GPG für gewöhnliche Leute

[Lord_Carlos]

Kann mir jemand die letzten seiten hier zusammen fassen? Warum will raa Schadenersatz?

Materiellen Ersatz für den immateriellen Schaden, der mir durch die Verletzung meiner Persönlichkeitsrechte und andere Straftaten (wie Verleumdung) entstanden ist. Kürzer geht's nicht. Länger als bereits ausgeführt schon.

Weil der eine Thread geschlossen wurde?

[raa]

Weil der eine Thread geschlossen wurde?

Danke für die Erheiterung. Die Tatbestände stehen ja wohl nun lang und breit genug da, und damit wohl mehr als genug OT hier.

[feltel]

Ich habe das Benutzerkonto von raa soeben gesperrt. Ich bin nicht mehr bereit, ihm für sein destruktives Verhalten hier im Forum eine Plattform zu bieten. Ich -wie auch kein anderer hier- muss mich/sich nicht mit irgendwelchen prozessualen Maßnahmen fast schon bedrohen lassen. Da er trotz mehrfacher Bitten und schlußendlich deutlicher Hinweise sein Verhalten nicht geändert hat, sehe ich mich gezwungen hier diese Maßnahme zu ergreifen.

[eggy]

Und das mit den Keygrips habe ich jetzt auch besser verstanden.

Freut mich

Das ist wohl eine verbesserte Version von Fingerprint, die sowohl bei OpenPGP als auch bei X.509 gleich ist. Ob das ebenfalls SHA1 ist, und ob damit auch festgekloppt wird, dass bei den Unterschriften kein zu schwacher Hash verwendet werden darf, oder ob das mit den Unterschriften zum UID festgekloppt wird, weiß ich noch nicht.

Ich geh davon aus, dass es wieder auf eine (ka ob SHA1 oder was komplett anderes) festgelegt ist. Gleiche Begründung wie zuvor: wenn Du in der Lage bist, nur die Fingerprints/Keygrips an sich zu übermitteln (und in dem Format nicht implizit der benutzte Hashalgorithmus festgelegt wird), dann muss vorher bekannt sein, welche Hashfunktion benutzt werden soll. Sonst gäbe würde Alice mit Ihrem System zu "ja, passt" kommen, während Bob, der was anderes einsetzt, "nee, stimmt nicht überein" erhält.
Ich hab diesmal aber nicht in den Code geschaut, daher nur ne Annahme, kann auch daneben liegen. Schau einfach mal selbst in den Code, sollte auch für Leute ohne größere C Kenntnisse, nachvollziehbar sein. Wenn ichs richtig in Erinnerung hab, war der Code an den entsprechenden Stellen ausreichend kommentiert.

Komplizierte Materie wird nicht dadurch einfacher, dass man anfängt schwammige Begriffe zu nutzen. Lohengrin, entschuldige bitte, dass ich schon wieder damit anfange, versuch noch etwas an der Terminologie zu arbeiten: "schwache Hashfunktion", "starke Hashfunktion" sind Begriffe, die mit besonderen Bedeutungen vorbelegt sind.
Implizit sagst Du mit dem oben zitierten Abschnitt, - so kommt es zumindest bei mir an - dass SHA1 eine starke Hashfunktion sei.
SHA1 gilt jedoch nicht (mehr) als stark, da gezeigt wurde, dass man Kollisionen gezielt herbeiführen kann.

[Lohengrin]

SHA1 gilt jedoch nicht (mehr) als stark, da gezeigt wurde, dass man Kollisionen gezielt herbeiführen kann.

Ok. Wusste ich nicht. Aber man weiß doch, dass man auch bei SHA256 eine Kollision gezielt herbeiführen kann. Es hat halt noch keiner gemacht.

Ich habe vor vielen Jahren mal gehört, dass für den, der bei SHA1 eine Kollision herbeiführen kann, ein hoher Preis ausgelobt gewesen sei. Ein paar Millionen Dollar. Haben die Googles für ihre Tat das Geld bekommen?

[Lohengrin]

Ich kann mit Lohengrins Anleitung leider wenig anfangen.
Näheres per PN.

Danke für die Kritik!
Du hast Antwort. Meine Antwort darfst du gerne ins Forum kopieren.

[eggy]

@Lohengrin: ich hätte vielleicht besser schreiben sollen "mit vertretbarem Aufwand herbeiführen kann". Such mal nach "sha1 nist deprecated". Und irgendwo hatte jemand mal ne Aufstellung gemacht, was Bruteforce Passwortbrechen und Kollisionsherbeiführen auf aktuellen Cloudsystemen kosten, incl ner netten Tabelle "Angriffe-benötigte Zeit-Kosten in Geld" bzw so ähnlich. Auf die Schnelle hab ich die leider nicht wiedergefunden, vielleicht kanns jemand anders verlinken?

[DeletedUserReAsG]

Kann mir jemand die letzten seiten hier zusammen fassen? Warum will raa Schadenersatz?
Gerne auch via PM.

Dichtet sich irgendwelche Verletzungen seiner Persönlichkeitsrechte zusammen, weil man ihm mal so geantwortet hat, wie er selbst anderen gegenüber auftritt. Nicht weiter drüber nachdenken und schon gar nicht versuchen, drauf einzugehen – wäre verschwendete Energie und Zeit (mir ist leider genau das passiert, daher spreche ich da aus Erfahrung).

(Edit: übersehen, dass es schon ’ne weitere Seite gab, und alles schon geklärt ist. Sorry)

[Lohengrin]

@Lohengrin: ich hätte vielleicht besser schreiben sollen "mit vertretbarem Aufwand herbeiführen kann". Such mal nach "sha1 nist deprecated". Und irgendwo hatte jemand mal ne Aufstellung gemacht, was Bruteforce Passwortbrechen und Kollisionsherbeiführen auf aktuellen Cloudsystemen kosten, incl ner netten Tabelle "Angriffe-benötigte Zeit-Kosten in Geld" bzw so ähnlich.

Das wurde schon am Anfang hier geschrieben.
Ich sehe das so, wie es MSfree geschreiben hat.

Es gibt einfach keinen Grund, noch auf SHA-1 zu setzen. Auch, wenn SHA-1 im Moment noch ziemlich sicher ist, zeugt es doch von Unwissenheit, Faulheit oder Bequemlichkeit, nicht mindestens auf das inzwischen auch schon 16 Jahre alte SHA-2 zu setzen.

Ich habe in meinem Werk SHA1 drin, weil es das ist, was beim Fingerprint von OpenPGP verwendet wird, und weil es nur um das Prinzip geht.