fsebugoutzone.org:9999

       Post AQ4PjligGoLXAL5Lvs by duxsco@digitalcourage.social
 (DIR) More posts by duxsco@digitalcourage.social
 (DIR) Post #AQ4PjgSto3kerwfB8i by duxsco@digitalcourage.social
       2022-11-10T00:48:16Z
       
       0 likes, 0 repeats
       
       An die #AusweisApp2 Nutzer und an den @bsi, in dessen Auftrag der Dienst bereitgestellt wird:Importiert den public Key 0x5E5CCCB4A4BF43D7 von der Seite https://www.governikus.de/loesungen/produkte/open-pgp-schluessel/ mit dem Befehl &quot;gpg --weak-digest SHA1 --import ...&quot; und lasst euch überraschen 😉 Ist ja nicht so, dass das Problem unbekannt wäre...https://sha-mbles.github.iohttps://dev.gnupg.org/T4755https://heise.de/-4331048https://blog.bmarwell.de/2020/11/21/fixing-old-sha1-infested-openpgp-keys.htmlsowie:Abschnitt 1.5 undBemerkung 4.3 in [TR-02102-1] des #bsi (https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102.html)#gnupg #gpg #openpgp #pgp
       
 (DIR) Post #AQ4Pjh8jIXDCxgEaLA by bsi@social.bund.de
       2022-11-28T18:04:03Z
       
       0 likes, 0 repeats
       
       @duxsco, selbstverständlich wird SHA-1 nicht mehr als sichere Hashfunktion vom #BSI empfohlen. Allerdings wird nach den vorliegenden Informationen SHA-1 beim Governikus OpenPGP-Signaturservice nur zur Selbstsignatur des öffentlichen Schlüssels eingesetzt, was aus Sicherheitssicht unbedenklich ist.Zur Zeit wird dieser im Auftrag des BSI entwickelte und betriebene Dienst überarbeitet und neu gestaltet: Unter anderem soll SHA-1 zur Beglaubigung von OpenPGP-Schlüsseln durch SHA-256 ersetzt werden.
       
 (DIR) Post #AQ4PjiJkv1cscAOuAK by duxsco@digitalcourage.social
       2022-11-10T01:36:00Z
       
       0 likes, 0 repeats
       
       Nichtsdestotrotz ist es ziemlich cool, dass das @bsi einen solchen Dienst anbieten lässt 👍
       
 (DIR) Post #AQ4PjligGoLXAL5Lvs by duxsco@digitalcourage.social
       2022-11-10T18:51:04Z
       
       0 likes, 0 repeats
       
       Eigentlich wäre es mit einem Re-sign des primary- und subkeys getan (siehe Heise Link und den verlinkten Blog Eintrag drunter).Man sollte aber das ganze Setup überdenken (IMHO). Beispielsweise benötigt der Key nur die &quot;cert&quot; Capability, besitzt jedoch zusätzlich die &quot;sign&quot; bzw. &quot;encrypt&quot; Capability. Zudem wird kein root und intermediate Key eingesetzt.Da die #CA in der jetzigen Form auf jeden Fall nicht der #Sicherheit zuträglich ist, sähe ich gerne den Revoke des alten Schlüssels und den Aufbau einer #CA nach Vorbild  https://www.gentoo.org/glep/glep-0079.html Vllt. könnte  @kuketzblog beim @bsi nachhaken 🙂