keine ordentliche Fehlermeldung gibt, ebenso nicht, wenn der alte Schlüsselbund plötzlich fast leer ist. Für den Nicht-Fachmann ist GPG leider nach wie vor ein Buch mit sieben Siegeln, an dem man auch mit gutem Willen wirklich verzweifeln kann. Hans --79.252.120.201 17:40, 2. Feb. 2020 (CET)
- Da ich von diesem Problem jetzt zum ersten Mal erfahre: kannst du eine seriöse Quelle dafür angeben, z.B. einen bestätigten(!) Bugreport? Einfach ohne Belege zu behaupten "dasunddas geht nicht", reicht leider nicht aus. --RokerHRO (Diskussion) 11:07, 4. Feb. 2020 (CET)
Abschnitt "Kritik"
[Quelltext bearbeiten]Ich halte es für falsch, den Abschnitt "Kritik" ganz zu entfernen. Eine IMHO-Kolumne ist in der Tat nicht der beste Beleg, aber erstens enthält Sebastian Grüners Kolumne nicht nur Meinung sondern auch zahlreiche Argumente (und Links zu weiteren kritischen Artikeln) und zweitens die Kritik ist ja recht weit verbreitet und belegt The PGP problem, Moxie Marlinspike: GPG and me, wired.com, 15 reasons not to start using PGP. Eine Erwähnung dieser Einschätzungen gehört mE auch in einen ausgewogenen NPOV Artikel.--Qcomp (Diskussion) 12:24, 29. Aug. 2021 (CEST)
- Sehe ich auch so. Darum hab ich die unabgesprochene Entfernung des Abschnitts revertiert. Eventuell könnte man den Abschnitt "Kritik" sogar noch erweitern um andere deutsche Quellen und auf Projekte verweisen, die aufgrund dieser Kritik an / Probleme mit GnuPG überhaupt erst entstanden sind (z.B. Sequoia und andere) --RokerHRO (Diskussion) 21:56, 1. Sep. 2021 (CEST)
vermischung von "Unterstützung durch deutsche Behörden" mit "pretty Easy privacy"
[Quelltext bearbeiten]ich habe mich beim Lesen gefragt, was der Satz "Mit Pretty Easy privacy soll der Einsatz von PGP automatisiert und somit massiv vereinfacht werden." mit dem Behörden-Kontext zu tun hat. Der Artikel zu PEP hat mir dabei auch nicht weitergeholfen. (nicht signierter Beitrag von 2001:16B8:2D37:6600:7556:7CC3:D29E:247C (Diskussion) 10:04, 6. Feb. 2022 (CET))
Hinweise auf Patentfreiheit der Algorithmen
[Quelltext bearbeiten]sollten gelöscht werden, da irreführend. Jedenfalls in der EU sind mathematische Methoden als solche nicht patentierbar (Art. 52 EPÜ, § 1 III PatG). (nicht signierter Beitrag von 46.253.53.17 (Diskussion) 16:39, 25. Mär. 2022 (CET))