Diskussion:OpenPGP
Erste Anmerkungen zum Artikel
[Quelltext bearbeiten]Ich habe jetzt einfach mal mutig diesen Artikel angelegt, obwohl ich auf dem Gebiet absolut kein Experte bin. Ich hoffe, es spornt einige Leute mit mehr Ahnung an, das Thema etwas exakter zu beschreiben :=)
Sollten wir irgendwo noch folgenden grundsätzlichen Überblick unterbringen. (Bitte korrigiert mich, wenn ich die Sache jetzt falsch beschreibe, aber so habe ich es bis jetzt verstanden:)
Auf unterster Ebene gibt es die Thematik der digitalen Verschlüsselung mit Algorithmen, wie RSA, DES, etc.
Darauf aufbauend gibt es konkrete Programme, die die Algorithmen implementieren und das Schlüsselmaterial in bestimmten Formaten ablegen, z.B. PGP.
Noch eine Schicht höher existiert nun ein System aus Zertifizierungs-Behörden / Trust-Center, die mit Hilfer der Programme aus Schicht 2 Zerfifikate ausstellen. So ein Zertifikat ist z.B. standardisiert mit X.509-Zertifikat.
Für jede dieser "Schichten" existieren zahlreiche Artikel, aber ein systematischer Überblick steht noch aus.
GeorgGerber 10:13, 26. Mai 2004 (CEST)
PGP und GPG
[Quelltext bearbeiten]Im Artikel steht geschrieben, dass beispielsweise der gegenseitige Schlüsselimport zwischen GPG und PGP Probleme bereitet oder bereiten kann. Ich habe zwar keine Erfahrung ob es etwaiige Inkompatiblitäten in älteren Versionen beider Programme gab, aber was das Sicherheitssystem in meiner Arbeit betrifft, funktioniert der Schlüsselimport wie auch Darstellung bzw die Entschlüsselung von Umlauten zwischen PGP8 und GnuPG 1.2.6/Linux völlig problemlos.
(Der vorstehende Beitrag stammt von Disorgoth (Beiträge) – 15:43, 14. Nov. 2004 (MEZ) – und wurde nachträglich unterschrieben.)
- Die Inkompatibilitäten beziehen sich hauptsächlich auf die älteren Versionen (PGP < 7, GnuPG < 1.2). Aber auch heute muss man drauf achten, das man als PGP-Benutzer z.B. kein IDEA verwendet, da normalerweise GnuPG das nicht unterstützt (gibt zwar für Privatepersonen eine kostenlose Möglichkeit, IDEA nachzurüsten, aber wer kompiliert schon selber?). Seitdem bekannt wurde, dass SHA-1 möglicherweise in Zukunft nur noch eingeschränkt verwendet werden sollte und PGP Corp. in PGP 9.0 SHA-2 eingebaut hat, kann es beim Signaturprüfen Probleme geben, wenn man nicht die neue GnuPG Generation (>= 1.4) verwendet. Ich weiss, die Infos sollten in die entsprechenden Artikel ;-). Mal sehen, wann ich dazu komme.
- --HoSe 00:02, 21. Jun 2005 (CEST)
Wie easy to use ist das eigentlich?
[Quelltext bearbeiten]Bei der ganzen Sache mit der Verschlüsselung stellt sich mir die Frage der Praktikabilität. Ich habe z.B. GnuPG am Laufen um damit emails zu verschlüsseln. Aber in den wenigsten Fällen werde ich auf Empfängerseite jemanden antreffen, der ein ebenbürtiges Programm zum Entschlüsseln hat. Somit ist die verschlüsselte Übertragung irgendwie doch auf Expertenkreise begrenzt, wenn ich das richtig einschätze.
Nutzt z.B. jemand webmail, dann ist da meistens sowas auch nicht eingebaut. Und die Wenigstern werden wissen, daß man ein Zusatzprogramm braucht, welches und wie man es bedienen muss. Ein Automatismus im Hintergrund würde die Sache erheblich attraktiver machen.
Ich habe bisher viel über Hintergründe gelesen. Aber wie sowas im täglichen Gebrauch aussieht, eine Art Praxisnahe Dokumentation fehlt mir bisher.
(Der vorstehende Beitrag stammt von 62.246.25.126 – 14:32, 22. Jan. 2006 (MEZ) – und wurde nachträglich unterschrieben.)
Wie stehts mit der Sicherheit?
[Quelltext bearbeiten]Blöde Frage: angenommen, ich schicke mir selbst eine Nachricht, etwa zu Testzwecken, und zwar verschlüsselt UND signiert, d.h. ich benutze sowohl öffentlichen (zum verschlüsseln) als auch geheimen (zum signieren) schlüssel. Dann müsste das Ganze doch relativ einfach zu knacken sein, oder?
(Der vorstehende Beitrag stammt von 88.73.89.151 – 12:54, 31. Mär. 2006 (MESZ) – und wurde nachträglich unterschrieben.)
- Der Artikel Asymmetrisches Kryptosystem erklärt das Verfahren ausführlich. Kurzform: warum sollte es deswegen einfach zu knacken sein? Aus der Nachricht den Schlüssel zurückrechnen ist nicht realisitisch machbar, egal ob Signatur oder verschlüsselte Nachricht. Für weitere Fragen wende dich bitte an entsprechende Internet-Adressen, die Wikipedia eignet sich nicht als Forum für Hilfesuchende, das Usenet aber sehr wohl :) --Liquidat, Diskussion, 17:30, 31. Mär 2006 (CEST)
Sicherheit im Vergleich zu AES
[Quelltext bearbeiten]Mir fehlen in diesem Artikel - wie auch in dem Artikel PGP - Informationen zur Sicherheit der Verchlüsselung, etwa im Vergleich zu AES. Gibt es hier jemanden, der das ergänzen kann?
(Der vorstehende Beitrag stammt von 91.19.141.105 – 15:49, 24. Dez. 2007 (MEZ) – und wurde nachträglich unterschrieben.)
- PGP ist kein eigenes Verschlüsselungsverfahren, sondern ein Standard, der vorgibt, wie eine verschlüsselte Nachricht aussieht und dabei verschiedene Verschlüsselungsverfahren zur Auswahl stellt (u.a. kann man in PGP auch AES verwenden). --LetsGetLauth 12:50, 14. Feb. 2008 (CET)
Web of trust "vs." strikt hierarchisches Modell von X.509 bzw. CMS/SMIME
[Quelltext bearbeiten]Im Artikel wird es so dargestellt, als verwende OpenPGP "allein" das Web of trust und könne keine hierarchischen Trust-Strukturen abbilden.
Das ist falsch.
OpenPGP Unterstützt mittels sogenannter Trust-Signatures so gar ein mächtigeres hierarchisches Modell als jenes von X.509 bzw. CMS/SMIME (jeder Benutzer bzw. jede Ebene kann nämlich die Gültigkeitstiefe "folgender" (also untergeordneter) Trustsignatures angeben).
Das Trust-Modell von X.509 ist somit "nur" ein Subset von dem von OpenPGP.
(Der vorstehende Beitrag stammt von 91.8.125.201 – 01:12, 25. Jan. 2009 (MEZ) – und wurde nachträglich unterschrieben.)
- Für hierarchische Strukturen braucht man keine Trustsignaturen. Jeder Schlüssel, dem vollständig vertraut wird, entspricht einer CA. Und nur die, wenn entweder bei den anderen der Trust auf Null gesetzt wird oder marginals-needed so hoch angesetzt wird, dass es nie erreicht wird (notfalls größer als die Anzahl der importierten Schlüssel). --Hauke Laging 03:17, 27. Feb. 2012 (CET)
(open) PGP/GPG vs. S/MIME
[Quelltext bearbeiten]Gibt es irgendwelche Zahlen über die Verbreitung der beiden inkompatiblen Systeme?
(nicht signierter Beitrag von 144.85.137.124 (Diskussion) 11:11, 22. Jan. 2013 (CET))
Und wie ist das Datenformat nun?
[Quelltext bearbeiten]Eine etwas detailiertere Beschreibung wäre sicher wünschenswert. Nicht nur eine Erklärung der Ausgabe von pgp oder gpg, die man auch in der Man-Page der Programme finden kann. --RokerHRO (Diskussion) 21:58, 15. Feb. 2013 (CET)
- ich denke, das ist ein bischen zu technisch fuer die WP, ich wuesste auch nicht, wie man das erklaeren soll, ohne den ganzen RFC 4880 zu zitieren. --Mario d 14:04, 16. Feb. 2013 (CET)
- Man kann es aber versuchen, ein bisschen mehr technische Details zu bringen:
- Welche Daten- und Containerformate werden verwendet (XML, ASN.1 oder was eigenes?)
- Welche Kryptoalgorithmen werden unterstützt (verpflichtetnd oder optional) Wie siehts mit künftigen Erweiterungen aus?
- Welche Krypto-Betriebsarten werden unterstützt?
- Was wird wie signiert?
- Welche Programme können welche OpenPGP-Unterformate lesen und schreiben?
- Oder was meint ihr? --RokerHRO (Diskussion) 18:58, 17. Feb. 2013 (CET)
- Man kann es aber versuchen, ein bisschen mehr technische Details zu bringen:
OpenPGP Alliance = Seite?
[Quelltext bearbeiten]Im Text heißt es:
- Es gibt ferner die OpenPGP Alliance als Zusammenschluss mehrerer Hersteller, die sich dem OpenPGP-Format verpflichtet fühlen. Seit August 2016 wird diese Seite von Dominik Schürmann betreut.
Was hat "diese Seite" mit dem "Zusammenschluss" aus dem Satz vorher zu tun? Sollte es heißen:
- Es gibt ferner die OpenPGP Alliance als Zusammenschluss mehrerer Hersteller, die sich dem OpenPGP-Format verpflichtet fühlen. Seit August 2016 wird die Webpräsenz der OpenPGP Alliance (siehe Weblinks) von Dominik Schürmann betreut.
? -- Pemu (Diskussion) 11:41, 11. Mai 2017 (CEST)
- Vielleicht zieht ja "Überarbeiten" Mitautoren mit Kenntnis an. -- Pemu (Diskussion) 00:38, 28. Nov. 2020 (CET)
Abschnitt über Implementierungen des OpenPGP-Standards
[Quelltext bearbeiten]Meiner Meinung nach fehlt ein Hinweis auf die Implementierungen dieses Standards. Meines Wissens sind das gegenwärtig:
- GnuPG (= GPG): https://www.gnupg.org/
- Sequoia-PGP: https://sequoia-pgp.org/
- Die Bibliothek von Bouncycastle: https://www.bouncycastle.org/
- OpenPGP.js: https://stastka.ch/_services/cryptology/encrypting/openpgp-js/
- NetPGP: https://netpgp.com/
- Die von Thunderbird ab Version 78 eingesetzte Bibliothek RNP: https://github.com/rnpgp/rnp
- RNP: https://www.nsoftware.com/ipworks/pgp/
- End-to-End von Google: https://github.com/google/end-to-end
- NeoPG: https://github.com/das-labor/neopg
- RPGP, Pure rust implementation of OpenPGP, https://github.com/rpgp/rpgp
- GopenPGP: https://gopenpgp.org/
(nicht signierter Beitrag von 2A03:7845:E5E:101:30EE:760E:CAD1:1045 (Diskussion) 00:33, 8. Mär. 2024 (CET)) (nicht signierter Beitrag von 2A04:EE41:1:F05C:499E:58CD:15BC:1864 (Diskussion) 21:32, 2. Dez. 2020 (CET))
Ausserdem wird in diesem Artikel GnuPG mit OpenPGP vermengt. Es entsteht so der Eindruck, als handle es sich um dasselbe. (nicht signierter Beitrag von 2A04:EE41:1:F05C:65AC:E6DA:F29D:63EE (Diskussion) 11:49, 27. Nov. 2020 (CET))
Sollte Efail nicht im Artikel erwähnt werden? 194.62.169.86 06:47, 26. Okt. 2021 (CEST)
Gefälschte Schlüssel / keys.openpgp.org
[Quelltext bearbeiten]Habe ich es nur überlesen oder fehlt die Thematik 'gefälschte Schlüssel'? Abhilfe schafft 'keys.openpgp.org'. Der Dienst setzt auf verifizierte Emailadressen. Das 'Web of Trust' bleibt aber außen vor. Vgl.: https://www.heise.de/security/meldung/Neuer-OpenPGP-Keyserver-liefert-endlich-verifizierte-Schluessel-4450814.html Smarti (Diskussion) 02:15, 12. Nov. 2022 (CET)
"OpenPGP-Schisma" spitzt sich zu
[Quelltext bearbeiten]RFC 9580 wurde mittlerweile freigegeben, gnupg ist aus dem Standardisierungsprozess ausgestiegen und implementiert mit 2.4 und mehr noch mit 2.5 abweichende zu RFC 9580 inkompatible Erweiterungen des ersetzten Standards RFC 4880. --Blahfasel (Diskussion) 07:30, 5. Aug. 2024 (CEST)