[linux-l] OpenPGP Karte, wer mochte eine kaufen?
Jan-Benedict Glaw
jbglaw at lug-owl.de
Mi Feb 1 08:06:26 CET 2006
On Wed, 2006-02-01 01:38:38 +0100, Steffen Dettmer <steffen at dett.de> wrote:
> Nun hilft einem hier so ne Smartcard so circa gar nichts, wenn man einen
> Klasse-1 Leser verwendet. Das sind Leser ohne Tastatur und Display, also
> Kontakte. Man kann zwar den Schlüssel nicht kopieren, aber missbrauchen.
> Hat man einen Trojaner, könnte der ja warten, bis die Karte eingelegt
> wird, und dann zusätzlich zu der erwünschten Signatur automatisch noch
> eine zweite errechnen. Merkt man gar nicht. Die PIN zur Karte wird vom
> PC verarbeitet, kann der Trojaner also sogar auch noch klauen.
Die Karte zählt die Anzahl der erzeugten Signaturen mit, man kann
Mißbrauch also durchaus bemerken:-) Man muß sich nur merken, wie der
Stand denn beim letzten Mal[tm] so war...
> nicht wirklich prüfen kann. Genau wie bei SSH: gut, der
> Hostkey-Fingerprint kann angezeigt werden, aber kann ich den (so ohne
> grossen Stress) überhaupt prüfen? Sicherlich eher als ein Word-Doc,
Naja, manchmal sollte man das *wirklich* besser tun. (Wer z.B. kurz nach
Weihnachten in Berlin auf dem CCC-Treffen war, weiß, wie oft sich der
host key vertrauter Maschinen so ändert:-)
MfG, JBG
--
Jan-Benedict Glaw jbglaw at lug-owl.de . +49-172-7608481 _ O _
"Eine Freie Meinung in einem Freien Kopf | Gegen Zensur | Gegen Krieg _ _ O
für einen Freien Staat voll Freier Bürger" | im Internet! | im Irak! O O O
ret = do_actions((curr | FREE_SPEECH) & ~(NEW_COPYRIGHT_LAW | DRM | TCPA));
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : signature.asc
Dateityp : application/pgp-signature
Dateigröße : 189 bytes
Beschreibung: Digital signature
URL : <https://mlists.in-berlin.de/pipermail/linux-l-mlists.in-berlin.de/attachments/20060201/5d500c0d/attachment.sig>
Mehr Informationen über die Mailingliste linux-l