Abo
  • IT-Karriere:

keys.openpgp.org: Neuer PGP-Keyserver prüft Mailadressen

Das bisherige Konzept der PGP-Keyserver ist an seine Grenzen gelangt, die bestehenden Keyserver werden immer unzuverlässiger. Nun gibt es einen neuen Keyserver mit einem anderen Konzept. Persönliche Daten werden nur nach einer Prüfung der E-Mail-Adresse verteilt.

Artikel veröffentlicht am ,
Wie soll man PGP-Schlüssel am besten verteilen? Ein neuer Keyserver versucht es jetzt mit einem veränderten Konzept.
Wie soll man PGP-Schlüssel am besten verteilen? Ein neuer Keyserver versucht es jetzt mit einem veränderten Konzept. (Bild: Juan de Vojníkov/Wikimedia Commons/CC-BY-SA 3.0)

Unter keys.openpgp.org läuft künftig ein PGP-Keyserver mit der in Rust geschrieben Software Hagrid. Betrieben wird der neue Schlüsselserver gemeinsam von den Entwicklern von Enigmail, Openkeychain und Sequoia. Anders als bei bisherigen PGP-Keyservern werden hier nicht ungeprüft beliebige Daten verteilt. Der neue Keyserver prüft Schlüssel und verteilt persönliche Daten nur nach einer Prüfung der Mailadresse.

Stellenmarkt
  1. INTENSE AG, Würzburg, Köln, Saarbrücken
  2. Dataport, verschiedene Standorte

Die Schlüsselserver waren in der Vergangenheit ein wichtiger Teil des PGP-Ökosystems. Die bisher mit der Software SKS betriebenen Schlüsselserver funktionierten so, dass PGP-Schlüssel dort nach Belieben hochgeladen werden konnten und zwischen den verschiedenen Servern ausgetauscht werden.

Daten löschen war bisher nicht vorgesehen

Schlüssel löschen war nicht vorgesehen, man konnte diese lediglich mit einer sogenannten Revocation-Signatur versehen und als ungültig markieren. Geprüft wurden die Inhalte nicht, Schlüssel kann jeder hochladen. Das führte dazu, dass man an einen Schlüssel beliebige zusätzliche Daten wie weitere Unterschlüssel, Signaturen oder neue Identitäten anhängen konnte.

Das führt unter anderem dazu, dass es relativ einfach möglich ist, einen bestehenden Schlüssel unbenutzbar zu machen - was in jüngerer Zeit auch häufiger vorkam. Dazu kann man beispielsweise zahlreiche sinnlose Zusatz-Nutzerkennungen an einen Schlüssel hängen.

Relativ schnell führt das dazu, dass der Server diese Schlüssel nicht mehr exportieren kann und gleichzeitig eine hohe CPU-Last erzeugt. Durch solche Angriffe mit "vergifteten Schlüsseln" waren in letzter Zeit viele der klassischen PGP-Keyserver nicht erreichbar.

Neben diesen Angriffen gibt es ein rechtliches Problem beim Betrieb der Keyserver. Denn das EU-Datenschutzrecht sieht vor, dass Nutzer die Löschung von persönlichen Daten verlangen können.

Persönliche Daten nur nach Mailadressen-Prüfung

Der jetzt gestartete neue Keyserver prüft kryptographisch, ob neue Daten zu einem Schlüssel gehören. Was aber noch entscheidender ist: Schlüssel können zwar weiterhin von jedem hochgeladen werden, aber der zu einem Schlüssel gehörende Name und die E-Mail-Adresse werden nicht automatisch verteilt. Sie werden nur akzeptiert, wenn der Inhaber die Mailadresse bestätigt. Auch kann man nach einer Mailbestätigung Schlüssel wieder löschen lassen.

Damit können beispielsweise Revocation-Informationen über veraltete Schlüssel verteilt werden, ohne dass die im Schlüssel enthaltenen Identitäten hochgeladen werden. Zudem gibt es eine gewisse Hürde, falsche Keys für die Mailadressen anderer auf dem Schlüsselserver zu platzieren, auch wenn dies natürlich keine absolute Sicherheit bietet.

Nicht vorgesehen ist, dass Nutzer Signaturen auf den Schlüsseln anderer Nutzer verteilen. In der Vergangenheit wurde dies in der PGP-Community genutzt, um über das sogenannte Web of Trust indirekt die Echtheit von Schlüsseln zu prüfen. An der Sinnhaftigkeit des Web of Trust gibt es aber schon lange viele Zweifel.



Anzeige
Spiele-Angebote
  1. 69,99€ (Release am 21. Februar 2020, mit Vorbesteller-Preisgarantie)
  2. 17,99€
  3. (-12%) 52,99€
  4. 69,99€ (Release am 25. Oktober)

mcnesium 17. Jun 2019

Was meinst du damit? Kannst du ein Szenario beschreiben?


Folgen Sie uns
       


Golem.de hackt Wi-Fi-Kameras per Deauth

WLAN-Überwachungskameras lassen sich ganz einfach ausknipsen - Golem.de zeigt, wie.

Golem.de hackt Wi-Fi-Kameras per Deauth Video aufrufen
WLAN-Kameras ausgeknipst: Wer hat die Winkekatze geklaut?
WLAN-Kameras ausgeknipst
Wer hat die Winkekatze geklaut?

Weg ist die Winkekatze - und keine unserer vier Überwachungskameras hat den Dieb gesehen. Denn WLAN-Cams von Abus, Nest, Yi Technology und Arlo lassen sich ganz einfach ausschalten.
Von Moritz Tremmel

  1. Wi-Fi 6 Router und Clients für den neuen WLAN-Standard
  2. Wi-Fi 6 und 802.11ax Was bringt der neue WLAN-Standard?
  3. Brandenburg Vodafone errichtet 1.200 kostenlose WLAN-Hotspots

Elektromobilität: Warum der Ladestrom so teuer geworden ist
Elektromobilität
Warum der Ladestrom so teuer geworden ist

Das Aufladen von Elektroautos an einer öffentlichen Ladesäule kann bisweilen teuer sein. Golem.de hat mit dem Ladenetzbetreiber Allego über die Tücken bei der Ladeinfrastruktur und den schwierigen Kunden We Share gesprochen.
Ein Bericht von Friedhelm Greis

  1. Elektromobilität Hamburg lädt am besten, München besser als Berlin
  2. Volta Charging Werbung soll kostenloses Elektroauto-Laden ermöglichen
  3. Elektromobilität Allego stellt 350-kW-Lader in Hamburg auf

Internetprovider: P(y)ures Chaos
Internetprovider
P(y)ures Chaos

95 Prozent der Kunden des Internetproviders Pyur bewerten die Leistung auf renommierten Bewertungsportalen mit der Schulnote 6. Ein Negativrekord in der Branche. Was steckt hinter der desaströsen Kunden(un)zufriedenheit bei der Marke von Tele Columbus? Ein Selbstversuch.
Ein Erfahrungsbericht von Tarik Ahmia

  1. Bundesnetzagentur Nur 13 Prozent bekommen im Festnetz die volle Datenrate

    •  /