Abo
  • Services:
Anzeige
Google macht sich Gedanken über die Schlüsselverwaltung von End-to-End.
Google macht sich Gedanken über die Schlüsselverwaltung von End-to-End. (Bild: Screenshot Golem.de)

Öffentliche Kontrolle

Anzeige

Neben den Schlüsselverzeichnissen wichtig für das System sind weiterhin Beobachter der Schlüsselverzeichnisse. Das sind unabhängige Dritte, die die Korrektheit der Schlüsselverzeichnisse prüfen. Theoretisch kann jeder einen derartigen Monitor aufsetzen. Wer also den Verdacht hegt, dass ein bestimmtes Schlüsselverzeichnis Manipulationen vornimmt, kann dessen Arbeit prüfen.

Google schreibt, dass der Vorschlag in seiner jetzigen Form nicht final ist. Er wurde jetzt vorgestellt, um Feedback zu erhalten. Google wolle wissen, ob es im vorgestellten Modell Schwächen oder ob es andere Vorschläge gibt, die ebenfalls einfach zu nutzen sind und denselben Zweck erfüllen.

Schlüsselverzeichnisse als Quelle für Spammer

Ein mögliches Problem: Die Schlüsselverzeichnisse würden Mailadressen enthalten, diese könnten von Spammern gesammelt werden. Eine Schwachstelle, welches PGP schon heute hat. Da sich dank des ewigen Logs keine Informationen aus dem Schlüsselverzeichnis löschen lassen, könnten dadurch auch rechtliche Probleme mit dem Datenschutz entstehen. Yan Zhu, die bei Yahoo für die Entwicklung der Mailverschlüsselung angestellt wurde, schlug in den Kommentaren vor, dass es besser wäre, nur den Hash einer Mailadresse zu speichern.

In einer Mailinglistendebatte weist Moxie Marlinspike auf ein weiteres mögliches Problem hin: In der Praxis würden Nutzer häufig neue Schlüssel einsetzen. Falls ein bösartiger Schlüssel in einem Schlüsselverzeichnis entdeckt wird, kann ein Nutzer dies zwar erkennen, er kann jedoch gegenüber Dritten nicht beweisen, dass es sich hierbei um eine Manipulation des Schlüsselverzeichnisses handelt. Es müsse damit gerechnet werden, dass häufig Nutzer den Betreibern von Schlüsselverzeichnissen versuchte Angriffe vorwerfen - es sei aber nicht erkennbar, ob die Nutzer hierbei sich nur wichtig machen wollen, selber etwas nicht verstanden hätten oder ob es sich um kompetente Nutzer handelt, die wirklich eine Manipulation aufgedeckt haben.

Web-of-Trust und Zertifizierungsstellen mangelhaft

Der Grund, warum Google dieses relativ komplexe Protokoll entwickelt hat, sind die Mängel der bisher verwendeten Ansätze. PGP setzt dabei klassischerweise auf ein sogenanntes Web-of-Trust. Jeder Inhaber eines PGP-Schlüssels kann andere PGP-Schlüssel signieren und bestätigt damit deren Echtheit. Somit ist die Echtheit eines Schlüssels über vertrauenswürdige andere Personen gewährleistet. PGP-Nutzer führen hierzu manchmal Key-Signing-Parties durch, auf denen sich Nutzer ihre Schlüssel gegenseitig signieren.

Das Web-of-Trust funktioniert im Prinzip gut, wenn alle Beteiligten das Konzept verstehen. Doch das ist die große Schwäche: Für unbedarfte Mailanwender ist es kaum nutzbar. Es gilt als Spielzeug für Kryptonerds. Zentralisierte Zertifizierungsstellen, wie sie für S/MIME und auch für HTTPS-Webseiten eingesetzt werden, sind in der Vergangenheit so oft missbraucht und angegriffen worden, dass es kaum Anlass gibt, ihnen noch zu trauen. Diginotar, Comodo, Türktrust und zuletzt India CCA sind nur einige der Namen von Zertifizierungsstellen, die in der Vergangenheit bewiesenermaßen gefälschte Zertifikate ausgestellt hatten.

 Mailverschlüsselung: Googles neues System zur Schlüsselverwaltung

eye home zur Startseite
Apollo13 01. Sep 2014

Beim 08/15-User nicht, aber dann kannst Du Dir auch die Verschlüsselung sparen.

Moe479 01. Sep 2014

ja dann braucht man nur noch wenige zertifizierungstellen komprommitieren um an alles...

Anonymer Nutzer 01. Sep 2014

In deinem Beitrag war Kryptographie aber garnicht das Thema. Im Artikel geht es um End-to...

hyperlord 29. Aug 2014

Inwiefern ist das jetzt was anderes als z.B. der GMX Spam- bzw. Virenscanner? Da werden...

PampelHampel 29. Aug 2014

Müsste man dann eben für jede mail oder so nen cent für die Miner zahlen. Evtl liese sich...



Anzeige

Stellenmarkt
  1. Viega Holding GmbH & Co. KG, Attendorn
  2. Daimler AG, Sindelfingen
  3. Deloitte GmbH Wirtschaftsprüfungsgesellschaft, München, Berlin
  4. Giesecke+Devrient Currency Technology GmbH, München


Anzeige
Spiele-Angebote
  1. 14,99€
  2. ab 59,98€ (Vorbesteller-Preisgarantie)
  3. 5,99€

Folgen Sie uns
       


  1. Counter-Strike Go

    Bei Abschuss Ransomware

  2. Hacking

    Microsoft beschlagnahmt Fancy-Bear-Infrastruktur

  3. Die Woche im Video

    Strittige Standards, entzweite Bitcoins, eine Riesenkonsole

  4. Bundesverkehrsministerium

    Dobrindt finanziert weitere Projekte zum autonomen Fahren

  5. Mobile

    Razer soll Smartphone für Gamer planen

  6. Snail Games

    Dark and Light stürmt Steam

  7. IETF

    Netzwerker wollen Quic-Pakete tracken

  8. Surface Diagnostic Toolkit

    Surface-Tool kommt in den Windows Store

  9. Bürgermeister

    Telekom und Unitymedia verweigern Open-Access-FTTH

  10. Layton's Mystery Journey im Test

    Katrielle, fast ganz der Papa



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Neuer A8 vorgestellt: Audis Staupilot steckt noch im Zulassungsstau
Neuer A8 vorgestellt
Audis Staupilot steckt noch im Zulassungsstau
  1. Autonomes Fahren Continental will beim Kartendienst Here einsteigen
  2. Verbrenner Porsche denkt über Dieselausstieg nach
  3. Autonomes Fahren Audi lässt Kunden selbstfahrenden A7 testen

Anker Powercore+ 26800 PD im Test: Die Powerbank für (fast) alles
Anker Powercore+ 26800 PD im Test
Die Powerbank für (fast) alles
  1. SW271 Benq bringt HDR-Display mit 10-Bit-Panel
  2. Toshiba Teures Thunderbolt-3-Dock mit VGA-Anschluss
  3. Anker Powercore+ 26800 PD Akkupack liefert Strom per Power Delivery über USB Typ C

Matebook X im Test: Huaweis erstes Ultrabook glänzt
Matebook X im Test
Huaweis erstes Ultrabook glänzt
  1. Huawei Neue Rack- und Bladeserver für Azure Stack vorgestellt
  2. Matebook X Huaweis erstes Notebook im Handel erhältlich
  3. Y6 (2017) und Y7 Huawei bringt zwei neue Einsteiger-Smartphones ab 180 Euro

  1. Re: SDK & Sicherheitslücken?

    Mik30 | 12:42

  2. Re: Gamer Smartphone?

    Dietbert | 12:40

  3. Re: Steuergeldverschwendung

    Niaxa | 12:29

  4. Re: Geht doch schon mit PS Boardmitteln

    blau34 | 12:29

  5. Re: Achso

    Der Held vom... | 12:26


  1. 12:43

  2. 11:54

  3. 09:02

  4. 16:55

  5. 16:33

  6. 16:10

  7. 15:56

  8. 15:21


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel