Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
[TB115/BB115] PGP-Sicherheitsrisiko(!) der besonderen Art
8 views
Skip to first unread message
Thomas Barghahn
Jul 18, 2023, 3:53:15 PM7/18/23
to
Hallo zusammen,
die User, welche mit PGP arbeiten (müssen), kennen schon die Gefahr!
Selbst verschlüsselte Post wird mit TB/BB sofort geöffnet (dekodiert)
und ist für jedermann lesbar. :-(
Nun wird auch der geheime Schlüssel _ohne_ _Passwortschutz_ erzeugt und
kann dann auch noch "mal eben so" exportiert werden! Bei dem Export darf
man sich nun als Exporteur selbst ein Passwort ausdenken.
Bei dem Erzeugen eines Schlüsselpaares wird nicht einmal mehr ein
Passwort abgefragt!
Wir erzeugen also ein neues Schlüsselpaar. Man öffne "Extras ==>
OpenPGP-Schlüssel verwalten" und klicken auf "Erzeugen ==>
neues Schlüsselpaar":
<https://www.barghahn-online.de/Pictures/1_neues_schluesselpaar_erzeugen.png>
Für unseren Test übernehmen wir die Vorgaben und klicken auf
"Schlüssel erzeugen".
<https://www.barghahn-online.de/Pictures/2_neues_schluesselpaar_erzeugen.png>
Nach dem Lesen des Hinweises wird dieser nun bestätigt.
<https://www.barghahn-online.de/Pictures/3_neues_schluesselpaar_erzeugen.png>
_Ohne_ _Passwortabfrage_ wurde das Schlüsselpaar erstellt und kann nun
für das Senden und Empfangen von PGP-Nachrichten verwendet werden.
Wir machen eine kurze Kaffee-Pause und "Lieschen Müller" setzt sich an
unserem PC.
Sie öffnet unsere PGP-Schlüsselverwaltung und klickt auf:
<https://www.barghahn-online.de/Pictures/4_geheimen_schluessel_exportieren.png>
Nun muss sie sich nur noch ein Passwort "ausdenken" ("123") und auf "OK"
klicken:
<https://www.barghahn-online.de/Pictures/5_geheimen_schluessel_exportieren.png>
<https://www.barghahn-online.de/Pictures/6_geheimen_schluessel_exportieren.png>
Unser geheimer Schlüssel ist nun "verbrannt", denn Lieschen kann unser
Schlüsselpaar nun überall verwenden und in unserem Namen Verschlüsseln,
Entschlüsseln, Signieren und sogar Beglaubigen!
Selbst wenn man ein Schlüsselpaar importiert, welches passwortgeschützt
ist, kann dieses aus TB/BB nun (auch mit dem geheimen Schlüssel) _ohne_
Passwortabfrage exportiert werden! :-(
Ein Schelm, wer jetzt noch an Sicherheit denkt. ;-)
Thomas 😷
--
== S E N D E Z E I T ==================
DATUM : Dienstag, 18. Juli 2023
UHRZEIT: 21:48:23 UHR (MESZ)
== Heute: Tag der sauren Süßigkeiten ==
die User, welche mit PGP arbeiten (müssen), kennen schon die Gefahr!
Selbst verschlüsselte Post wird mit TB/BB sofort geöffnet (dekodiert)
und ist für jedermann lesbar. :-(
Nun wird auch der geheime Schlüssel _ohne_ _Passwortschutz_ erzeugt und
kann dann auch noch "mal eben so" exportiert werden! Bei dem Export darf
man sich nun als Exporteur selbst ein Passwort ausdenken.
Bei dem Erzeugen eines Schlüsselpaares wird nicht einmal mehr ein
Passwort abgefragt!
Wir erzeugen also ein neues Schlüsselpaar. Man öffne "Extras ==>
OpenPGP-Schlüssel verwalten" und klicken auf "Erzeugen ==>
neues Schlüsselpaar":
<https://www.barghahn-online.de/Pictures/1_neues_schluesselpaar_erzeugen.png>
Für unseren Test übernehmen wir die Vorgaben und klicken auf
"Schlüssel erzeugen".
<https://www.barghahn-online.de/Pictures/2_neues_schluesselpaar_erzeugen.png>
Nach dem Lesen des Hinweises wird dieser nun bestätigt.
<https://www.barghahn-online.de/Pictures/3_neues_schluesselpaar_erzeugen.png>
_Ohne_ _Passwortabfrage_ wurde das Schlüsselpaar erstellt und kann nun
für das Senden und Empfangen von PGP-Nachrichten verwendet werden.
Wir machen eine kurze Kaffee-Pause und "Lieschen Müller" setzt sich an
unserem PC.
Sie öffnet unsere PGP-Schlüsselverwaltung und klickt auf:
<https://www.barghahn-online.de/Pictures/4_geheimen_schluessel_exportieren.png>
Nun muss sie sich nur noch ein Passwort "ausdenken" ("123") und auf "OK"
klicken:
<https://www.barghahn-online.de/Pictures/5_geheimen_schluessel_exportieren.png>
<https://www.barghahn-online.de/Pictures/6_geheimen_schluessel_exportieren.png>
Unser geheimer Schlüssel ist nun "verbrannt", denn Lieschen kann unser
Schlüsselpaar nun überall verwenden und in unserem Namen Verschlüsseln,
Entschlüsseln, Signieren und sogar Beglaubigen!
Selbst wenn man ein Schlüsselpaar importiert, welches passwortgeschützt
ist, kann dieses aus TB/BB nun (auch mit dem geheimen Schlüssel) _ohne_
Passwortabfrage exportiert werden! :-(
Ein Schelm, wer jetzt noch an Sicherheit denkt. ;-)
Thomas 😷
--
== S E N D E Z E I T ==================
DATUM : Dienstag, 18. Juli 2023
UHRZEIT: 21:48:23 UHR (MESZ)
== Heute: Tag der sauren Süßigkeiten ==
Jörg Knobloch
Jul 18, 2023, 7:07:30 PM7/18/23
to
On 18 Jul 2023 21:48, Thomas Barghahn wrote:
> Wir machen eine kurze Kaffee-Pause und "Lieschen Müller" setzt sich an
> unserem PC.
> Wir machen eine kurze Kaffee-Pause und "Lieschen Müller" setzt sich an
> unserem PC.
> Selbst wenn man ein Schlüsselpaar importiert, welches
> passwortgeschützt ist, kann dieses aus TB/BB nun (auch mit dem geheimen
> Schlüssel) _ohne_ Passwortabfrage exportiert werden!
Das stimmt. Seit TB auf RNP umgestiegen ist, von GnuPG in Enigmail,
> passwortgeschützt ist, kann dieses aus TB/BB nun (auch mit dem geheimen
> Schlüssel) _ohne_ Passwortabfrage exportiert werden!
werden Passwörter von einst importierten Keys nicht gespeichert, d.h.
sie können jederzeit mit einem neuen Passwort exportiert werden. Das ist
in GnuPG anders.
Das Problem ist, dass wenn Du einem Angreifer Zugang zu Deinem PC
verschaffst, Du das Spiel verloren hast, ganz egal was Du für
Sicherheit, Masterpasswort, etc. eingerichtet hast.
Wieso? Der Angreifer richtet einen Key-Logger ein, gemeint ist, alle
Tasten, die Du anschlägst werden aufgezeichnet. Du hast verloren.
Es gab immer die Diskussion der Sicherheit des Masterpasswortes in
FF/TB. Die war anfangs grottenschlecht, in den Bugs wurde heiß
diskutiert, ich habe sogar mal einen Beitrag auf einer FF-Mailing-Liste
geschrieben, der vorsichtig anfragte, ob sie das vielleicht mit Absicht
machen ... und wurde für diese Unterstellung heftig kritisiert.
Fakt ist aber, dass der Angreifer, der ein Deiner Pause das schwache
Passwort in eine paar Minuten knacken konnte (und jetzt nicht mehr kann,
das Mozilla das verbessert hat), ohnehin Zugang zu Deinem Rechner hatte.
Und das Masterpasswort zu klauen, war noch von geringsten Interesse.
Daher Leute, wenn Ihr Sicherheit wollt:
1) Verschlüsselung der gesamten Festplatte
2) Keiner darf an die Kiste ran.
Wer das beherzigt, braucht keine Masterpasswort, keine Passwörter auf
Schlüsseln und kann getrost alle site passwords im Browser speichern,
und mail passwords in TB, incl. OAuth2.
Ich weiß, gleich schreien wieder alle, die Masterpasswort, Passwörter
auf Schlüsseln, etc. lieben, aber die haben einfach unrecht ;-)
Wieso meint Ihr denn, dass bei Polizeieinsätzen die Beamten am liebsten
laufenden Rechner vorfinden? Wenn das Ding nicht läuft ist mit den
richtigen Maßnahmen da nur schwer bis überhaupt nicht ranzukommen. Wenn
sich jemand an Deinen laufenden Rechner setzen kann, kann er alles
machen. Interessanter als Dein PGP-Schlüssel wären die Passwörter Deiner
Mail-Accounts. Damit lässt sich dann nämlich eine verdammt gute identity
theft anfangen. Vielleicht noch ein paar eingescannte Unterschriften,
Geburtstag, Pass/Perso-Scan, etc., und Dein Leben ist ruiniert. Musst Du
mal den Zimmermann-Nachfolger im ZDF gucken, da kommt so was manchmal vor.
--
Viele Grüße, Jörg
Sent with Betterbird. Simply better. www.betterbird.eu
Es ist immer wieder erstaunlich: Kaum macht man's richtig, schon
funktioniert's!
Manuel Reimer
Jul 19, 2023, 10:55:00 AM7/19/23
to
On 18.07.23 21:48, Thomas Barghahn wrote:
> die User, welche mit PGP arbeiten (müssen), kennen schon die Gefahr!
> Selbst verschlüsselte Post wird mit TB/BB sofort geöffnet (dekodiert)
> und ist für jedermann lesbar. :-(
https://wiki.mozilla.org/Thunderbird:OpenPGP:Smartcards
> die User, welche mit PGP arbeiten (müssen), kennen schon die Gefahr!
> Selbst verschlüsselte Post wird mit TB/BB sofort geöffnet (dekodiert)
> und ist für jedermann lesbar. :-(
Klappt wahrscheinlich nicht nur mit Smartcards. Die privaten Schlüssel
können dann in GnuPGP bleiben.
Gruß
Manuel
Thomas Barghahn
Jul 19, 2023, 5:36:04 PM7/19/23
to
*Manuel Reimer* meinte:
Eben(!), man braucht _keine_ Smartcard. Es funktioniert unter Linux und
unter Windows problemlos. Unter Linux sind zwei Prefs zu bearbeiten und
unter Windows ist es halt nur eine Pref und ein Eintrag in der
Path‑Variablen ...
<https://www.barghahn-online.de/Pictures/gpg_extern.png>
... und niemand kommt mehr an die Schlüssel heran.
Auch hat man dann wieder einen Sicherheitsdialog, der die geheime
Passphrase abfragt. Das übrigens alles zusätzlich zu dem Hauptpasswort
von TB/BB und der Sicherheit, dass nicht jemand eben so "im Vorbeigehen"
den geheimen Schlüssel exportiert.
Ich arbeite mit externen Schlüsseln seit der Version 90 von TB und hatte
damit noch nie Probleme. Andere User fürchten allein schon das Wort
"Smartcard" und bleiben somit einfach bei dem Standard. :-(
Thomas 😷
--
== S E N D E Z E I T ====================
DATUM : Mittwoch, 19. Juli 2023
UHRZEIT: 23:35:54 UHR (MESZ)
== Heute: 'Strecke die Zunge raus' Tag ==
unter Windows problemlos. Unter Linux sind zwei Prefs zu bearbeiten und
unter Windows ist es halt nur eine Pref und ein Eintrag in der
Path‑Variablen ...
<https://www.barghahn-online.de/Pictures/gpg_extern.png>
... und niemand kommt mehr an die Schlüssel heran.
Auch hat man dann wieder einen Sicherheitsdialog, der die geheime
Passphrase abfragt. Das übrigens alles zusätzlich zu dem Hauptpasswort
von TB/BB und der Sicherheit, dass nicht jemand eben so "im Vorbeigehen"
den geheimen Schlüssel exportiert.
Ich arbeite mit externen Schlüsseln seit der Version 90 von TB und hatte
damit noch nie Probleme. Andere User fürchten allein schon das Wort
"Smartcard" und bleiben somit einfach bei dem Standard. :-(
Thomas 😷
--
== S E N D E Z E I T ====================
DATUM : Mittwoch, 19. Juli 2023
UHRZEIT: 23:35:54 UHR (MESZ)
== Heute: 'Strecke die Zunge raus' Tag ==
Arno Welzel
Jul 22, 2023, 2:42:15 AM7/22/23
to
Manuel Reimer, 2023-07-19 16:54:
Mit Yubikey geht's wohl auch:
<https://support.yubico.com/hc/en-us/articles/360013790259-Using-Your-YubiKey-with-OpenPGP>
Aber generell halte ich E-Mail mit PGP für eine überholte Technik, die
nur auf ein unsicheres System vermeintliche Sicherheit draufbastelt,
ohne die anderen Probleme wie Nachverfolgbarkeit von Metadaten etc. zu
lösen - denn das ist bei E-Mail nicht lösbar.
Wer wirklich sicher kommunizieren will, sollte eher Lösungen wie Signal
oder Matrix nehmen oder einen eigenen Server für Jitsi Meet und
gemeinsame Dateiablage mit E2E-Verschlüsselung wie Nextcloud.
--
Arno Welzel
https://arnowelzel.de
<https://support.yubico.com/hc/en-us/articles/360013790259-Using-Your-YubiKey-with-OpenPGP>
Aber generell halte ich E-Mail mit PGP für eine überholte Technik, die
nur auf ein unsicheres System vermeintliche Sicherheit draufbastelt,
ohne die anderen Probleme wie Nachverfolgbarkeit von Metadaten etc. zu
lösen - denn das ist bei E-Mail nicht lösbar.
Wer wirklich sicher kommunizieren will, sollte eher Lösungen wie Signal
oder Matrix nehmen oder einen eigenen Server für Jitsi Meet und
gemeinsame Dateiablage mit E2E-Verschlüsselung wie Nextcloud.
--
Arno Welzel
https://arnowelzel.de
Bernadette Karf
Jul 24, 2023, 3:56:57 PM7/24/23
to
Am 19.07.2023 um 01:07 schrieb Jörg Knobloch:
> Wieso meint Ihr denn, dass bei Polizeieinsätzen die Beamten am liebsten
> laufenden Rechner vorfinden? Wenn das Ding nicht läuft ist mit den
> richtigen Maßnahmen da nur schwer bis überhaupt nicht ranzukommen. Wenn
> sich jemand an Deinen laufenden Rechner setzen kann, kann er alles
> machen.
Daher habe ich alle wichtigen Daten und die Profile von TB und FF auf
> Wieso meint Ihr denn, dass bei Polizeieinsätzen die Beamten am liebsten
> laufenden Rechner vorfinden? Wenn das Ding nicht läuft ist mit den
> richtigen Maßnahmen da nur schwer bis überhaupt nicht ranzukommen. Wenn
> sich jemand an Deinen laufenden Rechner setzen kann, kann er alles
> machen.
verschlüsselten Laufwerken, die sich nach 60 Minuten oder Tastendruck
automatisch "verabschieden".
Tja, dann "Tür zugefallen, kein Schlüssel in Sicht"
Gruß
Berna
0 new messages