Abo
  • Services:
Anzeige
Eine Einbindung von PGP-Schlüsseln im DNS bei Mail.de.
Eine Einbindung von PGP-Schlüsseln im DNS bei Mail.de. (Bild: mail.de)

OPENPGPKEY: Domain Name System speichert PGP-Schlüssel

Eine Einbindung von PGP-Schlüsseln im DNS bei Mail.de.
Eine Einbindung von PGP-Schlüsseln im DNS bei Mail.de. (Bild: mail.de)

Der Mailanbieter Mail.de unterstützt ein neues Verfahren, um PGP-Schlüssel im Domain Name System abzulegen. Praktisch nutzen lässt es sich aber noch nicht - und es gibt Zweifel, wie sinnvoll der neue Standard ist.

Anzeige

Der E-Mail-Anbieter Mail.de unterstützt jetzt eine neue Technologie, bei der die PGP-Schlüssel im DNS-Server abgelegt werden. Die neue Technik mit dem Namen Openpgpkey liegt zurzeit bei der IETF als Entwurf vor und wird in der DANE-Arbeitsgruppe diskutiert. Federführend entwickelt hat den neuen Standard der Red-Hat-Entwickler Paul Wouters. DANE bezeichnet verschiedene Standards, die alle darauf abzielen, Informationen über kryptographische Schlüssel im DNS abzulegen und via DNSSEC abzusichern. Ähnliche Bemühungen gibt es bereits für TLS- und SSH-Schlüssel.

Openpgpkey und PKA wollen dasselbe

Die Überprüfung und Verteilung von kryptographischen Schlüsseln ist einer der größten Herausforderungen bei verschlüsselten Nachrichtensystemen: Woher bekommt ein Nutzer den Schlüssel eines Kommunikationspartners, und wie kann er anschließend prüfen, dass dieser Schlüssel auch wirklich der richtige ist? PGP und dessen freies Pendant GnuPG setzten dafür klassisch auf Keyserver, auf die jeder nach Belieben Schlüssel hochladen kann. Um die Echtheit zu prüfen, nutzten PGP-basierte Lösungen das sogenannte Web-of-Trust. Doch all das ist komplex und fehleranfällig, weshalb es zuletzt verschiedene Bemühungen gab, die Schlüsselsuche und -prüfung zu vereinfachen.

Die Idee, PGP-Schlüssel via DNS abzulegen, ist nicht neu. Bereits 2006 hatte GnuPG-Entwickler Werner Koch ein Verfahren namens PKA (Public Key Association) vorgelegt, bei dem Fingerprints und weitere Informationen über den Schlüssel im DNS abgelegt werden. Erst vor kurzem hatte Koch einige Updates an PKA vorgenommen und eine Möglichkeit geschaffen, gleich den ganzen Key via DNS abzulegen. PKA wird von GnuPG direkt unterstützt, genutzt wird es allerdings bislang kaum.

PKA und Openpgpkey erfüllen im Grunde denselben Zweck, sie sind technisch nur unterschiedlich umgesetzt. Warum mit Openpgpkey ein neuer Standard entwickelt wurde, der letztendlich dieselbe Funktionalität wie PKA liefert, wird nicht ganz klar. GnuPG-Entwickler Werner Koch zeigte sich auf Nachfrage selbst verwundert über die Entwicklung. Wouters habe ihm mitgeteilt, dass er PKA zu kompliziert finde und deshalb einen neuen Standard mit anderen DNS-Records entwickelt habe. Koch wiederum betonte, dass er keine Pläne habe, die Unterstützung für PKA zu beenden.

Bislang unterstützt kein Programm die neue Technik

Wirklich nutzen lässt sich Openpgpkey noch nicht. Bislang unterstützt kein Mailprogramm und kein Plugin das neue System. Es ist auch unklar, wie dies überhaupt umgesetzt werden soll, denn die Echtheitsprüfung basiert auf DNSSEC. Die Prüfung von DNSSEC-Signaturen erfolgt üblicherweise auf dem DNS-Server. Normalerweise betreiben Desktop-Betriebssysteme jedoch keinen eigenen DNS-Resolver, sondern nutzen den des Internet-Zugangsproviders. Damit sich DNSSEC-basierte Systeme überhaupt sinnvoll nutzen lassen, müsste sich auf dem lokalen System ein DNS-Resolver befinden. Den könnte entweder das Betriebssystem oder im Fall von PGP-Keys das Mailprogramm selbst bereitstellen.

Das von GnuPG genutzte Konkurrenzsystem PKA setzt zurzeit ebenfalls nicht auf die Echtheitsprüfung von DNSSEC. Das war zwar 2006 ursprünglich Kochs Plan, doch heute sieht er es lediglich als einfaches Verfahren, um den Schlüssel zu finden und herunterzuladen. Die Echtheitsprüfung soll weiterhin über andere Wege mittels Schlüssel-Fingerprints stattfinden.

Zukunft von DNSSEC zweifelhaft 

eye home zur Startseite
barforbarfoo 12. Mär 2015

Wo ist das beschrieben? Wie validieren dann die Clients? Kohle für Zertifikate ist nicht...

ikhaya 12. Mär 2015

Genau das soll dieser Standard auch bewirken. Das kann der Mailclient selbst...

ikhaya 12. Mär 2015

"Verschlüsseln auf Teufel komm raus ohne Rücksicht auf Verluste" Wenn ein Bruce Schneier...

ikhaya 12. Mär 2015

"- der TXT-Record ist nur eine temporäre Lösung, der eigene RR-Type (61) ist auf Dauer...

PHPGangsta 12. Mär 2015

Korrekt, es ist TYPE61 (oder OPENPGPKEY). Der aktuelle IETF-Draft ist hier einzusehen...



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Leonberg
  2. MBtech Group GmbH & Co. KGaA, Mannheim
  3. Bilfinger GreyLogix GmbH, Augsburg
  4. über Robert Half Technology, Großraum Düsseldorf


Anzeige
Spiele-Angebote
  1. 54,85€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mit digitalen Workflows Geschäftsprozesse agiler machen
  2. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  3. Kritische Bereiche der IT-Sicherheit in Unternehmen


  1. Smartphones und Tablets

    Bundestrojaner soll mehr können können

  2. Internetsicherheit

    Die CDU will Cybersouverän werden

  3. 3D-Flash-Speicher

    Micron stellt erweiterte Fab 10X fertig

  4. Occipital

    VR Dev Kit ermöglicht Roomscale-Tracking per iPhone

  5. XPG SX8000

    Adatas erste PCIe-NVMe-SSD nutzt bewährte Komponenten

  6. UBBF2016

    Telefónica will 2G-Netz in vielen Ländern abschalten

  7. Mögliche Übernahme

    Qualcomm interessiert sich für NXP Semiconductors

  8. Huawei

    Vectoring erreicht bald 250 MBit/s in Deutschland

  9. Kaufberatung

    Das richtige Solid-State-Drive

  10. Android-Smartphone

    Huawei bringt Nova Plus doch nach Deutschland



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Microsoft: Das bringt Windows Server 2016
Microsoft
Das bringt Windows Server 2016
  1. Microsoft Windows Server 2016 wird im September fertig

Soziale Netzwerke: Wie ich einen Betrüger aufspürte und seine Mama kontaktierte
Soziale Netzwerke
Wie ich einen Betrüger aufspürte und seine Mama kontaktierte
  1. iOS 10 und WatchOS 3.0 Apple bringt geschwätzige Tastatur-App zum Schweigen
  2. Rio 2016 Fancybear veröffentlicht medizinische Daten von US-Sportlern
  3. Datenbanksoftware Kritische, ungepatchte Zeroday-Lücke in MySQL-Server

Canon vs. Nikon: Superzoomer für unter 250 Euro
Canon vs. Nikon
Superzoomer für unter 250 Euro
  1. Snap Spectacles Snapchat stellt Sonnenbrille mit Kamera vor
  2. MacOS 10.12 Fujitsu warnt vor der Nutzung von Scansnap unter Sierra
  3. Bildbearbeitungs-App Prisma offiziell für Android erhältlich

  1. Re: Die E-Fahrzeuge von Mercedes sollen künftig...

    laserbeamer | 01:39

  2. Re: Warum nicht sicher landen...

    frostbitten king | 01:28

  3. Re: Pflaumen

    Moe479 | 01:17

  4. Die Reichweite nach Fahrzyklus NEFZ ist...

    Atalanttore | 01:14

  5. Tripple Level

    kernash | 01:14


  1. 19:24

  2. 19:05

  3. 18:25

  4. 17:29

  5. 14:07

  6. 13:45

  7. 13:18

  8. 12:42


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel