ub13 hat geschrieben:tylerD hat geschrieben:ub13 hat geschrieben:Was IMO also fehlt ist eine ausreichende und automatische Überprüfung per gpg und md5sum.
Und dann gibts wieder nen großen Fehler in gpg und die Sicherheit ist wieder hinfällig, noch schlimmer man wähnt sich in einer falschen Sicherheit.
Na ja. Der Fehler betraf nur die ElGamal-Schlüssel und das auch nur bei GnuPG ab Version 1.0.2 und das auch nur im Expert Modus, wenn ich das richtig verstanden habe.
Das heißt nicht das ein anderer Fehler auch bei anderen Schlüsseln gefunden werden kann. Und ausserdem baut gpg auf ein verteiltes System auf, wo es Vertrauensstellungen gibt. Wenn bei dir direkt kein gamal-Schlüssel ist, heißt das noch lange nicht das du indirekt in deinen Vertrauensstellungen einen hast der noch nicht revoked wurde und somit dein ganze Sicherheit verlohren geht.
Das Problem bei Sicherheit ist meistens, dass man irgendjemanden vertrauen muss, und dass man sich nicht, nur weil man ein Sicherheitssystem benutzt, so sicher fühlt, dass man dann von einem Angriff ganz kalt erwischt wird.
Aber natürlich ist solch ein Sicherheitssystem wie gpg oder meinetwegen ssh ( für ander Anwendungsfälle) immer zu beführworten, nur sollte man sich auch bei dessen Benutzung im klaren sein, dass diese Fehler haben können und sich nicht in einer trügerischen absoluten Sicherheit fühlen.
cu