[Gpg4win-devel] Sicherheit der Downloads von der Website http://www.gpg4win.de/

[Werner Koch]

On Wed, 14 Apr 2010 14:23, CarstenC.Haucke at web.de said:

> Euer vermutliches Gegenargument wird nun wohl sein: Aber da ist immer
> noch die OpenPG/GnuPG-Signatur (ID 0x1CE0C630), die nach
> Web-of-Trust-Ansatz von so vielen anderen unterschrieben - also

Das wäre ein Argument.  Ich unterzeichne die Downloads immer selbst und
der Fingerprint meines Keys ist nun wirklich mehr als gut bekannt.
Falls da mal ein Problem aufkommen sollte wird das schnell durch die
Presse geistern.

Desweiteren posten wir die SHA1 Prüfsummen nicht nur auf der Webseite
(die übrigens auf einem anderen Server, in einem anderen RZ und unter
anderer Kontrolle als der Download Server liegt), sondern auch per Email
im Announcement.  Gerichtete Angriffe kann man damit zwar nicht
verhindern, es erschwert Angriffe aber schon.

> Wie denkt Ihr darüber, Euch ein solches SSL-Zertifikat bei CAcert.org zu holen und auf dem Webserver einzusetzen. Positiver Nebeneffekt: Die Downloads könnten per HTTPS (SSL-verschlüsselt) erfolgen und die Prüfprozeduren könnten ggf. entfallen.

SSL täuscht nur eine bestimmte Sicherheit vor.  Ein Angriff mit einem
SSL Root Zertifikat ist sicherlich wesentlich einfacher als ein weit
angelegter Angriff auf mehrere Server und Email Archive.  Es gibt
unzählige gültige Root Zertifikate, deren aktueller Besitzer nicht mehr
sicher ermittelbar ist.  Die meisten Browser vertrauen mehreren hundert
Root Zertifikaten (die man bei Windows z.B. gar nicht sieht, da sie
verdeckt nachgeladen werden).

Dadurch täuscht eine HTTPS Verbindung eine Sicherheit vor, die weder der
User noch wir nicht kontrollieren konnen.

> Freue ich auf Eure Antwort und wünsche uns gemeinsam weiterhin viel Erfolg beim Sichern jeder Internet-Kommunikation.

Vielen Dank.


Shalom-Salam,

   Werner

-- 
Die Gedanken sind frei.  Ausnahmen regelt ein Bundesgesetz.