PGP Login und Privatnachrichten

1st Official Post

    Hi
    was haltet ihr davon den Login mit PGP abzusichern ( natürlich auf freiwillige Basis )

    Man hinterlegt in sein Profil sein Public PGP Key, das Forum generiert zufällig ein password was 1 Std gültig ist und verschlüsselt dieses passwort mit dein Public PGP Key, man muss dann die nachricht decondieren was man von Forum angezeigt bekommt ( PGP verschlüsselt mit deinen Public Key ) nachdem man es decodiert hat tippt man das password ein, und man kommt dann im forum

    Wenn user ihren Public PGP Key eingegeben haben im Profil, sollte automatisch verschlüsselt werden die Privat nachrichten an andere user die ihren Public PGP eingegeben haben, beide funktionen sollte auf freiwillige basis funktionieren, also an und abschaltbar

    cya
    betaman

    Darüber nachgedacht habe ich bereits öfter ?( Sicherheitstechnisch ändert sich in der Form jedoch gar nichts, da sämtliche Informationen in der Datenbank hinterlegt würden.

    Sinn macht das nur, wenn die Entschlüsselung ausschließlich über den Private-Key erfolgen kann. Dann wiederum können schwarze Schafe den MITM spielen und den Key abgreifen. Also darf man keine Möglichkeit bieten, irgendwo den Private-Key einzutragen oder hochzuladen. Dies wiederum führt dann zwangsläufig dazu, dass man die PN herunter laden und lokal entschlüsseln muss. Das ist m.E. nach die einzig sichere Möglichkeit.

    Der Login lässt sich so jedoch NICHT sicherer gestalten. Da muss man noch 1-2 Schritte weiter denken, da der PK niemals versendet werden sollte.

    Quote

    Darüber nachgedacht habe ich bereits öfter Sicherheitstechnisch ändert sich in der Form jedoch gar nichts, da sämtliche Informationen in der Datenbank hinterlegt würden.


    Nein ebend nicht, das forum kennt nur dein Public key zum verschlüsseln, zum endschlüsseln musst du es machen am PC mit deinen privat key

    naja so mein ich das ja, der privat key bleibt nur auf deinen PC oder sonst wo ( das forum kennt nur dein public key von dir ( wie jeder andere user, der ist ja ebend public ), und das forum benutzt dein public key um zu verschlüsseln, und nur du kannst es entschlüsseln mit dein privat key ) , wird nicht im Forum gespeichert der privat key ( das wäre ja leichtsinnig ) somit kann auch ruhig einer mit lauschen, weil er dein privat key nicht hat bzw nicht rankommt ( zu dem ist mein forum nur über https erreichbar, aber das ist nun eine andere sache )

    Edited 2 times, last by Betaman3k (November 2, 2014 at 2:11 PM).

    Also ich mein das so

    Nach den normalen login, kommt das plugin im einsatz, ein neues fenster wo eine verschlüsselte text da steht ( mit deinen public key, so das das forum die nachricht verschlüsslung kann mit den public key von dir ), und ein leeres kätschen wo man das password eintippen muss was in der verschlüsslung drinne steht ( muss man entschlüsseln am pc mit deinen privat key )

    • Forum genereiert ein zufall password angenommen 20 zeichenlang ( ist angenommen nur 10 minuten gültig das generierte password )
    • Forum greift an dein public key zu und verschlüsselt das password mit dein public pgp key
    • du musst die PGP verschlüsslung an deinen PC entschlüsseln mit deinen privat KEY
    • man tippt das generierte password was man am pc entschlüsselt hat in das kästchen ein. ( tipp man es 3 x verkehrt ein das password, kommt erstmal eine forum sperre, und man muss sich beim admin melden )
    • dann kommt man erst im forum

    Edited once, last by Betaman3k (November 2, 2014 at 2:42 PM).

    Gibt doch bereits Tims 2-Factor Auth, die liefert einem ein ähnliches sicheres System zum Login.

    "A life is like a garden. Perfect moments can be had, but not preserved, except in memory. LLAP" — Leonard Nimoy

    Welchen Sicherheitsgewinn erhoffst du dir davon, dass der Benutzer die PNs auf seinem Rechner entschlüsseln muss?

    Du musst sie immer noch unverschlüsselt in der Db speichern, weil es ja mehrere Teilnehmer geben kann. Und wenn du Angst vor dem mitlesen der PNs während der Übertragung hast, dann lass dein Forum über HTTPS laufen.

    "A life is like a garden. Perfect moments can be had, but not preserved, except in memory. LLAP" — Leonard Nimoy

    nein falsche aussage die PMS werden verschlüsselt hinterlegt in der DB ( weil jede PM die an dich geht wird automatisch vom forum verschlüsselt mit deinen public pgp key und landet dann erst in dein postfach ( verschlüsselt ) ) , und mein forum rennt über HTTPS

    user A hat ein public pgp hinterlassen in sein profil, automatisch werden ALLE PMS die an user A gehen automatsich verschlüsselt, und in der DB abgelegt ( verschlüsselt. )
    hat user B an user A eine PM geschrieben, und hat kein Public PGP key ( user B ) , so bekommt der user B eine klartext PM von user A ( was dann auch in der DB in klartext steht )
    Aber alle user die user A eine PM schreiben werden automatisch verschlüsselt und abgelegt in der DB, weil er ebend den public pgp key hinterlassen hat ( und das forum kann zugreifen auf den public key von user A, und verschlüsselt die PM automatisch, und speichert es auch so in der DB ab verschlüsselt )
    Das Forum soll auf keinen fall entschlüsseln können, das wäre leichtsinnig, entschlüsseln nur an deinen PC oder sonst wo mit deinen privat key

    Edited 5 times, last by Betaman3k (November 2, 2014 at 3:27 PM).

    • Official Post

    Hallo,

    das größte Problem was ich hier sehe ist nichtmal das technische, sondern das „menschliche“. Man kann Nutzer noch nicht einmal bei E-Mail für PGP begeistern, wie soll das bei irgendeinem Internetforum funktionieren?

    Quote from TimWolla

    Hallo,

    das größte Problem was ich hier sehe ist nichtmal das technische, sondern das „menschliche“. Man kann Nutzer noch nicht einmal bei E-Mail für PGP begeistern, wie soll das bei irgendeinem Internetforum funktionieren?

    da stimme ich dir zu, aber würde sowas gerne haben wollen, weil meine community kommt damit klar und würden das sehr begrüßen
    Selbst bei der regestrierung sollte optimal schon dabei sein sein public pgp key einzutragen so das die regestreirungsmail verschlüsselt zu gesendet wird mit deinen public pgp key verschlüsslung

    Hi

    werde es nochmal pushen, weil ich immer noch die funktion super finde, schließlich wurde ich damals auch belächelt mit dem Yubikey, nun aufeinmal isses da :)

    cya

    Betaman

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login