• IT-Karriere:
  • Services:

keys.openpgp.org: Neuer PGP-Keyserver prüft Mailadressen

Das bisherige Konzept der PGP-Keyserver ist an seine Grenzen gelangt, die bestehenden Keyserver werden immer unzuverlässiger. Nun gibt es einen neuen Keyserver mit einem anderen Konzept. Persönliche Daten werden nur nach einer Prüfung der E-Mail-Adresse verteilt.

Artikel veröffentlicht am ,
Wie soll man PGP-Schlüssel am besten verteilen? Ein neuer Keyserver versucht es jetzt mit einem veränderten Konzept.
Wie soll man PGP-Schlüssel am besten verteilen? Ein neuer Keyserver versucht es jetzt mit einem veränderten Konzept. (Bild: Juan de Vojníkov/Wikimedia Commons/CC-BY-SA 3.0)

Unter keys.openpgp.org läuft künftig ein PGP-Keyserver mit der in Rust geschrieben Software Hagrid. Betrieben wird der neue Schlüsselserver gemeinsam von den Entwicklern von Enigmail, Openkeychain und Sequoia. Anders als bei bisherigen PGP-Keyservern werden hier nicht ungeprüft beliebige Daten verteilt. Der neue Keyserver prüft Schlüssel und verteilt persönliche Daten nur nach einer Prüfung der Mailadresse.

Stellenmarkt
  1. KWA Kuratorium Wohnen im Alter gAG, Unterhaching
  2. Energieversorgung Mittelrhein AG, Koblenz

Die Schlüsselserver waren in der Vergangenheit ein wichtiger Teil des PGP-Ökosystems. Die bisher mit der Software SKS betriebenen Schlüsselserver funktionierten so, dass PGP-Schlüssel dort nach Belieben hochgeladen werden konnten und zwischen den verschiedenen Servern ausgetauscht werden.

Daten löschen war bisher nicht vorgesehen

Schlüssel löschen war nicht vorgesehen, man konnte diese lediglich mit einer sogenannten Revocation-Signatur versehen und als ungültig markieren. Geprüft wurden die Inhalte nicht, Schlüssel kann jeder hochladen. Das führte dazu, dass man an einen Schlüssel beliebige zusätzliche Daten wie weitere Unterschlüssel, Signaturen oder neue Identitäten anhängen konnte.

Das führt unter anderem dazu, dass es relativ einfach möglich ist, einen bestehenden Schlüssel unbenutzbar zu machen - was in jüngerer Zeit auch häufiger vorkam. Dazu kann man beispielsweise zahlreiche sinnlose Zusatz-Nutzerkennungen an einen Schlüssel hängen.

Relativ schnell führt das dazu, dass der Server diese Schlüssel nicht mehr exportieren kann und gleichzeitig eine hohe CPU-Last erzeugt. Durch solche Angriffe mit "vergifteten Schlüsseln" waren in letzter Zeit viele der klassischen PGP-Keyserver nicht erreichbar.

Neben diesen Angriffen gibt es ein rechtliches Problem beim Betrieb der Keyserver. Denn das EU-Datenschutzrecht sieht vor, dass Nutzer die Löschung von persönlichen Daten verlangen können.

Persönliche Daten nur nach Mailadressen-Prüfung

Der jetzt gestartete neue Keyserver prüft kryptographisch, ob neue Daten zu einem Schlüssel gehören. Was aber noch entscheidender ist: Schlüssel können zwar weiterhin von jedem hochgeladen werden, aber der zu einem Schlüssel gehörende Name und die E-Mail-Adresse werden nicht automatisch verteilt. Sie werden nur akzeptiert, wenn der Inhaber die Mailadresse bestätigt. Auch kann man nach einer Mailbestätigung Schlüssel wieder löschen lassen.

Damit können beispielsweise Revocation-Informationen über veraltete Schlüssel verteilt werden, ohne dass die im Schlüssel enthaltenen Identitäten hochgeladen werden. Zudem gibt es eine gewisse Hürde, falsche Keys für die Mailadressen anderer auf dem Schlüsselserver zu platzieren, auch wenn dies natürlich keine absolute Sicherheit bietet.

Nicht vorgesehen ist, dass Nutzer Signaturen auf den Schlüsseln anderer Nutzer verteilen. In der Vergangenheit wurde dies in der PGP-Community genutzt, um über das sogenannte Web of Trust indirekt die Echtheit von Schlüsseln zu prüfen. An der Sinnhaftigkeit des Web of Trust gibt es aber schon lange viele Zweifel.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 299,90€
  2. täglich Hardware zu gewinnen
  3. (u. a. Cooler Master MasterCase H100 PC-Gehäuse für 44,72€, Taotronics Over-Ear-Kopfhörer für...
  4. (u. a. Laptop-Ständer für 13,99€, 4K-HDMI-Kabel für 5,21€, Mechanische Gaming-Tastatur für...

mcnesium 17. Jun 2019

Was meinst du damit? Kannst du ein Szenario beschreiben?


Folgen Sie uns
       


Xbox Series X - Hands on

Golem.de konnte die Xbox Series X bereits ausprobieren und stellt die Konsole vor. Außerdem zeigen wir, wie Quick Resume funktioniert - und die Ladezeiten.

Xbox Series X - Hands on Video aufrufen
Made in USA: Deutsche Huawei-Gegner schweigen zu Juniper-Hintertüren
Made in USA
Deutsche Huawei-Gegner schweigen zu Juniper-Hintertüren

Zu unbequemen Fragen schweigen die Transatlantiker Manuel Höferlin, Falko Mohrs, Metin Hakverdi, Norbert Röttgen und Friedrich Merz. Das wirkt unredlich.
Eine Recherche von Achim Sawall

  1. Sandworm Hacker nutzen alte Exim-Sicherheitslücke aus

Chang'e 5: Chinesischer Probensammler ist im Mondorbit angekommen
Chang'e 5
Chinesischer Probensammler ist im Mondorbit angekommen

Nach 44 Jahren soll eine chinesische Raumsonde endlich wieder Gesteinsproben vom Mond zur Erde bringen.
Von Frank Wunderlich-Pfeiffer

  1. Raumfahrt Nasa hat überraschenden Favoriten bei Mondlanderkonzept
  2. SLS Nasa bestellt Triebwerke für den Preis einer ganzen Rakete
  3. Artemis Base Camp Nasa plant Mondhabitat

Demon's Souls im Test: Düsternis auf Basis von 10,5 Tflops
Demon's Souls im Test
Düsternis auf Basis von 10,5 Tflops

Das Remake von Demon's Souls ist das einzige PS5-Spiel von Sony, das nicht für die PS4 erscheint - und ein toller Einstieg in die Serie!
Von Peter Steinlechner


      •  /