PGP Login und Privatnachrichten

Betaman3k · November 2, 2014 at 11:10 AM

Hi
was haltet ihr davon den Login mit PGP abzusichern ( natürlich auf freiwillige Basis )

Man hinterlegt in sein Profil sein Public PGP Key, das Forum generiert zufällig ein password was 1 Std gültig ist und verschlüsselt dieses passwort mit dein Public PGP Key, man muss dann die nachricht decondieren was man von Forum angezeigt bekommt ( PGP verschlüsselt mit deinen Public Key ) nachdem man es decodiert hat tippt man das password ein, und man kommt dann im forum

Wenn user ihren Public PGP Key eingegeben haben im Profil, sollte automatisch verschlüsselt werden die Privat nachrichten an andere user die ihren Public PGP eingegeben haben, beide funktionen sollte auf freiwillige basis funktionieren, also an und abschaltbar

cya
betaman

SoftCreatR · November 2, 2014 at 12:12 PM

Darüber nachgedacht habe ich bereits öfter Sicherheitstechnisch ändert sich in der Form jedoch gar nichts, da sämtliche Informationen in der Datenbank hinterlegt würden.

Sinn macht das nur, wenn die Entschlüsselung ausschließlich über den Private-Key erfolgen kann. Dann wiederum können schwarze Schafe den MITM spielen und den Key abgreifen. Also darf man keine Möglichkeit bieten, irgendwo den Private-Key einzutragen oder hochzuladen. Dies wiederum führt dann zwangsläufig dazu, dass man die PN herunter laden und lokal entschlüsseln muss. Das ist m.E. nach die einzig sichere Möglichkeit.

Der Login lässt sich so jedoch NICHT sicherer gestalten. Da muss man noch 1-2 Schritte weiter denken, da der PK niemals versendet werden sollte.

Betaman3k · November 2, 2014 at 2:06 PM

Quote

Darüber nachgedacht habe ich bereits öfter Sicherheitstechnisch ändert sich in der Form jedoch gar nichts, da sämtliche Informationen in der Datenbank hinterlegt würden.

Nein ebend nicht, das forum kennt nur dein Public key zum verschlüsseln, zum endschlüsseln musst du es machen am PC mit deinen privat key

naja so mein ich das ja, der privat key bleibt nur auf deinen PC oder sonst wo ( das forum kennt nur dein public key von dir ( wie jeder andere user, der ist ja ebend public ), und das forum benutzt dein public key um zu verschlüsseln, und nur du kannst es entschlüsseln mit dein privat key ) , wird nicht im Forum gespeichert der privat key ( das wäre ja leichtsinnig ) somit kann auch ruhig einer mit lauschen, weil er dein privat key nicht hat bzw nicht rankommt ( zu dem ist mein forum nur über https erreichbar, aber das ist nun eine andere sache )

SoftCreatR · November 2, 2014 at 2:07 PM

Was dann wiederum nicht erklärt, wie du dir das mit dem Login vorstellst.

Betaman3k · November 2, 2014 at 2:36 PM

Also ich mein das so

Nach den normalen login, kommt das plugin im einsatz, ein neues fenster wo eine verschlüsselte text da steht ( mit deinen public key, so das das forum die nachricht verschlüsslung kann mit den public key von dir ), und ein leeres kätschen wo man das password eintippen muss was in der verschlüsslung drinne steht ( muss man entschlüsseln am pc mit deinen privat key )

Forum genereiert ein zufall password angenommen 20 zeichenlang ( ist angenommen nur 10 minuten gültig das generierte password )
Forum greift an dein public key zu und verschlüsselt das password mit dein public pgp key
du musst die PGP verschlüsslung an deinen PC entschlüsseln mit deinen privat KEY
man tippt das generierte password was man am pc entschlüsselt hat in das kästchen ein. ( tipp man es 3 x verkehrt ein das password, kommt erstmal eine forum sperre, und man muss sich beim admin melden )
dann kommt man erst im forum

Netzwerg · November 2, 2014 at 2:59 PM

Gibt doch bereits Tims 2-Factor Auth, die liefert einem ein ähnliches sicheres System zum Login.

Betaman3k · November 2, 2014 at 3:00 PM

ist mir bekannt, aber solche methode finde ich besser und soll ja nicht nur für login sein, sondern auch für privat nachrichten.
Mit PGP kann man viel mehr machen

Netzwerg · November 2, 2014 at 3:09 PM

Welchen Sicherheitsgewinn erhoffst du dir davon, dass der Benutzer die PNs auf seinem Rechner entschlüsseln muss?

Du musst sie immer noch unverschlüsselt in der Db speichern, weil es ja mehrere Teilnehmer geben kann. Und wenn du Angst vor dem mitlesen der PNs während der Übertragung hast, dann lass dein Forum über HTTPS laufen.

Betaman3k · November 2, 2014 at 3:15 PM

nein falsche aussage die PMS werden verschlüsselt hinterlegt in der DB ( weil jede PM die an dich geht wird automatisch vom forum verschlüsselt mit deinen public pgp key und landet dann erst in dein postfach ( verschlüsselt ) ) , und mein forum rennt über HTTPS

user A hat ein public pgp hinterlassen in sein profil, automatisch werden ALLE PMS die an user A gehen automatsich verschlüsselt, und in der DB abgelegt ( verschlüsselt. )
hat user B an user A eine PM geschrieben, und hat kein Public PGP key ( user B ) , so bekommt der user B eine klartext PM von user A ( was dann auch in der DB in klartext steht )
Aber alle user die user A eine PM schreiben werden automatisch verschlüsselt und abgelegt in der DB, weil er ebend den public pgp key hinterlassen hat ( und das forum kann zugreifen auf den public key von user A, und verschlüsselt die PM automatisch, und speichert es auch so in der DB ab verschlüsselt )
Das Forum soll auf keinen fall entschlüsseln können, das wäre leichtsinnig, entschlüsseln nur an deinen PC oder sonst wo mit deinen privat key

**Tim Düsterhus** · November 2, 2014 at 3:40 PM Official Post

Hallo,

das größte Problem was ich hier sehe ist nichtmal das technische, sondern das „menschliche“. Man kann Nutzer noch nicht einmal bei E-Mail für PGP begeistern, wie soll das bei irgendeinem Internetforum funktionieren?

Betaman3k · November 2, 2014 at 3:48 PM

Quote from TimWolla

Hallo,

das größte Problem was ich hier sehe ist nichtmal das technische, sondern das „menschliche“. Man kann Nutzer noch nicht einmal bei E-Mail für PGP begeistern, wie soll das bei irgendeinem Internetforum funktionieren?

da stimme ich dir zu, aber würde sowas gerne haben wollen, weil meine community kommt damit klar und würden das sehr begrüßen
Selbst bei der regestrierung sollte optimal schon dabei sein sein public pgp key einzutragen so das die regestreirungsmail verschlüsselt zu gesendet wird mit deinen public pgp key verschlüsslung

Betaman3k · May 16, 2015 at 2:16 PM

Heya

wollte das thema nochmal auf frischen, hat kein entwickler intresse darann ? ( dachte immer sicherheit ist ganz wichtig usw. )

SoftCreatR · May 16, 2015 at 2:29 PM

Snakeoil.

Betaman3k · May 16, 2015 at 4:53 PM

Quote from SoftCreatR

Snakeoil.

ist das ein dev der intresse hat ?

Betaman3k · January 26, 2016 at 4:41 PM

Hi

wollte es nochmal auffrischen das thema, hat echt kein dev daran intresse oder sogar das Team von wbb ?

Sicherheit ist doch immer gut

cya
Betaman

Betaman3k · April 16, 2023 at 3:33 PM

Hi

werde es nochmal pushen, weil ich immer noch die funktion super finde, schließlich wurde ich damals auch belächelt mit dem Yubikey, nun aufeinmal isses da

cya

Betaman

Participate now!