Re: Password-Manager gesucht

To: debian-user-german@lists.debian.org
Subject: Re: Password-Manager gesucht
From: Henning Follmann <hfollmann@itcfollmann.com>
Date: Fri, 29 Dec 2023 09:53:04 -0500
Message-id: <[🔎] ZY7dUErP0JUzj72a@oppenheimer.itcfollmann.com>
Mail-followup-to: debian-user-german@lists.debian.org
In-reply-to: <[🔎] a5a3118e-6764-4c68-b1ed-e718f18adbaa@alphasrv.net>
References: <[🔎] 8603face-4c47-41b8-bee1-dc542554c213@alphasrv.net> <[🔎] 403c5dac-3b06-344e-cb84-4ec6738a9167@gmx.de> <[🔎] a5a3118e-6764-4c68-b1ed-e718f18adbaa@alphasrv.net>

On Fri, Dec 29, 2023 at 01:48:18PM +0100, Andre Tann wrote:
> Servus,
> 
> On 28.12.23 19:21, Sebastian Suchanek wrote:
> 
> > Was genau verstehst Du denn in diesem Zusammenhang unter
> > "Mehraugenprinzip"? 2FA mit Faktoren von zwei getrennten Personen und
> > nur beide zusammen können die Passwortdatenbank "aufschließen"?
> 
> Genau das, zB so:
> 
> - Genau zwei bestimmte Personen müssen aufschließen
> - Genau zwei Personen müssen aufschließen, einer davon muß das Label
>   "Boss" haben, einer davon muß das Label "Controlling" haben
> 
> Das sind so Ideen, weiß nicht ob das leicht in der Umsetzung wäre.

Dieses Modell ist kaputt. Hier willst Du Schluessel erzeugen, die eine
Erlaubnis mehrer Personen representieren soll. Jedoch wird hier nur
der Zugang zu dem Schluessel kontrolliert, wenn der Schluessel aber erst 
einamal entsperrt ist, kannst Du nicht mehr sicher stellen wie dieser
schluessel benutzt wird.

> 
> 
> In diesem Zusammenhang noch folgender Gedanke:
> Ein LUKS Container hat ja mehrere Keyslots. Könnte man es so einrichten, daß
> der Container Readonly aufgeht, wenn irgend ein Slot geöffnet wird, und wenn
> alle definierten Slots aufgehen, dann geht er RW auf?

LUKS implementiert keine ACL. Es implementiert nicht einmal die Idee eines
Filesystems. Es ist agnostisch gegenueber dem darauf aufsetzenden
Datenmodells.

> 
> Hintergrund: Man gründet mit mehreren zusammen eine Gesellschaft. Der
> Vertrag wird in so einen Container gepackt, und jeder kann ihn öffnen=lesen,
> aber nur alle gemeinsam können eine neue Version davon erstellen.

Auch das ist kaputt.
Der Vertraag sollte von den Gesellschaftern jeweils signiert werden.
Das schuetzt vor der unbemerkten nachtraeglichen Aenderung.

> 
> Man kann das auch mit GPG-Signaturen machen, und so haben wir es jetzt
> umgesetzt, aber das mit dem LUKS Container war auch so eine Idee, die wir
> hatten.

Eure uhrspruengliche Umsetzung ist korrekt. Diese Idee mit dem LUKS
Kontainer nicht.

> 
> -- 
> Andre Tann
> 

-- 
Henning Follmann           | hfollmann@itcfollmann.com

Reply to:

References:
- Password-Manager gesucht
  - From: Andre Tann <atann@alphasrv.net>
- Re: Password-Manager gesucht
  - From: Sebastian Suchanek <sebastian.suchanek@gmx.de>
- Re: Password-Manager gesucht
  - From: Andre Tann <atann@alphasrv.net>

Prev by Date: Aw: newsreader f??r KDE
Next by Date: Re: newsreader f??r KDE
Previous by thread: Re: Password-Manager gesucht
Next by thread: Re: Password-Manager gesucht
Index(es):
- Date
- Thread