das was Frank sagt, ist nicht so ganz falsch. (...auf den Stick kopiere... verstehe ich so, dass er den priv key auf den Token kopiert). Es ist durchaus sinnvoll - wenn man eine Smartcard nutzt - um Emails zu verschlüsseln, eine Kopie davon zu hinterlegen. Tresor macht sich an dieser Stelle gut. Wenn man gescheit Workflows abgebildet hat, die sicherstellen, dass der private Schlüssel nun wirklich nur im Tresor (oder HSM) und auf dem Token existieren, macht es durchaus sinn. Denn dann kann ich bei Bedarf auch meinen Token verlieren und muss nicht alle meine Emails - die ich nun nicht mehr entschlüsseln könnte - wegschmeissen.
Wenn ich die Variante wähle, nur den Token für Auth verwenden zu wollen, brauch ich natürlich kein Backup des priv. key.
Zum Sniffer: natürlich kann man alles mögliche mitsniffen. Ich kann auch die Token-PIN ausspionieren. Zwischen dem OS und der Smartcard/Token läuft aber nur ein Challange-Response-Verfahren, so dass ich als evesdropper keinen Gewinn daraus ziehen kann.
Besten Dank für den Hinweis auf www.etokenonlinx.org ;-)
das was Frank sagt, ist nicht so ganz falsch. (...auf den Stick kopiere... verstehe ich so, dass er den priv key auf den Token kopiert).
Es ist durchaus sinnvoll - wenn man eine Smartcard nutzt - um Emails zu verschlüsseln, eine Kopie davon zu hinterlegen. Tresor macht sich an dieser Stelle gut.
Wenn man gescheit Workflows abgebildet hat, die sicherstellen, dass der private Schlüssel nun wirklich nur im Tresor (oder HSM) und auf dem Token existieren, macht es durchaus sinn. Denn dann kann ich bei Bedarf auch meinen Token verlieren und muss nicht alle meine Emails - die ich nun nicht mehr entschlüsseln könnte - wegschmeissen.
Wenn ich die Variante wähle, nur den Token für Auth verwenden zu wollen, brauch ich natürlich kein Backup des priv. key.
Zum Sniffer: natürlich kann man alles mögliche mitsniffen. Ich kann auch die Token-PIN ausspionieren.
Zwischen dem OS und der Smartcard/Token läuft aber nur ein Challange-Response-Verfahren, so dass ich als evesdropper keinen Gewinn daraus ziehen kann.
Besten Dank für den Hinweis auf www.etokenonlinx.org ;-)
Kann es sein, dass ich Dich kenne, Tobias?
Schönen Gruß
Cornelius
Linux. Linux.
Das hab ich doch schonmal gehört.
...was war das gleich.
ah ja. So nen Persil-Verschnitt!