Abo
  • Services:
Anzeige
Auf der OpenPGP.conf in Köln wird über die Zukunft der Mailverschlüsselung diskutiert.
Auf der OpenPGP.conf in Köln wird über die Zukunft der Mailverschlüsselung diskutiert. (Bild: OpenPGP.conf)

Web Key Service: OpenPGP-Schlüssel über HTTPS verteilen

Auf der OpenPGP.conf in Köln wird über die Zukunft der Mailverschlüsselung diskutiert.
Auf der OpenPGP.conf in Köln wird über die Zukunft der Mailverschlüsselung diskutiert. (Bild: OpenPGP.conf)

GnuPG-Entwickler Werner Koch schlägt auf der OpenPGP.conf ein neues Verfahren zur Schlüsselverteilung vor: Die Keys sollen mittels HTTPS vom Mailprovider bereitgestellt werden.

Ein großes Problem von verschlüsselten Systemen ist die Verteilung der öffentlichen Schlüssel. Um eine Nachricht zu schicken, muss ein Gesprächspartner zunächst auf irgendeine Weise an den Schlüssel des anderen kommen und entscheiden, ob er diesem vertraut. Für OpenPGP und GnuPG gibt es dafür jetzt einen Vorschlag für neues Verfahren namens Web Key Service. Der Schlüssel wird dabei vom Mailprovider über HTTPS bereitgestellt.

Anzeige

Web of Trust nur für Geeks?

Klassischerweise wurden für OpenPGP-basierte Verschlüsselung in der Vergangenheit Keyserver genutzt, auf die jeder seinen öffentlichen Schlüssel hochladen kann. Das Problem dabei: Jeder kann nach Belieben Schlüssel auf die Keyserver hochladen, es findet keinerlei Verifikation der Mailadresse statt. Um die Echtheit der Schlüssel zu prüfen, gibt es die Möglichkeit des Web of Trust - ein hochkomplexes System auf Basis von gegenseitigen Schlüsselsignaturen.

"Das Web of Trust ist ein Geek-Instrument", kommentiert Werner Koch diesen Ansatz auf der OpenPGP.conf. Als Alternative will Koch daher in Zukunft auf ein System mit einem Trust-on-First-Use-Ansatz (Tofu) setzen. Dabei geht das System davon aus, dass ein Schlüssel, der in der Vergangenheit bereits verwendet wurde, vermutlich vertrauenswürdig ist. Die Frage ist nun, wie ein Anwender an den Schlüssel gelangt, wenn er zum ersten Mal eine verschlüsselte Mail schreiben möchte.

Es gab verschiedene Vorschläge, den Schlüssel oder dessen Fingerprint in DNS-Records abzulegen: ein älteres System namens PKA und ein neueres namens OPENPGPKEY, welches auf DNSSEC basiert. Das Problem dabei: die Abhängigkeit von DNSSEC. An dem abgesicherten DNS-Verfahren gibt es viel Kritik und es wird nur von wenigen Leuten eingesetzt. Insbesondere das Deployment auf Clients gilt als kaum umsetzbar.

Key über HTTPS

Um initial an den Schlüssel zu gelangen, schlägt Koch daher ein neues Verfahren namens Web Key Service vor, das aus zwei Teilen besteht: Ein URL-Schema zur Verteilung der Schlüssel - genannt Web Key Directory - und ein E-Mail-basiertes Verfahren, um Schlüssel an den Mailanbieter zu schicken.

Abgelegt wird ein Schlüssel hier auf einer URL, die so aussehen kann:

https://example.org/.well-known/openpgpkey/hu/example.org/iy9q119eutrkn8s1mk4r39qejnbu3n5q

Die Zeichenkette ist ein SHA-1-Hash des lokalen Teils der E-Mail-Adresse.

Diesen Mechanismus zu implementieren, ist relativ simpel. Am Webserver sind dafür keine Code-Änderungen notwendig, es müssen lediglich die Dateien an der entsprechenden Stelle abgelegt und mit dem korrekten MIME-Type gesendet werden.

Vertrauen in den Mailprovider

Die größte Hürde für das neue System dürfte sein, dass die Mailprovider Web Key Service auch anbieten müssen. Das Verfahren setzt zudem ein gewisses Vertrauen in den Mailanbieter voraus, denn selbstverständlich könnte dieser dort zeitweise einen falschen Key ablegen. Allerdings ist das immer noch deutlich sicherer als die klassischen Keyserver, auf denen jeder Keys ablegen kann.

Die Absicherung der Verbindung mittels HTTPS ist dabei natürlich nur so sicher wie HTTPS selbst. In der OpenPGP-Community gibt es traditionell ein großes Misstrauen gegen das zentralisierte Zertifikatssystem, das bei TLS zum Einsatz kommt. Doch vermutlich wird trotzdem kaum jemand dran zweifeln, dass TLS immer noch deutlich sicherer ist als eine ungesicherte Übertragung. Zudem gab es in den vergangenen Jahren einige Verbesserungen am System der Zertifizierungsstellen, insbesondere das Certificate-Transparency-System trägt dazu bei, mehr Vertrauen in das System herzustellen.

Um seinen eigenen Key zu publizieren, wird ein E-Mail-basiertes Verfahren eingesetzt. Ebenfalls über HTTPS ruft ein Client dabei eine URL auf, auf der die Submission-Adresse zu finden ist. An diese wird der Key in einem speziellen Format geschickt, mit einer Verifikationsmail wird zudem geprüft, ob der Nutzer auch Zugriff auf den privaten Schlüssel hat. In der Praxis sollte diese Key-Submission natürlich nicht manuell stattfinden, sondern durch einen Mailclient automatisiert implementiert werden.

Könnte OpenPGP-Nutzung vereinfachen

Dass die Sicherheit von Web Key Service nicht mit einer manuellen Prüfung von Key-Fingerprints vergleichbar ist, dürfte klar sein. Es spricht aber nichts dagegen, weiterhin sicherere Verfahren anzubieten. So könnte ein Mailclient verschiedene Vertrauensabstufungen unterstützen, etwa durch verschiedene farbliche Markierungen von Adressaten. Neben der klassischen Variante über Schlüsselsignaturen und dem Web of Trust wird dabei oft auch das System CONIKS genannt. Das setzt auf ein öffentlich einsehbares Append-only-Log von Schlüsseln.

Aber Web Key Service könnte dafür sorgen, dass die Mailverschlüsselung auf Basis von OpenPGP deutlich einfacher wird. Das Verfahren kann weitgehend vom Mailclient automatisiert werden und die umständliche Suche nach dem richtigen Schlüssel obsolet machen.


eye home zur Startseite
Vanger 10. Sep 2016

Das ist eine recht romantische Sicht auf Protokolle und Standards (und mit Annahme des...

ikhaya 10. Sep 2016

Egal ob der Key aus einem Webservice, aus einer E-Mail oder aus dem DNS stammt, den...

Spaghetticode 09. Sep 2016

Durch diese Lösung wird das OpenPGP-Handling so einfach, dass das auch Anfänger nutzen...

RipClaw 09. Sep 2016

Die bisherigen Keyserver haben das Problem das jeder einen Schlüssel mit beliebiger...



Anzeige

Stellenmarkt
  1. Holz-Henkel GmbH & Co. KG, Göttingen
  2. Bundesversicherungsamt Referat 811, Bonn
  3. SICK AG, Waldkirch bei Freiburg im Breisgau
  4. Loh Services, Haiger


Anzeige
Blu-ray-Angebote
  1. (u. a. Interstellar, Maze Runner, Kingsman, 96 Hours)
  2. (u. a. London Has Fallen, The Imitation Game, Lone Survivor, Olympus Has Fallen)
  3. (u. a. Der Hobbit 3, Der Polarexpress, Ice Age, Pan, Life of Pi)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mit digitalen Workflows Geschäftsprozesse agiler machen
  2. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  3. Mehr dazu im aktuellen Whitepaper von IBM


  1. Gigaset Mobile Dock im Test

    Das Smartphone wird DECT-fähig

  2. Fire TV

    Amazon bringt Downloader-App wieder zurück

  3. Wechselnde Standortmarkierung

    GPS-Probleme beim iPhone 7

  4. Paketlieferungen

    Schweizer Post fliegt ab 2017 mit Drohnen

  5. Apple

    Akkuprobleme beim neuen Macbook Pro

  6. Red Star OS

    Sicherheitslücke in Nordkoreas Staats-Linux

  7. Elektroauto

    Porsche will 20.000 Elektrosportwagen pro Jahr verkaufen

  8. TV-Kabelnetz

    Tele Columbus will Marken abschaffen

  9. Barrierefreiheit

    Microsofts KI hilft Blinden in Office

  10. AdvanceTV

    Tele Columbus führt neue Set-Top-Box für 4K vor



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Spielen mit HDR ausprobiert: In den Farbtopf gefallen
Spielen mit HDR ausprobiert
In den Farbtopf gefallen
  1. Ausgabegeräte Youtube unterstützt Videos mit High Dynamic Range
  2. HDR Wir brauchen bessere Pixel
  3. Andy Ritger Nvidia will HDR-Unterstützung unter Linux

Breath of the Wild: Spekulationen über spielbare Zelda
Breath of the Wild
Spekulationen über spielbare Zelda
  1. Konsole Nintendo gibt Produktionsende der Wii U bekannt
  2. Hybridkonsole Nintendo will im ersten Monat 2 Millionen Switch verkaufen
  3. Switch Nintendo erwartet breite Unterstützung durch Entwickler

Gear S3 im Test: Großes Display, großer Akku, große Uhr
Gear S3 im Test
Großes Display, großer Akku, große Uhr
  1. In der Zuliefererkette Samsung und Panasonic sollen Arbeiter ausgebeutet haben
  2. Vernetztes Auto Samsung kauft Harman für 8 Milliarden US-Dollar
  3. 10LPU und 14LPU Samsung mit günstigerem 10- und schnellerem 14-nm-Prozess

  1. Re: Rechtslage in der Schweiz?

    Don't_Care | 09:03

  2. Re: "obwohl sie nur mehrere Safari-Tabs offen halten"

    hyperlord | 09:02

  3. Re: Habe mich noch heute morgen gegen einen...

    zampata | 09:02

  4. Re: Handy futsch, login futsch?

    zampata | 08:59

  5. Re: Aufgepasst, jetzt machen sich wieder Leute...

    snboris | 08:58


  1. 09:10

  2. 08:29

  3. 07:49

  4. 07:33

  5. 07:20

  6. 17:25

  7. 17:06

  8. 16:53


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel