Hallo,

nach Plattencrash ist leider mein Privatkey verschwunden, leider gab es nirgends ein Backup.

Besteht die Möglichkeit aus dem Public Key den Privat Key wiederherzustellen?

Danke

Nein.

http://lists.gnupg.org/pipermail/gnupg-users/2005-September/026658.html

@jokibär : danke für den Thread, der zeigt so richtig wie wichtig es ist den private key zu sichern.

(gg ich habe meinen gerade auf ein externes Medium kopiert.... ;) )

Da der private key nicht so offensichtlich und einfach zu finden ist hier ein Link zum Thema: http://osdir.com/ml/mozilla.enigmail.general/2004-12/msg00138.html

@jokibär : danke für den Thread, der zeigt so richtig wie wichtig es ist den private key zu sichern.

Und die "Revoke" Datei gleich mit, sofern man denn eine erstellen lassen hat (was man IMMER tun sollte).

Wenn man davon ein Backup hat, kann man zumindest den Key sperren lassen und vor Missbrauch schuetzen.

Von beidem kein Backup vorhanden?

=> Pech gehabt, dann eben Lernen durch Schmerzen.

Neues Schluesselpaar anlegen und hoffen, dass der alte Key wirklich nirgends mehr existiert.

Keys sollten eh nur eine wirklich begrenzte Gültigkeit haben ... .alles über einem Jahr finde ich bedenklich .... zumindest im Privateinsatz..

Keys sollten eh nur eine wirklich begrenzte Gültigkeit haben ...

ACK.


.alles über einem Jahr finde ich bedenklich .... zumindest im Privateinsatz..

Das sehe ich nicht so, vor allem im Privateinsatz.

Wenn Du denn wirklich (was ja leider auch Fakt ist) mehr als nur eine Handvoll Kommunikationspartner hast, die mit Dir per GPG-verschluesselter Email oder Messenger kommunizieren, dann ist das aber PITA jedes Jahr allen die neuen Keys auf sichere Art und Weise zukommen zu lassen.

Wenn man es nicht schafft auf seine Keys gut aufzupassen, dann nutzt auch eine sehr kurze Gueltigkeitszeit nichts, seinen Key kann man auch 5 Minuten nach Erstellung verschusseln.

Greetz,

RM

OK.

Ich suche noch meinen ersten Kommunikationspartner der den Sinn dieser Technik überhaupt einsieht .... dann sehen wir weiter :ugly: Mal sehen ob ich mir in einem Jahr überhaupt ein neues Schlüsselpaar erstelle ....


Beispiel: ganz stolz das erste Schlüsselpaar erstellt, auch die erste Testmail zum Bot erfolgreich abgeschickt, den Namen eines Freundes auf dem Keyserver gefunden.. er hat vor 10 Jahren einen Key eingestellt.. diesen gefragt ob er den noch nutzt... oh... seit Jahren nichtmehr .. ging mit irgendeinem alten Computer über den Jordan.. seither nichtmehr benötigt....

Ach ja, der ist übrigens vom Fach.. also irgendwie setzt sich das in der Bevölkerung nicht so richtig durch....


Dabei wären wenigstens signierte Mails ja wirklich was Sinnvolles...


@R_M : welche Gültigkeitsdauer würdest du denn statt dessen empfehlen ?

Ich suche noch meinen ersten Kommunikationspartner der den Sinn dieser Technik überhaupt einsieht ....
Das kenne ich auch, SNAFU.



Beispiel: ganz stolz das erste Schlüsselpaar erstellt, auch die erste Testmail zum Bot erfolgreich abgeschickt, den Namen eines Freundes auf dem Keyserver gefunden.. er hat vor 10 Jahren einen Key eingestellt.. diesen gefragt ob er den noch nutzt... oh... seit Jahren nichtmehr .. ging mit irgendeinem alten Computer über den Jordan.. seither nichtmehr benötigt....

Ist aber auch da kein Sicherheitsproblem, sondern (naechstes NET-Acronym) PEBKAC.



Ach ja, der ist übrigens vom Fach.. also irgendwie setzt sich das in der Bevölkerung nicht so richtig durch....

Um so schlimmer.



Dabei wären wenigstens signierte Mails ja wirklich was Sinnvolles...

Mache ich aus Prinzip, wobei so mancher WinDAU (ja, sind nur "Dosen", die sich darueber "beschweren", weil sie keine Ahnung haben) schon meinte das waere ein Anzeichen fuer einen Virus, aber auch das ist nix Neues, irgendwelche PFW, "Anti Spyware"- und Virenscanner sind fuer diese Spezis dann "Sicherheitssoftware, die man haben muss", spaetestens da weiss man schon, womit man es zu tun hat.

(DBDDHKP)



@R_M : welche Gültigkeitsdauer würdest du denn statt dessen empfehlen ?

Das musst Du fuer Dich entscheiden, ich habe mehrere Schluesselpaare, die ich fuer verschiedene Zwecke nutze, das eine hat z.B. kein Ablaufdatum, denn das brauche ich dann nicht mehr, wenn ich selbst "abgelaufen" bin, ansonsten sinds bei den meisten IIRC 5 Jahre, aber hier gilt eben YMMV.

Viel wichtiger ist es IMHO (letztes Acronym fuer diesen Post), dass man einen nicht mehr genutzten Schluessel auch sperrt, egal wie lange er laeuft.

Greetz,

RM

*gg* in deinem Testament ist also ein Datenträger mit einem Revoke-Key für dein lebenslanges Zertifikat ?

Das sollen die Erben aber erst zwei Wochen nach dem Ableben zurücknehmen.. wer weiß ob Petrus nicht bereits die Eingangskontrolle auf gnupg umgestellt hat ;-)


Um Rückfragen wegen "Viren " in meinen Mails zu vermeiden signiere ich Mails nur wenn wenigstens eine Chance besteht dass der Empfänger etwas damit anfangen kann.

*gg* in deinem Testament ist also ein Datenträger mit einem Revoke-Key für dein lebenslanges Zertifikat ?

NOCH nicht, aber danke fuer die Anregung, jetzt weiss ich, was ich vergessen habe.



Das sollen die Erben aber erst zwei Wochen nach dem Ableben zurücknehmen.. wer weiß ob Petrus nicht bereits die Eingangskontrolle auf gnupg umgestellt hat ;-)

Ach das wird egal sein, wo ich wahrscheinlich hinkomme, wollen die "Betreiber" eher das Gegenteil, namentlich dass man nicht mehr raus kommt.

:-)



Um Rückfragen wegen "Viren " in meinen Mails zu vermeiden signiere ich Mails nur wenn wenigstens eine Chance besteht dass der Empfänger etwas damit anfangen kann.

Die Einstellung hatte ich auch mal, aber irgendwann denkt man sich, sch**** drauf, sollen sich die Empfaenger darueber informieren, was es ist (natuerlich sage bei entsprechenden Nachfragen, dass es sich um eine Signatur handelt).

Immerhin ist es auch schon ein paar mal vorgekommen, dass der entsprechende Empfaenger Interesse dafuer angemeldet hat und -wenn auch noch seltener- ein paar selbst GPG eingerichtet haben.

Das ist mit dem Donnervogel und Enigmail (und unter windows noch GPG4Win) auch fuer ungeuebte User kein allzu grosses Problem und wenn man ihnen vorher noch ne Geschichte ueber Alice und Bob (nein, keine Bienen und Bluemchen) erzaehlt (bzw. verlinkt), dann verstehen die Meisten auch das Prinzip dahinter.

Ich werde sicher Niemanden dazu zwingen mit GPG zu kommunizieren, aber ich lasse mich auch nicht durch anderer Leute Unwissenheit dazu zwingen, meine (eh automatisch vom Mailclient) signierten Mails nicht mehr zu signieren.

Greetz,

RM

@R_M : welche Gültigkeitsdauer würdest du denn statt dessen empfehlen ?

Hi,
ich bin zwar von der "S/MIME-Fraktion", aber Softwaretoken sind Softwaretoken, egal ob man selbige für GnuPG produziert oder für S/MIME.

Im Gegensatz zu Zertifikaten auf Chipkarte (Gültigkeit 3-5 Jahre) stellen wir Softwaretoken (.pfx bzw. .p12) nur für eine Gültigkeit von einem Jahr her. Die Begründung ist ganz einfach: Zum einen können Softwaretoken beliebig oft kopiert werden. Und je öfter ein Geheimnis geteilt wird ... . Aber der Hauptgrund ist, dass ein Angreifer bei einem erbeuteten (oder gefundenen) Softwaretoken beliebig viele Angriffe fahren kann, bis er das Mantra/ die PIN ausgetestet hat. Mit einem Jahr ist bei der Länge der verwendeten PW ein gewisses Optimum erreicht zwischen der Leistung der brutforce-Angriffe und der Gültigkeit.
Chipkarten (zertifizierte Prozessorchipkaten mit integriertem kryptologischen Coprozessor, Rauschgenerator usw.) sperren sich nach drei Fehleingaben der PIN. Daraus folgt die längere Gültigkeit der Zertifikate.

Das alles gilt für den Einsatz der X.509-Zertifikate im professionellen Bereich. Im privaten Bereich kann natürlich jeder, wie er will ... . Ich persönlich halte mich an die Zeiten, die auf Arbeit gelten.

Was die Akzeptanz von sicheren eMails in der Bevölkerung betrifft, da haben wir wohl alle das gleiche Problem. Mit viel Überzeugungsarbeit habe ich mir allerdings einen recht großen Stamm von "Mitspielern" aufgebaut, die ich regelmäßig mit Zertifikaten aus meiner kleinen "Privat-CA" ausstatte. Der Schlüsselwechsel ist ganz einfach: eine Woche vor dem Ablauf des alten gibt es den neuen ... .

Und nebenbei: Wieder was gelernt - ich kannte nur EBKAC (Error between ...). Aber meistens ist es ja doch nur ein "Level-8-Fehler" :-)

MfG Peter

Wie man Leute nicht überzeugt sehe ich am Naturbursche Thread deutlich... was mich dagegen interessieren würde: wie habt Ihr Eure Freunde vom Sinn der Verschlüsselungsverfahren überzeugen können ?


(Bei mir nutzt ein Großteil der Freunde nicht mal Mailclients... nur Webmailer.. bei denen brauche ich es gar nicht erst zu versuchen.... )

Wie überzeugt Ihr Leute die mit Computern eigentlich gar nichts am Hut haben (Textverarbeitung, Mail, Wetterbericht.. das Ding soll halt "tun".. ) ?

Noch vor einem halben Jahr haben mich meine Kollegen mit meinem Engagement gegen Überwachung hochgenommen.... Lidl, Post und Bahn sei Dank finden die das mittlerweile auch nicht mehr witzig :ugly: .. aber wie bringt man die Leute in so einem Fall dazu (für sich) selbst etwas zu tun ?



(OK zugegeben.. den Spötter Nummer eins habe ich einfach mal neben meinen Rechner gestellt und ihn in seinem Beisein bei der Telekom "ergoogled" um mir die Links neben seinem Namen anzusehen und ihn dann darauf hinzuweisen dass ich ja jetzt seine Adresse nur noch bei der "Rotten Neighbour" Seite eingeben muss .. und auch mit Google Streetview nachsehen kann ob sein Garten auch schön gepflegt ist ... irgendwie wirkte er hinterher recht nachdenklich....)

Ich wollte Revoke und private noch auf USB-Stick speichern, aber --- verschwitzt ...:) aaah! :-D

Ich habe den Fehler gemacht eine Rundmail zu signieren.....

Bekam zig "ich krieg das Attachment nicht auf" Mails. In zwei Fällen war der Text Body beim Empfänger tatsächlich nicht lesbar.. manche Mailclients scheinen sich da schwer zu tun....

Ich habe den Fehler gemacht eine Rundmail zu signieren.....

Bekam zig "ich krieg das Attachment nicht auf" Mails. In zwei Fällen war der Text Body beim Empfänger tatsächlich nicht lesbar.. manche Mailclients scheinen sich da schwer zu tun....

Den "Spaß" habe ich nun seit knapp 11 Jahren.

* "Der Anhang geht nicht auf."
* "Du hast da so komische Werbung oben und unten."
* "Die Mail von dir war leer."
* "Ich kann deine Mail nicht lesen da die Sonderzeichen alle falsch sind"
etc.

* Wegen dem ersten Problem -> umgestiegen auf ASCII armored
* Daraus entstand das zweite Problem -> wieder zurück zu MIME
* Prompt erhalten manche Mails welche scheinbar leer sind (erstes Auftreten bei neuen Versionen von Outlook und OutlookExpress um 2003 herum)
* Die neueste Variante der Beschwerden ist die Letzte -> Sonderzeichen werden falsch dargestellt da der MUA die Codierung nicht erkennt bzw. generell kein UTF8 kann.

Trotz der Probleme habe ich jedoch mit dem größten Teil meiner Freunde, Bekannten und (eBay)-Käufern/Verkäufern keine Schwierigkeiten.

Inzwischen haben sich auch meine Komilitonen daran gewöhnt das bei mir immer ein "Anhang" dabei ist mit dem sie "nichts anfangen können".

Der Sinn von GnuPG/PGP bleibt ihnen vollkommen verborgen. Sie können sich nicht vorstellen das jemand ihre Mails lesen will. Jedoch geht's darum ja u.U. gar nicht.

Mein Hauptaugenmerk liegt auf dem Signieren der Mails. "Ja, die ist wirklich von mir!".

Wer sonst sollte von meinem Mailaccount Mails verschicken? Nachdem ich ein paar Leuten gezeigt habe wie einfach es ist z.B. via PHP eine Mail mit ihrer Adresse als Absender zu verschicken war beim einen oder anderen zwar kurz ein bischen Überraschung vorhanden - "aber das machen ja nicht viele".

Nun ja... Schaue ich in meinen Junk-Ordner habe ich mir die letzten 6 Tage ständig Barhocker, Schreibkurse und Fahnenmasten verkaufen wollen... :)

Grüße, Martin