Hallo Leute!
Ich arbeite gerade für eine große Security Firma und selbst bei dieser gibt es für manche Probleme keine ordentliche Lösung. Deswegen habe ich angefangen, nachzudenken. Der Standard bei dieser Firma ist derzeit, wenn vertrauliche Daten mit einem externen Mitarbeiter ausgetauscht werden: Daten werden über mit PGP verschlüsselte E-Mail übertragen. Das PGP Schlüsselpaar wird nur für den derzeitigen Partner verwendet und die PGP Fingerprints werden, sozusagen um einen zweiten Faktor einzubringen, vorher per SMS abgeglichen. Ich finde dieses Verfahren jedoch stümperhaft und für die gegebene Security auch zu aufwendig.
Deswegen habe ich mir überlegt warum man es nicht ein nicht zum Beispiel auch so machen könnte: nennen wir die zwei kommunizierenden Personen Alice und Bob, kurz A und B.
A ruft B auf seiner Handynummer an. Dabei sagt A zu B eine Nonce. B überweist einen Mikrobetrag (zum Beispiel einen Cent) an A und im Verwendungstext der Überweisung befindet sich diese Nonce und ein PGP Finger Print (Wenn zu lang, dann eben nur ein Hash oä.). Dann sendet B zu A seinen Public Key und dazu den Finger Print in einer unverschlüsselten E-Mail. A hat nun die Möglichkeit, die zwei Fingerprints zu vergleichen. Stimmen diese überein, so sendet A über eine mit dem Public Key von B verschlüsselte E-Mail nun den Public Key von A.
Wäre das nicht um einiges schlauer? Was meint ihr? Wenn sich A und B kennen, oder zumindest wissen, wie ihre Stimme in realo klingt, dann ist auch die Stimme beim Telefonieren ein zusätzlicher, nicht zu unterschätzender Authentifizierungsfaktor imho.
Liebe Grüße und ich bin gespannt auf eure Meinung!
Ich arbeite gerade für eine große Security Firma und selbst bei dieser gibt es für manche Probleme keine ordentliche Lösung. Deswegen habe ich angefangen, nachzudenken. Der Standard bei dieser Firma ist derzeit, wenn vertrauliche Daten mit einem externen Mitarbeiter ausgetauscht werden: Daten werden über mit PGP verschlüsselte E-Mail übertragen. Das PGP Schlüsselpaar wird nur für den derzeitigen Partner verwendet und die PGP Fingerprints werden, sozusagen um einen zweiten Faktor einzubringen, vorher per SMS abgeglichen. Ich finde dieses Verfahren jedoch stümperhaft und für die gegebene Security auch zu aufwendig.
Deswegen habe ich mir überlegt warum man es nicht ein nicht zum Beispiel auch so machen könnte: nennen wir die zwei kommunizierenden Personen Alice und Bob, kurz A und B.
A ruft B auf seiner Handynummer an. Dabei sagt A zu B eine Nonce. B überweist einen Mikrobetrag (zum Beispiel einen Cent) an A und im Verwendungstext der Überweisung befindet sich diese Nonce und ein PGP Finger Print (Wenn zu lang, dann eben nur ein Hash oä.). Dann sendet B zu A seinen Public Key und dazu den Finger Print in einer unverschlüsselten E-Mail. A hat nun die Möglichkeit, die zwei Fingerprints zu vergleichen. Stimmen diese überein, so sendet A über eine mit dem Public Key von B verschlüsselte E-Mail nun den Public Key von A.
Wäre das nicht um einiges schlauer? Was meint ihr? Wenn sich A und B kennen, oder zumindest wissen, wie ihre Stimme in realo klingt, dann ist auch die Stimme beim Telefonieren ein zusätzlicher, nicht zu unterschätzender Authentifizierungsfaktor imho.
Liebe Grüße und ich bin gespannt auf eure Meinung!