Informationssicherheit, 7. Übung
Aufgabe 1, 5 Punkte, Gruppe
Macht Euch mit dem System PGP vertraut. PGP ist spezifiziert in den
OpenPGP-RFCs RFC 4880 und
RFC 3156 und unter anderem
implementiert im Open-Source-Paket GnuPG.
Für diese Aufgabe verwenden wir nicht die CtF-Plattform.
Benutzt für die Erstellung der Keys, die gegenseitigen Signaturen und den Schlüsselwiderruf keine GUI-Tools, sondern die Kommandozeile. Windows-Nutzende können das im Windows-Subsystem für Linux (WSL) machen.
Im Paket GnuPG ist ein Tool namens gpg enthalten.
Legt Euch mithilfe von gpg je ein persönliches
Schlüsselpaar an. Haltet den privaten
Schlüssel auf geeignete Weise geheim.
Setzt sinnvolle Schlüsselparameter. Welche Werte sind als Default
angegeben? Haltet ihr diese Default-Einstellungen für sinnvoll und
sicher?
Macht Euren Schlüssel nach der Erstellung auf dem Keyserver
keys.openpgp.org bekannt.
Der Keyserver fordert die Bestätigung Eurer E-Mail-Adresse, bevor der
Key mit Eurer User-ID veröffentlicht wird. Warum ist das grundsätzlich
sinnvoll?
Diese Bestätigung muss mindestens für die E-Mail-Adresse, mit der Ihr
die geforderten E-Mails verschickt, durchgeführt werden.
Signiert innerhalb Eurer Gruppe Eure Schlüssel gegenseitig. Verwendet
auch dazu gpg mit sinnvollen Parametern (siehe unten). Welche
Signierungsstufe (certification level) wählt Ihr? Warum?
Der Keyserver wird alle Signaturen für andere Schlüssel wieder
entfernen. Damit wir Eure Signaturen trotzdem überprüfen können, gebt
die öffentlichen Schlüssel mit den importierten Signaturen in der
Abgabe mit ab.
Wir möchten hier für jedes Gruppenmitglied EINE! Datei haben, mit dem
export des eigenen Keys.
(Hilfestellung: gpg --export --armor <KEYID>)
Jedes Gruppenmitglied schickt jedem seiner anderen Gruppenmitglieder eine mit
seinem persönlichen PGP-Schlüssel signierte und mit dem Schlüssel des
Empfängers verschlüsselte E-Mail; bitte verwendet dazu Euren von der
Uni bereitgestellten Email-Account.
Schickt außerdem eine verschlüsselte und signierte E-Mail an
isec2024@supersahnetorten.de.
Den entsprechenden Schlüssel findet ihr auch auf dem Keyserver, der
Fingerprint lautet 6905 73F9 391A 07AF DCAD 16C4 E203 3152 4684 A60A
Nachrichten, die nicht per E-Mail verschickt werden, werden nicht
akzeptiert (kein Discord etc.)!
Für diesen Aufgabenteil dürft ihr gerne euren Mail-Client verwenden.
Importiert dazu euren eigenen privaten Schlüssel in den Mail-Client.
Beschreibt und begründet die wesentlichen Schritte in Eurem
Vorgehen. Wie sicher könnt Ihr Euch sein, dass nur der ausgewählte
Gesprächspartner Eure E-Mails lesen kann? Warum? Ist die E-Mail Eurer
Gruppenmitglieder an Euch ordnungsgemäß verschlüsselt und signiert?
Wie habt Ihr das überprüft? Welche Software habt Ihr für die Analyse
benutzt?
Euer privater Schlüssel könnte kompromittiert werden.
Die Reaktion für diesen Fall wollen schon mal durchspielen:
Widerruft jeweils Euren Schlüssel. (Wenn Ihr Eure Schlüssel behalten wollt,
erstellt für diesen Teil der Aufgabe gern einen weiteren Schlüssel.)
Welche Schritte müsst Ihr durchführen, damit der Widerruf wirksam wird?
Woran erkennen andere, dass Euer Schlüssel widerrufen ist? Warum und
wann ist es eine gute Idee, Schlüssel zu widerrufen? Welche zusätzlichen
Schritte sollte man beim Erstellen neuer Schlüssel immer auch ausführen?
Gebt eine widerrufene Version Eures Schlüssels mit ab.
Dokumentiert und begründet für alle oben genannten Teilaufgaben genau
Euer Vorgehen (Kommandos/Programme, Optionen, Parameter).
Bitte gebt in Eurer Abgabe an, wer von Euch welche E-Mail-Adresse verwendet hat.
Kleine Hilfestellung zu den Kommandos
Für die Bearbeitung können die folgenden gpg-Parameter hilfreich sein.
Macht Euch selbst (z.B. über die manpage) mit den Effekten vertraut.
-
--full-gen-key -
--ask-cert-level -
--fingerprint -
--keyserver -
--gen-revoke -
--list-signatures
Abgabe
bis 2024-12-05 23:59 UTC, digital in Stud.IP als zip-Archiv mit einer
Markdown-Datei, einem gerenderten PDF dieser Markdown-Datei und allen
Dateien, die die Markdown-Datei zum Rendern braucht. Als Dateinamen
verwendet Ihr isec24_ueb07_grpYY.(md|pdf|zip) (das YY mit Eurer
Gruppennummer ersetzen). Dabei bitte in der Datei alle
Gruppenmitglieder namentlich nennen. Ebenso die Nummer Eurer Gruppe in
Stud.IP.
Bitte steckt die Energie ins Denken und Schreiben, nicht in eine
wunderschöne Formatierung — lesbar darf es allerdings sein. Die
Lösungswege sollten nachvollziehbar sein.
Wenn Ihr Euch irgendwelcher Quellen bedient (Anleitungen, Howtos,
andere Gruppe, etc.), gebt diese bitte an (Quellen aus dem Netz bitte
gleich als URI).
Carsten Bormann, Karsten Sohr, Stefanie Gerdes, Jan-Frederik
Rieckers, Finn Ewers, Andreas Benischke ·
isec@tzi.org, WS 2024/25