OpenPGP per Freigabeempfehlung

Im November wurde die Zulassung (BSI-VSA-10400) durch eine Freigabeempfehlung (BSI-VSA-10412) ergänzt, die den Einsatz von OpenPGP für eingestufte Dokumente wieder erlaubte. Davon erfuhren wir nicht vom BSI, von dem wir - wenn überhaupt - nur schleppend Informationen erhielten, sondern von Werner Koch.

Stellenmarkt
  1. Systemanalytikerin / Systemanalytiker (m/w/d)
    Bürgerschaft der Freien und Hansestadt Hamburg, Hamburg
  2. IT-Systemadministrator (m/w/d)
    Oberlandesgericht Naumburg Dienststelle Magdeburg, Dessau-Roßlau, Halle (Saale), Magdeburg, Naumburg (Saale), Stendal
Detailsuche

Mit einer Freigabeempfehlung kann das BSI Produkte für bestimmte Einsatzzwecke freigeben, wenn es keine geeigneten zugelassene Produkte gibt oder eine Zulassung nicht (rechtzeitig) veranlasst werden kann. Im Falle von OpenPGP fehlen zugelassene Smartcards, auf denen die Schlüssel gespeichert werden können.

In der Freigabeempfehlung erlaubt das BSI die "Langzeitgeheimnisse auch auf der Festplatte des Nutzers" zu speichern. Allerdings erfordert es weitere Sicherheitsmaßnahmen, um das Schlüsselmaterial zu schützen, beispielsweise müsse das System, auf dem die Schlüssel gespeichert werden, zur Bearbeitung von eingestuften Dokumenten freigegeben sein. Zudem müsse vor dem Einsatz eine Risikoanalyse durchgeführt werden. Auch die Mindestschlüssellänge wird wieder auf 3072 Bit festgelegt, diese dürfen neben der Festplatte auch auf nicht-zugelassenen Smartcards gespeichert werden.

Ein holpriger Weg

Brinkmann merkt an, dass die Schlüsselverifikation und -verwaltung in OpenPGP nach wie vor ungelöste Probleme seien. Das BSI wälzt die Aufgabe in seiner Freigabeempfehlung auf die Nutzer ab. Diese müssten die Schlüssel manuell verifizieren und sich selbst um eine Schlüsselaktualisierung kümmern, beispielsweise wenn ein Schlüssel abgelaufen ist oder zurückgezogen wurde. Wie sie letzteres bewerkstelligen sollen, regelt das BSI nicht.

Golem Akademie
  1. CEH Certified Ethical Hacker v11
    8.-12. November 2021, online
  2. Linux-Systeme absichern und härten
    8.-10. November 2021, online
  3. Penetration Testing Fundamentals
    17.-18. Januar 2022, online
Weitere IT-Trainings

"Das BSI möchte den Weg frei machen für den Einsatz von OpenPGP und SMIME, mit und ohne Smartcard, für die Absicherung von Verschlusssachen der niedrigsten Geheimhaltungsstufe", fasst Brinkmann zusammen. Dieser Weg ist aber holprig: Von einem Ja zu OpenPGP für Verschlusssachen, über ein Nein, ist das BSI nun zu einem Vielleicht gekommen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 BSI: OpenPGP? Ja, nein, vielleicht
  1.  
  2. 1
  3. 2


FreiGeistler 28. Dez 2019

Ist die genrelle Aussage von Leuten, die von der entsprechenden Materie keinen Plan...

gadthrawn 28. Dez 2019

Das bei arbeitet halt mit vielen Behörden zusammen, kann denen aber nichts vorschreiben...

gadthrawn 28. Dez 2019

No. Der Grund für Bewerbungen per Webseite ist viel einfacher. Das Mainz des...

robinx999 27. Dez 2019

Zumindest bei Firmen oder Behörden wäre es natürlich auch noch möglich PGP Keys im DNS zu...



Aktuell auf der Startseite von Golem.de
Infiltration bei Apple TV+
Die Außerirdischen sind da!

Nach Foundation wartet Apple innerhalb kürzester Zeit gleich mit der nächsten Science-Fiction-Großproduktion auf. Diesmal landen die Aliens auf der Erde.
Eine Rezension von Peter Osteried

Infiltration bei Apple TV+: Die Außerirdischen sind da!
Artikel
  1. Truth Social: Trumps soziales Netz bekommt Probleme mit Hackern und Lizenz
    Truth Social
    Trumps soziales Netz bekommt Probleme mit Hackern und Lizenz

    Hacker starten in Trumps-Netzwerk einen "Online-Krieg gegen Hass" mit Memes. Der Code scheint illegal von Mastodon übernommen worden zu sein.

  2. Krypto: NRW versteigert beschlagnahmte Bitcoin
    Krypto
    NRW versteigert beschlagnahmte Bitcoin

    Nordrhein-Westfalen hat Bitcoin im achtstelligen Eurobereich beschlagnahmt und will diese jetzt loswerden - im Rahmen einer Auktion.

  3. Rust, Deepfake, Sony, Microsoft: Konsolen-Termin für Among Us, mehr Speicher für die Xbox
    Rust, Deepfake, Sony, Microsoft
    Konsolen-Termin für Among Us, mehr Speicher für die Xbox

    Sonst noch was? Was am 22. Oktober 2021 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Seagate SSDs & HDD günstiger (u. a. ext. HDD 14TB 326,99) • Dualsense PS5-Controller Weiß 57,99€ • MacBook Pro 2021 jetzt vorbestellbar • World of Tanks jetzt mit Einsteigerparket • Docking-Station für Nintendo Switch 9,99€ • Alternate-Deals (u. a. iPhone 12 Pro 512GB 1.269€) [Werbung]
    •  /