keys.openpgp.org: Neuer PGP-Keyserver prüft Mailadressen

Das bisherige Konzept der PGP-Keyserver ist an seine Grenzen gelangt, die bestehenden Keyserver werden immer unzuverlässiger. Nun gibt es einen neuen Keyserver mit einem anderen Konzept. Persönliche Daten werden nur nach einer Prüfung der E-Mail-Adresse verteilt.

Artikel veröffentlicht am ,
Wie soll man PGP-Schlüssel am besten verteilen? Ein neuer Keyserver versucht es jetzt mit einem veränderten Konzept.
Wie soll man PGP-Schlüssel am besten verteilen? Ein neuer Keyserver versucht es jetzt mit einem veränderten Konzept. (Bild: Juan de Vojníkov/Wikimedia Commons/CC-BY-SA 3.0)

Unter keys.openpgp.org läuft künftig ein PGP-Keyserver mit der in Rust geschrieben Software Hagrid. Betrieben wird der neue Schlüsselserver gemeinsam von den Entwicklern von Enigmail, Openkeychain und Sequoia. Anders als bei bisherigen PGP-Keyservern werden hier nicht ungeprüft beliebige Daten verteilt. Der neue Keyserver prüft Schlüssel und verteilt persönliche Daten nur nach einer Prüfung der Mailadresse.

Stellenmarkt
  1. Sachbearbeiterinnen / Sachbearbeiter IuK-Koordination (w/m/d)
    Der Polizeipräsident in Berlin, Berlin
  2. Senior Consultant IT-Projekte und -Support im Produktions- und Officeumfeld (w/m/d)
    WILO SE, Dortmund
Detailsuche

Die Schlüsselserver waren in der Vergangenheit ein wichtiger Teil des PGP-Ökosystems. Die bisher mit der Software SKS betriebenen Schlüsselserver funktionierten so, dass PGP-Schlüssel dort nach Belieben hochgeladen werden konnten und zwischen den verschiedenen Servern ausgetauscht werden.

Daten löschen war bisher nicht vorgesehen

Schlüssel löschen war nicht vorgesehen, man konnte diese lediglich mit einer sogenannten Revocation-Signatur versehen und als ungültig markieren. Geprüft wurden die Inhalte nicht, Schlüssel kann jeder hochladen. Das führte dazu, dass man an einen Schlüssel beliebige zusätzliche Daten wie weitere Unterschlüssel, Signaturen oder neue Identitäten anhängen konnte.

Das führt unter anderem dazu, dass es relativ einfach möglich ist, einen bestehenden Schlüssel unbenutzbar zu machen - was in jüngerer Zeit auch häufiger vorkam. Dazu kann man beispielsweise zahlreiche sinnlose Zusatz-Nutzerkennungen an einen Schlüssel hängen.

Golem Akademie
  1. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

Relativ schnell führt das dazu, dass der Server diese Schlüssel nicht mehr exportieren kann und gleichzeitig eine hohe CPU-Last erzeugt. Durch solche Angriffe mit "vergifteten Schlüsseln" waren in letzter Zeit viele der klassischen PGP-Keyserver nicht erreichbar.

Neben diesen Angriffen gibt es ein rechtliches Problem beim Betrieb der Keyserver. Denn das EU-Datenschutzrecht sieht vor, dass Nutzer die Löschung von persönlichen Daten verlangen können.

Persönliche Daten nur nach Mailadressen-Prüfung

Der jetzt gestartete neue Keyserver prüft kryptographisch, ob neue Daten zu einem Schlüssel gehören. Was aber noch entscheidender ist: Schlüssel können zwar weiterhin von jedem hochgeladen werden, aber der zu einem Schlüssel gehörende Name und die E-Mail-Adresse werden nicht automatisch verteilt. Sie werden nur akzeptiert, wenn der Inhaber die Mailadresse bestätigt. Auch kann man nach einer Mailbestätigung Schlüssel wieder löschen lassen.

Damit können beispielsweise Revocation-Informationen über veraltete Schlüssel verteilt werden, ohne dass die im Schlüssel enthaltenen Identitäten hochgeladen werden. Zudem gibt es eine gewisse Hürde, falsche Keys für die Mailadressen anderer auf dem Schlüsselserver zu platzieren, auch wenn dies natürlich keine absolute Sicherheit bietet.

Nicht vorgesehen ist, dass Nutzer Signaturen auf den Schlüsseln anderer Nutzer verteilen. In der Vergangenheit wurde dies in der PGP-Community genutzt, um über das sogenannte Web of Trust indirekt die Echtheit von Schlüsseln zu prüfen. An der Sinnhaftigkeit des Web of Trust gibt es aber schon lange viele Zweifel.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Aktuell auf der Startseite von Golem.de
Neues Betriebssystem von Microsoft
Wir probieren Windows 11 aus

Windows 11 ist bereits im Umlauf. Wir haben die Vorabversion ausprobiert und ein schickes OS durchstöbert. Im Kern ist es aber Windows 10.
Ein Hands-on von Oliver Nickel

Neues Betriebssystem von Microsoft: Wir probieren Windows 11 aus
Artikel
  1. Niedrige Inzidenzen: Homeoffice-Pflicht soll am 30. Juni enden
    Niedrige Inzidenzen
    Homeoffice-Pflicht soll am 30. Juni enden

    Die allgemeine Pflicht zum Homeoffice soll Ende des Monats fallen. Coronatests sollen aber weiterhin in Betrieben angeboten werden.

  2. Nach Juni 2022: Europäische Union will freies Roaming verlängern
    Nach Juni 2022
    Europäische Union will freies Roaming verlängern

    Die Regelung vom Juni 2017 soll verlängert und verbessert werden. Ein Ende von 'Roam like at home' wäre undenkbar.

  3. Websicherheit: Wie KenFM von Anonymous gehackt wurde
    Websicherheit
    Wie KenFM von Anonymous gehackt wurde

    Die Webseite AnonLeaks berichtet, wie das Defacement von KenFM ablief: durch abrufbare Backupdaten und das Wordpress-Plugin Duplicator Pro.
    Von Hanno Böck

Kommentarübersicht
Re: Certificate Authority Light (kein Bait)
mcnesium 17. Jun 2019

Was meinst du damit? Kannst du ein Szenario beschreiben?

Folgen Sie uns
       
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Dualsense Midnight Black + Ratchet & Clank Rift Apart 99,99€ • Saturn Super Sale (u. a. Samsung 65" QLED (2021) 1.294€) • MSI 27" FHD 144Hz 269€ • Razer Naga Pro Gaming-Maus 119,99€ • Apple iPad Pro 12,9" 256GB 909€ [Werbung]
    Mehr Infos
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /