Diskussion:Perfect Forward Secrecy

aus Wikipedia, der freien Enzyklopädie

perfekt fortgesetzte Geheimhaltung? Forward heißt vorwärts gerichtet, vornliegend oder vorgerückt (und Ähnliches), aber nicht fortgesetzt.--Jost Riedel 15:54, 12. Aug. 2008 (CEST)

unklar formuliert: "können asymmetrische Algorithmen jedoch trotzdem als aufwändiger betrachtet werden" - das liegt doch wohl daran, dass die Generierung eines asymetrischen Schlüssels aufwändiger ist, oder ? Kannst Du das etwas deutlicher formulieren?

auch hier nicht ganz klar: "da ein Angreifer nur die Daten entschlüsseln kann, über deren (flüchtigen) Schlüssel er verfügt" - ist damit gemeint, dass ein Angreifer, der einen Schlüssel aufdeckt, daraus keinerlei Informationen über den Zeitpunkt vor der Aktivierung des Schlüssels ableiten kann? Ist das die Kernaussage der 'Perfect Forward Secrecy' ? Gunnar Eberlein 23:12, 19. Mai 2006 (CEST)

Ja, genau das ist die Kernaussage der PFS ;) -- ein Benutzer @ 83.135.194.192 17:39, 27. Jun. 2007 (CEST)
Naja, bei PFS geht es imho hauptsächlich darum, dass er "keinerlei Informationen über den Zeitpunkt nach der DEaktivierung des Schlüssels ableiten kann". -- 87.153.205.99 03:15, 29. Nov. 2011 (CET)

Begriff?

Den Begriff "Folgenlosigkeit" halte ich für eine sehr fragwürdige und an den Haaren herbeigezogene Übersetzung. Das Lemma unter "perfect forward secrecy" zu führen halte ich da für wesentlich sinnvoller. Nebenbei bemerkt scheint mir auch die hier angegeben Definition nicht korrekt zu sein. --Zaph 23:06, 11. Dez. 2008 (CET)

Das sehe ich haargenau so. Wer hat sich denn diese wirre Übersetzung einfallen lassen? Naja, macht mal ihr Eindeutschprofis. Ich benutze im Bereich Kryptografie einfach weiter die englischen Begriffe. Wie wäre es denn mit Hübsche Gute Privatheit statt PGP? -- 87.153.203.39 17:47, 24. Nov. 2011 (CET)
Der Artikel erklärt überhaupt nichts, er deutet nur schemenhaft das Problem an und erklärt, daß es eine Lösung dafür gibt.
Zukunftssicher verschlüsseln mit Perfect Forward Secrecy (Heise) wird da viel konkreter und liefert die Links, unter denen man sich weiter informieren kann. --84.160.76.124 23:46, 27. Jul. 2013 (CEST)


Ich habe versucht mich des Problems ein bisschen anzunehmen, und habe eine freie Übersetzung eingefügt die meiner Meinung nach wenigstens die Idee, den Hintergrund PFSs trifft. Bitte nicht noch einmal in irgendwas wie perfekt fortgesetzte Geheimhaltung. Trifft weder das was PFS ist noch die englische Sprache. Programmierer, (Hobby-)Kryptologen die mehr Ahnung wie ich haben oder etwas bequellbares finden sind gerne zu Veränderungen eingeladen. Leider stecke ich im organisatorischen/technischen nicht so tief drin das ich aktiv eine Lemmaverschiebung vorantreiben könnte. Bin aber absolut eindeutig für eine Lemmaverschiebung in PFS sonst dürfen wir hier demnächst wirklich noch an "schöner hübscher Privatheit", "Zentraler Intelligenz Agentur" (CIA) und ähnlichem rumeditieren.--Gag101 (Diskussion) 23:37, 11. Sep. 2013 (CEST)-

mir ist als begriff "forward secrecy" (ohne perfect) gelaeufiger, aber da gibt es wohl auch in der fachliteratur unterschiede. ich habe kurz nach "folgenlosigkeit schluesselaustausch" gegoogelt und einige treffer erhalten, alle davon im zusammenhang mit Off-the-Record Messaging. ob WP die deutsche uebersetzung eingefuehrt hat und die dann bei OTR uebernommen wurde, oder ob jemand sich den begriff bei der uebersetzung eines OTR-handbuchs ausgedacht hat, kann ich gerade nicht nachvollziehen. der begriff wird heutzutage jedenfalls auch ausserhalb der WP verwendet.
die lemmatisierung ist in WP:Lemma geregelt, dort steht "Allgemein sollte als Artikeltitel (Lemma) diejenige Bezeichnung verwendet werden, die für den im Artikel behandelten Sachverhalt im deutschen Sprachraum am gebräuchlichsten ist." ich habe daher auf google.de nach den folgenden begriffen gesucht und habe auf der 10. (bzw. letzten, falls es weniger als 10 waren) seite nach der ergebnisanzahl geschaut (ein bekanntes problem bei google ist, dass die trefferanzahl anfangs ueberschaetzt wird). das ergebnis ist eindeutig:
  • perfect forward secrecy schluesselaustausch: 1.670 Ergebnisse
  • -perfect forward secrecy schluesselaustausch: 882 Ergebnisse
  • folgenlosigkeit schluesselaustausch: 33 Ergebnisse, darunter dieser artikel
ich wuerde daher ebenfalls befuerworten, den artikel zu verschieben. die haeufigste schreibweise scheint "Perfect Forward Secrecy" zu sein. da das ergebnis der google-suche eindeutig ist, werde ich mich gleich darum kuemmern. --Mario d 11:57, 12. Sep. 2013 (CEST)

Beispiel

In der Englischen WP werden noch Beispiele wie SSH und OTR gelistet. Da ich die Details nicht kenne, trau ich mich nicht, das zu übernehmen. Ein anschauliches Beispiel, wie in einem am Dienstag kompromittierten PFS-Dienst ein Mittwoch-Schlüssel ausgehandelt werden kann, der erstmal wieder sicher ist, leuchtet mir auch gerade nicht ein. Ein Theoretisches Beispiel wär da Wahnsinn ;) -- 186.106.164.161 17:14, 8. Jun. 2012 (CEST)

Beispiele?

Angeblich benutzen von den größeren Websites das nur Google und Bloomberg (siehe http://blogs.computerworld.com/encryption/22366/can-nsa-see-through-encrypted-web-pages-maybe-so ). Vielleicht sollte man das noch mit aufnehmen. --91.61.5.244 12:40, 29. Jun. 2013 (CEST)

Unabhängigkeit der Session-Keys != PFS

Folgender Satz findet sich im Artikel:

Von entscheidender Bedeutung ist, dass jeder neue Schlüssel absolut unabhängig von seinen Vorgängern erzeugt wird. Durch diese Perfect Forward Secrecy können aus einem aufgedeckten Schlüssel keine früher oder später verwendeten abgeleitet werden.

Dies ist meiner Meinung nach extrem ungünstig formuliert. Session-Keys sollten immer unabhängig voneinander erzeugt werden (egal ob mit oder ohne PFS). Ansonsten wäre es möglich von einem Session-Key auf den nächsten (bzw. vorherigen) zu schließen. Bei PFS geht es aber viel mehr darum, dass man durch die Kompromittierung des privaten Schlüssels nicht auf die damit ausgehandelten Session-Schlüssel schließen kann. Daher ist auch das Beispiel etwas irreführend.

--Karol Babioch (Diskussion) 17:12, 17. Sep. 2013 (CEST)

Ich habe mir erlaubt das Ganze ein wenig umzuformulieren, sodass es nicht mehr obige Fehler enthält. Wäre nett, wenn trotzdem nochmal jemand drüber schauen könnte.

--Karol Babioch (Diskussion) 18:35, 17. Sep. 2013 (CEST)

mMn gibt es keine allgemein akzeptierte definition, PFS kann auch beides verlangen, sicherheit des session keys bei kompromittierung des langzeitschluessels und spaeterer session keys.[1] dazu muesste man mal bessere belege suchen und das in den artikel einbauen. --Mario d 13:56, 18. Sep. 2013 (CEST)
Genau darum geht es doch, nämlich um die Sicherheit der Session Keys bei Kompromittierung des "Langzeitschlüssels". Damit sind sowohl frühere als auch spätere Sitzungsschlüssel sicher - Diffie-Hellman sei dank. Ich habe allerdings meine Probleme mit dem Begriff "Langzeitschlüssel". Ich weiß zwar was du damit meinst, aber eine wirkliche Definition scheint diese Begrifflichkeit nicht zu haben. Es gibt auch gerade einmal 920 Google-Ergebnisse. --Karol Babioch (Diskussion) 15:49, 18. Sep. 2013 (CEST)
es gibt da zwei verschiedene szenarien: a) der angreifer bekommt den langzeitschluessel, b) der angreifer bekommt den langzeitschluessel und einige session keys. das ist nicht das gleiche. "langzeitschluessel" ist meine eigene uebersetzung des mir gelaeufigen "long-term key", das auch im englischen PFS-artikel verwendet wird. "master key" (Hauptschlüssel) hat eine konnotation, die in diesem kontext nicht passt, naemlich, dass von ihm schluessel direkt abgeleitet werden. der langzeitschluessel kann aber bspw. auch ein signaturschluessel sein. "master key" passt, wenn man ueber forward-secrecy von verschluesselungsverfahren spricht, aber das muesste man mal sorgfaeltig aufdroeseln und belegen. --Mario d 18:13, 18. Sep. 2013 (CEST)
Vielleicht will ich es mir ja einfacher machen als es ist, aber ich kann deine beiden Szenarien nicht so ganz nachvollziehen. Bei PFS geht es darum, dass ein Angreifer, der im Besitz des "Langzeitschlüssels" ist trotz Mithörens nicht auf die Session-Keys schließen kann und somit jeden einzelnen Sitzungsschlüssel "knacken" muss. Das Knacken von "Sitzunggschlüsseln" lässt sich auch gar nicht verhindern - wenn man Quantenkryptografie mal außen vor lässt. Wenn der Angreifer im Besitz des "Langzeitschlüssels" sowie einiger "Sitzungsschlüssel" ist, dann kann er eben diejenigen Sitzungen "knacken" deren "Sitzungsschlüssel" er hat. Sofern die "Sitzungsschlüssel" korrekt generiert worden sind, d.h. zufällig, bringen ihm die Sitzungsschlüssel aber nicht weiter beim "Knacken" weiterer Sitzungen - genauso wenig wie der "Langzeitschlüssel" sofern PFS eingesetzt wird. --Karol Babioch (Diskussion) 19:22, 18. Sep. 2013 (CEST)
genau - aber wenn die SK nicht korrekt generiert werden, kann es sein, dass eine definition erfuellt ist, die andere aber nicht. der LTK alleine bringt dem angreifer nichts, aber mit zusaetzlichen SKs kann er das system vielleicht brechen. hat das system dann PFS? PFS ist ja ein begriff, der erstmal definiert werden muss und ich meine, dass es da verschiedene definitionen gibt. ATIS, immerhin ein standardisierungsgremium, nennt die erste definition forward secrecy, die zweite perfect forward secrecy. man muesste eben mal die verschiedenen definitionen des begriffs aus der literatur heraussuchen und aufbereiten. --Mario d 11:22, 19. Sep. 2013 (CEST)

folgenlosigkeit

im abschnitt #Begriff? oben ging es bereits um aehnliches, ich mache trotzdem einen neuen abschnitt auf. da im artikel alle vorkommnisse des wortes "folgenlosigkeit" mit der begruendung geloescht wurden, es werde nur in kopien des wikipedia-artikels verwendet, hier einige beispiele, bei denen das nicht der fall ist.

auch auf seite II der umseitig verlinkten diplomarbeit wird der begriff verwendet. egal, wo er zum ersten mal auftauchte, mittlerweile ist findet er ausserhalb der WP verwendung, er darf daher ruhig auch hier verwendet werden. wenn das gewuenscht wird, kann die verwendung bspw. mit der diplomarbeit belegt werden. --Mario d 13:13, 24. Jan. 2014 (CET)

In Wikipedia wurde der Begriff erstmalig im August 2008 verwendet [2], was ich jetzt mal nutzen werden um zu überprüfen ob die Aussage „es werde nur in kopien des wikipedia-artikels verwendet, hier einige beispiele, bei denen das nicht der fall ist.“ zweifelsfrei zutrifft:
Wie man sehen kann bezieht sich ein großer Teil explizit eben doch auf Wikipedia und bei den anderen (außer der Diplomarbeit) kann es nicht ausgeschlossen werden. Eine Diplomarbeit als Beleg reicht nicht aus, zumal sich der Begriff Folgenlosigkeit in keinen Buch und keinem Paper nachweisen lässt. --Mps、かみまみたDisk. 23:28, 24. Jan. 2014 (CET)
du willst doch nicht ernsthaft alle quellen nach 2008 nicht beruecksichtigen, weil sie von WP inspiriert sein koennten? die diplomarbeit geht dem einbau des begriffs in den artikel voraus, hat ihn also woandersher. warum sollte das nach 2008 auf einmal nicht mehr der fall sein? das ist pure spekulation. heise gibt WP auch nicht als quelle an, sondern verlinkt lediglich zur erlaeuterung des begrifsf auf WP. das gleiche gilt fuer die seiten der RWTH und der uni konstanz.
zusammenfassend: die begriffsverwendung wurde nachweislich nicht von WP eingefuehrt (siehe diplomarbeit) und hat eine gewisse verbreitung erreicht. es gibt also keinen grund, sie hier nicht zu erwaehnen. dass es allgemein zu diesem thema wenig deutschsprachige wissenschaftliche literatur gibt, aendert daran nichts. --Mario d 13:08, 25. Jan. 2014 (CET)
nachtrag: hier sond noch ein paar belege fuer die verwendung, die nicht auf WP hindeuten.

Und wie funktioniert der Zauber nun?

irgendwie fehlt das völlig. Klar kann man das alles ergooglen, aber ich als Laie kann die Seriosität und Korrektheit der Suchergebnisse nicht beurteilen. --RokerHRO (Diskussion) 20:29, 2. Feb. 2014 (CET)

ich habe eine grobe beschreibung eingefuegt, ich hoffe, das hilft. --Mario d 23:04, 13. Feb. 2014 (CET)
Danke, dass du es immerhin versucht hast. :-) Ich hab mich inzwischen darüber ein bisschen belesen und es geht wohl über einen Diffie-Hellmann-Schlüsseltausch. Das sollte auf jeden Fall mit rein und auch eine Begründung/Erkläruing, wieso das Verfahren sicher ist, auch wenn ein Dritter alle Datenpakete mitgeschnitten hat und sie entschlüsseln kann. --RokerHRO (Diskussion) 14:46, 15. Feb. 2014 (CET)

Einführungssatz fehlleitend

Der momentante Einleitungssatz lautet ja folgendermaßen: "Perfect Forward Secrecy (PFS), auf deutsch etwa perfekte vorwärts gerichtete Geheimhaltung, ist in der Kryptographie eine Eigenschaft bestimmter Schlüsselaustauschprotokolle, bei der mit zwischen den Kommunikationspartnern zuvor ausgetauschten Langzeitschlüsseln für jede einzelne Sitzung ein neuer geheimer Schlüssel vereinbart wird. Ein Protokoll hat Perfect Forward Secrecy, wenn die verwendeten Sitzungsschlüssel nach der Beendigung der Sitzung nicht mehr aus den geheimen Langzeitschlüsseln rekonstruiert werden können."

Was mich an der Beschreibung verunsichert bzw. stört, ist das "(...) , bei der mit (...)" in Kombination mit dem darauffolgenden Satz. Der erste Satz würde (sinnvoll) verkürzt ja lauten: "Perfect Forward Secrecy (...) ist (...) eine Eigenschaft (bestimmter Schlüsselaustauschprotokolle), bei der mit zwischen den Kommunikationspartnern zuvor ausgetauschten Langzeitschlüsseln für jede einzelne Sitzung ein neuer geheimer Schlüssel vereinbart wird.". Hier wird klar, dass sich das "(...), bei der" nicht auf die Schlüsselaustauschprotokolle, sondern eben auf die Eigenschaft bezieht. Daraus ergibt sich (für mich), dass: PFS => Eigenschaft (von Schlüsselaustauschprotokollen) => Eigenschaft = Austausch von Langzeitschlüsseln mit jeweils neuen Sitzungsschlüsseln Wenn man dann jedoch den zweiten Satz liest, wird eben dieses Verständnis in Frage gestellt, da hier PFS als Eigenschaft definiert, die ein solches Protokoll unter bestimmten Voraussetzungen hat (die Nicht-Rekonstruierbarkeit der Sitzungsschlüssel nach Kompromittierung des Langzeitschlüssels).

Müsste der Einleitungssatz daher nicht korrekterweise lauten: "Perfect Forward Secrecy (PFS), auf deutsch etwa perfekte vorwärts gerichtete Geheimhaltung, ist in der Kryptographie eine Eigenschaft bestimmter Schlüsselaustauschprotokolle, bei denen mit zwischen den Kommunikationspartnern zuvor ausgetauschten Langzeitschlüsseln für jede einzelne Sitzung ein neuer geheimer Schlüssel vereinbart wird. Ein soclhes Protokoll hat diese Eigenschaft (=Perfect Forward Secrecy), wenn die verwendeten Sitzungsschlüssel nach der Beendigung der Sitzung nicht mehr aus den geheimen Langzeitschlüsseln rekonstruiert werden können." --SDchaos (Diskussion) 15:46, 19. Aug. 2020 (CEST)

Ich habe den Einleitungssatz mal umformuliert, damit klarer wird, was PFS sein soll und warum man das macht. Ist es so verständlicher? --RokerHRO (Diskussion) 11:56, 20. Aug. 2020 (CEST)

Artikel allgemein

Bei mir funktionieren die Archiv-Links, die mit dem Block moniert werden. Block löschen? Zweitens, wer sich gut auskennt, mal nen Artikel über trustworthy internet movement schreiben, mir fehlen dazu die Kenntnisse --Cp70.de (Diskussion) 21:33, 2. Feb. 2022 (CET)

Nein, die Archiv-Links funktionieren nicht richtig. Der erste soll Daten von Januar 2015 zeigen, der zweite von Januar 2016. Das ist nicht zu sehen, bestenfalls zeigen beide die Daten von 2016 an. Bei solchen dynamisch generierten Seiten mit Webarchiven zu arbeiten bringt m.E. nichts. Die aktuellen SSL-Pulse-Seiten [3] sind auch nicht besser. Man kann sich zwar durch die Monate klicken, aber es gibt keine Bookmark-Möglichkeit, Permalinks oder gar eine API. --Elutz (Diskussion) 22:20, 2. Feb. 2022 (CET)