Abo
  • Services:

Öffentliche Kontrolle

Neben den Schlüsselverzeichnissen wichtig für das System sind weiterhin Beobachter der Schlüsselverzeichnisse. Das sind unabhängige Dritte, die die Korrektheit der Schlüsselverzeichnisse prüfen. Theoretisch kann jeder einen derartigen Monitor aufsetzen. Wer also den Verdacht hegt, dass ein bestimmtes Schlüsselverzeichnis Manipulationen vornimmt, kann dessen Arbeit prüfen.

Stellenmarkt
  1. BIM Berliner Immobilienmanagement GmbH, Berlin
  2. OHB System AG, Bremen, Oberpfaffenhofen

Google schreibt, dass der Vorschlag in seiner jetzigen Form nicht final ist. Er wurde jetzt vorgestellt, um Feedback zu erhalten. Google wolle wissen, ob es im vorgestellten Modell Schwächen oder ob es andere Vorschläge gibt, die ebenfalls einfach zu nutzen sind und denselben Zweck erfüllen.

Schlüsselverzeichnisse als Quelle für Spammer

Ein mögliches Problem: Die Schlüsselverzeichnisse würden Mailadressen enthalten, diese könnten von Spammern gesammelt werden. Eine Schwachstelle, welches PGP schon heute hat. Da sich dank des ewigen Logs keine Informationen aus dem Schlüsselverzeichnis löschen lassen, könnten dadurch auch rechtliche Probleme mit dem Datenschutz entstehen. Yan Zhu, die bei Yahoo für die Entwicklung der Mailverschlüsselung angestellt wurde, schlug in den Kommentaren vor, dass es besser wäre, nur den Hash einer Mailadresse zu speichern.

In einer Mailinglistendebatte weist Moxie Marlinspike auf ein weiteres mögliches Problem hin: In der Praxis würden Nutzer häufig neue Schlüssel einsetzen. Falls ein bösartiger Schlüssel in einem Schlüsselverzeichnis entdeckt wird, kann ein Nutzer dies zwar erkennen, er kann jedoch gegenüber Dritten nicht beweisen, dass es sich hierbei um eine Manipulation des Schlüsselverzeichnisses handelt. Es müsse damit gerechnet werden, dass häufig Nutzer den Betreibern von Schlüsselverzeichnissen versuchte Angriffe vorwerfen - es sei aber nicht erkennbar, ob die Nutzer hierbei sich nur wichtig machen wollen, selber etwas nicht verstanden hätten oder ob es sich um kompetente Nutzer handelt, die wirklich eine Manipulation aufgedeckt haben.

Web-of-Trust und Zertifizierungsstellen mangelhaft

Der Grund, warum Google dieses relativ komplexe Protokoll entwickelt hat, sind die Mängel der bisher verwendeten Ansätze. PGP setzt dabei klassischerweise auf ein sogenanntes Web-of-Trust. Jeder Inhaber eines PGP-Schlüssels kann andere PGP-Schlüssel signieren und bestätigt damit deren Echtheit. Somit ist die Echtheit eines Schlüssels über vertrauenswürdige andere Personen gewährleistet. PGP-Nutzer führen hierzu manchmal Key-Signing-Parties durch, auf denen sich Nutzer ihre Schlüssel gegenseitig signieren.

Das Web-of-Trust funktioniert im Prinzip gut, wenn alle Beteiligten das Konzept verstehen. Doch das ist die große Schwäche: Für unbedarfte Mailanwender ist es kaum nutzbar. Es gilt als Spielzeug für Kryptonerds. Zentralisierte Zertifizierungsstellen, wie sie für S/MIME und auch für HTTPS-Webseiten eingesetzt werden, sind in der Vergangenheit so oft missbraucht und angegriffen worden, dass es kaum Anlass gibt, ihnen noch zu trauen. Diginotar, Comodo, Türktrust und zuletzt India CCA sind nur einige der Namen von Zertifizierungsstellen, die in der Vergangenheit bewiesenermaßen gefälschte Zertifikate ausgestellt hatten.

 Mailverschlüsselung: Googles neues System zur Schlüsselverwaltung
  1.  
  2. 1
  3. 2


Anzeige
Hardware-Angebote
  1. 149,90€ + Versand (im Preisvergleich ab 184,95€)
  2. 399€ (Vergleichspreis ab 467€)
  3. 119,90€

Apollo13 01. Sep 2014

Beim 08/15-User nicht, aber dann kannst Du Dir auch die Verschlüsselung sparen.

Moe479 01. Sep 2014

ja dann braucht man nur noch wenige zertifizierungstellen komprommitieren um an alles...

Anonymer Nutzer 01. Sep 2014

In deinem Beitrag war Kryptographie aber garnicht das Thema. Im Artikel geht es um End-to...

hyperlord 29. Aug 2014

Inwiefern ist das jetzt was anderes als z.B. der GMX Spam- bzw. Virenscanner? Da werden...

PampelHampel 29. Aug 2014

Müsste man dann eben für jede mail oder so nen cent für die Miner zahlen. Evtl liese sich...


Folgen Sie uns
       


Corsair K70 RGB Mk. 2 und Roccat Vulcan - Fazit

Corsairs K70 RGB Mk. 2 ist seit kurzem mit Cherrys neuen Low-Profile-Switches erhältlich - in einer exklusiven Version mit nur 1 mm kurzen Auslöseweg. Wir haben die Tastatur mit der Vulcan von Roccat verglichen, die mit selbst entwickelten Titan-Switches bestückt ist.

Corsair K70 RGB Mk. 2 und Roccat Vulcan - Fazit Video aufrufen
Yuneec H520: 3D-Modell aus der Drohne
Yuneec H520
3D-Modell aus der Drohne

Multikopter werden zunehmend auch kommerziell verwendet. Vor allem machen die Drohnen Luftbilder und Inspektionsflüge und vermessen. Wir haben in der Praxis getestet, wie gut das mit dem Yuneec H520 funktioniert.
Von Dirk Koller


    Google Nachtsicht im Test: Starke Nachtaufnahmen mit dem Pixel
    Google Nachtsicht im Test
    Starke Nachtaufnahmen mit dem Pixel

    Gut einen Monat nach der Vorstellung der neuen Pixel-Smartphones hat Google die Kamerafunktion Nachtsicht vorgestellt. Mit dieser lassen sich tolle Nachtaufnahmen machen, die mit denen von Huaweis Nachtmodus vergleichbar sind - und dessen Qualität bei Selbstporträts deutlich übersteigt.
    Ein Test von Tobias Költzsch

    1. Pixel 3 Google patcht Probleme mit Speichermanagement
    2. Smartphone Google soll Pixel 3 Lite mit Kopfhörerbuchse planen
    3. Google Dem Pixel 3 XL wächst eine zweite Notch

    Autonome Schiffe: Und abends geht der Kapitän nach Hause
    Autonome Schiffe
    Und abends geht der Kapitän nach Hause

    Weite Reisen in ferne Länder, eine Braut in jedem Hafen: Klischees über die Seefahrt täuschen darüber hinweg, dass diese ein Knochenjob ist. Doch in wenigen Jahren werden Schiffe ohne Besatzung fahren, überwacht von Steuerleuten, die nach dem Dienst zur Familie zurückkehren. Daran arbeitet etwa Rolls Royce.
    Ein Bericht von Werner Pluta

    1. Elektromobilität San Francisco soll ein Brennstoffzellenschiff bekommen
    2. Yara Birkeland Autonome Schiffe sind eine neue Art von Transportsystem
    3. Power Pac Strom aus dem Container für Ozeanriesen

      •  /