Abo
  • Services:
Anzeige
Eine Einbindung von PGP-Schlüsseln im DNS bei Mail.de.
Eine Einbindung von PGP-Schlüsseln im DNS bei Mail.de. (Bild: mail.de)

OPENPGPKEY: Domain Name System speichert PGP-Schlüssel

Eine Einbindung von PGP-Schlüsseln im DNS bei Mail.de.
Eine Einbindung von PGP-Schlüsseln im DNS bei Mail.de. (Bild: mail.de)

Der Mailanbieter Mail.de unterstützt ein neues Verfahren, um PGP-Schlüssel im Domain Name System abzulegen. Praktisch nutzen lässt es sich aber noch nicht - und es gibt Zweifel, wie sinnvoll der neue Standard ist.

Anzeige

Der E-Mail-Anbieter Mail.de unterstützt jetzt eine neue Technologie, bei der die PGP-Schlüssel im DNS-Server abgelegt werden. Die neue Technik mit dem Namen Openpgpkey liegt zurzeit bei der IETF als Entwurf vor und wird in der DANE-Arbeitsgruppe diskutiert. Federführend entwickelt hat den neuen Standard der Red-Hat-Entwickler Paul Wouters. DANE bezeichnet verschiedene Standards, die alle darauf abzielen, Informationen über kryptographische Schlüssel im DNS abzulegen und via DNSSEC abzusichern. Ähnliche Bemühungen gibt es bereits für TLS- und SSH-Schlüssel.

Openpgpkey und PKA wollen dasselbe

Die Überprüfung und Verteilung von kryptographischen Schlüsseln ist einer der größten Herausforderungen bei verschlüsselten Nachrichtensystemen: Woher bekommt ein Nutzer den Schlüssel eines Kommunikationspartners, und wie kann er anschließend prüfen, dass dieser Schlüssel auch wirklich der richtige ist? PGP und dessen freies Pendant GnuPG setzten dafür klassisch auf Keyserver, auf die jeder nach Belieben Schlüssel hochladen kann. Um die Echtheit zu prüfen, nutzten PGP-basierte Lösungen das sogenannte Web-of-Trust. Doch all das ist komplex und fehleranfällig, weshalb es zuletzt verschiedene Bemühungen gab, die Schlüsselsuche und -prüfung zu vereinfachen.

Die Idee, PGP-Schlüssel via DNS abzulegen, ist nicht neu. Bereits 2006 hatte GnuPG-Entwickler Werner Koch ein Verfahren namens PKA (Public Key Association) vorgelegt, bei dem Fingerprints und weitere Informationen über den Schlüssel im DNS abgelegt werden. Erst vor kurzem hatte Koch einige Updates an PKA vorgenommen und eine Möglichkeit geschaffen, gleich den ganzen Key via DNS abzulegen. PKA wird von GnuPG direkt unterstützt, genutzt wird es allerdings bislang kaum.

PKA und Openpgpkey erfüllen im Grunde denselben Zweck, sie sind technisch nur unterschiedlich umgesetzt. Warum mit Openpgpkey ein neuer Standard entwickelt wurde, der letztendlich dieselbe Funktionalität wie PKA liefert, wird nicht ganz klar. GnuPG-Entwickler Werner Koch zeigte sich auf Nachfrage selbst verwundert über die Entwicklung. Wouters habe ihm mitgeteilt, dass er PKA zu kompliziert finde und deshalb einen neuen Standard mit anderen DNS-Records entwickelt habe. Koch wiederum betonte, dass er keine Pläne habe, die Unterstützung für PKA zu beenden.

Bislang unterstützt kein Programm die neue Technik

Wirklich nutzen lässt sich Openpgpkey noch nicht. Bislang unterstützt kein Mailprogramm und kein Plugin das neue System. Es ist auch unklar, wie dies überhaupt umgesetzt werden soll, denn die Echtheitsprüfung basiert auf DNSSEC. Die Prüfung von DNSSEC-Signaturen erfolgt üblicherweise auf dem DNS-Server. Normalerweise betreiben Desktop-Betriebssysteme jedoch keinen eigenen DNS-Resolver, sondern nutzen den des Internet-Zugangsproviders. Damit sich DNSSEC-basierte Systeme überhaupt sinnvoll nutzen lassen, müsste sich auf dem lokalen System ein DNS-Resolver befinden. Den könnte entweder das Betriebssystem oder im Fall von PGP-Keys das Mailprogramm selbst bereitstellen.

Das von GnuPG genutzte Konkurrenzsystem PKA setzt zurzeit ebenfalls nicht auf die Echtheitsprüfung von DNSSEC. Das war zwar 2006 ursprünglich Kochs Plan, doch heute sieht er es lediglich als einfaches Verfahren, um den Schlüssel zu finden und herunterzuladen. Die Echtheitsprüfung soll weiterhin über andere Wege mittels Schlüssel-Fingerprints stattfinden.

Zukunft von DNSSEC zweifelhaft 

eye home zur Startseite
barforbarfoo 12. Mär 2015

Wo ist das beschrieben? Wie validieren dann die Clients? Kohle für Zertifikate ist nicht...

ikhaya 12. Mär 2015

Genau das soll dieser Standard auch bewirken. Das kann der Mailclient selbst...

ikhaya 12. Mär 2015

"Verschlüsseln auf Teufel komm raus ohne Rücksicht auf Verluste" Wenn ein Bruce Schneier...

ikhaya 12. Mär 2015

"- der TXT-Record ist nur eine temporäre Lösung, der eigene RR-Type (61) ist auf Dauer...

PHPGangsta 12. Mär 2015

Korrekt, es ist TYPE61 (oder OPENPGPKEY). Der aktuelle IETF-Draft ist hier einzusehen...



Anzeige

Stellenmarkt
  1. TOMRA SYSTEMS GmbH, Langenfeld
  2. Hessischer Rundfunk, Frankfurt am Main
  3. über Hanseatisches Personalkontor München, Großraum München
  4. über Ratbacher GmbH, Raum Berlin (Home-Office möglich)


Anzeige
Hardware-Angebote
  1. 89,90€ + 3,99€ Versand
  2. 198,00€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  2. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  3. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Digitale Assistenten

    LG hat für das G6 mit Google und Amazon verhandelt

  2. Instant Tethering

    Googles automatischer WLAN-Hotspot

  3. 5G-Mobilfunk

    Netzbetreiber erhalten Hilfe bei Suche nach Funkmastplätzen

  4. Tinker-Board

    Asus bringt Raspberry-Pi-Klon

  5. Privatsphäre

    Verschlüsselter E-Mail-Dienst Lavabit kommt wieder

  6. Potus

    Donald Trump übernimmt präsidiales Twitter-Konto

  7. Funkchips

    Apple klagt gegen Qualcomm

  8. Die Woche im Video

    B/ow the Wh:st/e!

  9. Verbraucherzentrale

    O2-Datenautomatik dürfte vor Bundesgerichtshof gehen

  10. TLS-Zertifikate

    Symantec verpeilt es schon wieder



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Macbook Pro 13 mit Touch Bar im Test: Schöne Enttäuschung!
Macbook Pro 13 mit Touch Bar im Test
Schöne Enttäuschung!
  1. Schwankende Laufzeiten Warentester ändern Akku-Bewertung des Macbook Pro
  2. Consumer Reports Safari-Bug verursachte schwankende Macbook-Pro-Laufzeiten
  3. Notebook Apple will Akkuprobleme beim Macbook Pro nochmal untersuchen

GPD Win im Test: Crysis in der Hosentasche
GPD Win im Test
Crysis in der Hosentasche
  1. Samsungs Bixby Galaxy S8 kann sehen und erkennen
  2. Smartphones Textnachricht legt iPhone zeitweise lahm
  3. Tastaturhülle Canopy hält Magic Keyboard und iPad zum Arbeiten zusammen

Bundestagswahl 2017: Verschont uns mit Digitalisierungs-Blabla 4.0!
Bundestagswahl 2017
Verschont uns mit Digitalisierungs-Blabla 4.0!
  1. Bundestagswahlkampf 2017 Die große Angst vor dem Internet
  2. Hackerangriffe BSI will Wahlmanipulationen bekämpfen

  1. Re: Manipulative Bildauswahl

    sundilsan | 17:08

  2. Re: 5G taugt doch in der Fläche technisch nichts

    ckerazor | 17:06

  3. Re: Jaja, alles klar.

    nille02 | 16:59

  4. Re: Vielleicht im Heimatdorf des Autors?

    bombinho | 16:49

  5. Re: WLAN Sharing währe mal was neues ...

    unbekannt. | 16:49


  1. 11:29

  2. 10:37

  3. 10:04

  4. 16:49

  5. 14:09

  6. 12:44

  7. 11:21

  8. 09:02


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel