Forums Neueste Beiträge
 

Sichere E-Mail, eine reelle Möglichkeit oder Illusion?

18/03/2015 - 15:36 von Mok-Kong Shen | Report spam
Vor ziemlich langer Zeit hatte ich mehrmals in der Gruppe (und auch
andertorts) über meine persönliche große Zweifel an die wirkliche
Vertrauenswürdigkeit von auf CAs basierten digitalen Signaturen in
der Praxis geàußert. Neuerdings las ich mit Interesse und Freude
folgende m.E. sehr pràgnante Sàtze in der gleichen Richtung [1].

"Zu beachten ist, dass ein gültiges, korrekt signiertes Zertifikat
durchaus eine falsche Bindung Schlüssel <--> Inhalber beinhalten
kann, dass also der Schlüssel nicht echt ist -- wenn nàmlich der
Aussteller des Zertifikats betrügerisch (oder technisch nachlàssig)
arbeitet. Daher kann ich mich letztlich nur dann auf ein Zertifikat
verlassen, wenn ich allen Zertifizierungsstellen in der Kette bis
zur Wurzel vertrauen kann."

Nun welcher durchschnittlicher Bürger könnte mit gutem Gewissen
behaupten, daß er so viel von der reellen Welt tatsàchlich weiß, so
daß er die im Zitat erwàhnte Vertrauen haben kann und hat? Für meine
Begriffe hat das Zitat ja über die diskutierte Sache von Email hinaus
die praktische Brauchbarkeit von PKI als solche defacto prinzipiell
negiert.

Was ich noch nicht gut verstanden habe ist, daß in [1] im weiteren
Verlauf des Textes anscheinend doch für S/MIME gesprochen wird, wenn
ich nicht falsch interpretiert habe.

Der von PGP verwendete "Web of Trust" ist in [1] ebenfalls diskutiert.
Aber wie weit kann WoT für einen durchschnittlichen Bürger wirklich gut
funktionieren, außer in einem sehr kleinen Bekanntenkreis, wenn man die
bekannte Tatsache berücksichtigt, dass ggf. man selbt einigen nahen
Verwandten nicht voll vertrauen kann?

Ich habe eine weitere Frage bei dieser Gelegenheit: Ist es nicht so,
dass IT-Sicherheit einen binàren (0/1) Wert hat im dem Sinne, daß die
IT-Sicherheit entweder existiert oder ganz fehlt. Denn mir scheint es
nicht sinnvoll zu sein zu sagen etwa, daß eine Email gegen einen
durchschnittlichen Hacker 100% sicher aber gegen einen Hacker mit
hinreichend großen Ressourcen und Knowhow 99% sicher ist. Übrigens,
wenn es einem Hacker gelingt, einen Trojan auf dem Computer zu
installieren, dann würde gar nichts mehr helfen, außer vielleicht der
Verwendung eines zusàtzlichen vom Interent gut isolierten Computers,
nicht wahr?

Vielen Dank für die Aufklàrungen im voraus.

M. K. Shen
-

[1] K.-P. Löhr, Sichere E-Mail - jetzt, Informatik Spektrum, Bd.38,
H.1, S.41-45.
 

Lesen sie die antworten

#1 Robert Jasiek
18/03/2015 - 16:13 | Warnen spam
Mok-Kong Shen wrote:
Nun welcher durchschnittlicher Bürger könnte mit gutem Gewissen
behaupten, daß er so viel von der reellen Welt tatsàchlich weiß, so
daß er die im Zitat erwàhnte Vertrauen haben kann und hat?



Und wer kann schon sein Verschlüsselungsprogramm selbst schreiben?

Ist es nicht so,
dass IT-Sicherheit einen binàren (0/1) Wert hat im dem Sinne, daß die
IT-Sicherheit entweder existiert oder ganz fehlt.



Wenn du IT-Sicherheit zB definierst als "Inhalt einer Nachricht /
Datei ist mindestens teilweise mindestens einer nicht zugelassenen
Person bekannt", kannst du auch solche binàren Werte ableiten. Für
andere Definitionen bekommst du möglicherweise andere Werteràume.

Ähnliche fragen