Abo
  • Services:
Anzeige
Google macht sich Gedanken über die Schlüsselverwaltung von End-to-End.
Google macht sich Gedanken über die Schlüsselverwaltung von End-to-End. (Bild: Screenshot Golem.de)

Öffentliche Kontrolle

Anzeige

Neben den Schlüsselverzeichnissen wichtig für das System sind weiterhin Beobachter der Schlüsselverzeichnisse. Das sind unabhängige Dritte, die die Korrektheit der Schlüsselverzeichnisse prüfen. Theoretisch kann jeder einen derartigen Monitor aufsetzen. Wer also den Verdacht hegt, dass ein bestimmtes Schlüsselverzeichnis Manipulationen vornimmt, kann dessen Arbeit prüfen.

Google schreibt, dass der Vorschlag in seiner jetzigen Form nicht final ist. Er wurde jetzt vorgestellt, um Feedback zu erhalten. Google wolle wissen, ob es im vorgestellten Modell Schwächen oder ob es andere Vorschläge gibt, die ebenfalls einfach zu nutzen sind und denselben Zweck erfüllen.

Schlüsselverzeichnisse als Quelle für Spammer

Ein mögliches Problem: Die Schlüsselverzeichnisse würden Mailadressen enthalten, diese könnten von Spammern gesammelt werden. Eine Schwachstelle, welches PGP schon heute hat. Da sich dank des ewigen Logs keine Informationen aus dem Schlüsselverzeichnis löschen lassen, könnten dadurch auch rechtliche Probleme mit dem Datenschutz entstehen. Yan Zhu, die bei Yahoo für die Entwicklung der Mailverschlüsselung angestellt wurde, schlug in den Kommentaren vor, dass es besser wäre, nur den Hash einer Mailadresse zu speichern.

In einer Mailinglistendebatte weist Moxie Marlinspike auf ein weiteres mögliches Problem hin: In der Praxis würden Nutzer häufig neue Schlüssel einsetzen. Falls ein bösartiger Schlüssel in einem Schlüsselverzeichnis entdeckt wird, kann ein Nutzer dies zwar erkennen, er kann jedoch gegenüber Dritten nicht beweisen, dass es sich hierbei um eine Manipulation des Schlüsselverzeichnisses handelt. Es müsse damit gerechnet werden, dass häufig Nutzer den Betreibern von Schlüsselverzeichnissen versuchte Angriffe vorwerfen - es sei aber nicht erkennbar, ob die Nutzer hierbei sich nur wichtig machen wollen, selber etwas nicht verstanden hätten oder ob es sich um kompetente Nutzer handelt, die wirklich eine Manipulation aufgedeckt haben.

Web-of-Trust und Zertifizierungsstellen mangelhaft

Der Grund, warum Google dieses relativ komplexe Protokoll entwickelt hat, sind die Mängel der bisher verwendeten Ansätze. PGP setzt dabei klassischerweise auf ein sogenanntes Web-of-Trust. Jeder Inhaber eines PGP-Schlüssels kann andere PGP-Schlüssel signieren und bestätigt damit deren Echtheit. Somit ist die Echtheit eines Schlüssels über vertrauenswürdige andere Personen gewährleistet. PGP-Nutzer führen hierzu manchmal Key-Signing-Parties durch, auf denen sich Nutzer ihre Schlüssel gegenseitig signieren.

Das Web-of-Trust funktioniert im Prinzip gut, wenn alle Beteiligten das Konzept verstehen. Doch das ist die große Schwäche: Für unbedarfte Mailanwender ist es kaum nutzbar. Es gilt als Spielzeug für Kryptonerds. Zentralisierte Zertifizierungsstellen, wie sie für S/MIME und auch für HTTPS-Webseiten eingesetzt werden, sind in der Vergangenheit so oft missbraucht und angegriffen worden, dass es kaum Anlass gibt, ihnen noch zu trauen. Diginotar, Comodo, Türktrust und zuletzt India CCA sind nur einige der Namen von Zertifizierungsstellen, die in der Vergangenheit bewiesenermaßen gefälschte Zertifikate ausgestellt hatten.

 Mailverschlüsselung: Googles neues System zur Schlüsselverwaltung

eye home zur Startseite
Apollo13 01. Sep 2014

Beim 08/15-User nicht, aber dann kannst Du Dir auch die Verschlüsselung sparen.

Moe479 01. Sep 2014

ja dann braucht man nur noch wenige zertifizierungstellen komprommitieren um an alles...

Anonymer Nutzer 01. Sep 2014

In deinem Beitrag war Kryptographie aber garnicht das Thema. Im Artikel geht es um End-to...

hyperlord 29. Aug 2014

Inwiefern ist das jetzt was anderes als z.B. der GMX Spam- bzw. Virenscanner? Da werden...

PampelHampel 29. Aug 2014

Müsste man dann eben für jede mail oder so nen cent für die Miner zahlen. Evtl liese sich...



Anzeige

Stellenmarkt
  1. Zurich Gruppe, Köln
  2. Robert Bosch GmbH, Stuttgart-Feuerbach
  3. Robert Bosch GmbH, Plochingen
  4. Bertrandt Technikum GmbH, Ehningen bei Stuttgart


Anzeige
Spiele-Angebote
  1. 25,99€
  2. (-53%) 18,99€
  3. 13,99€

Folgen Sie uns
       


  1. Augmented Reality

    Google stellt Project Tango ein

  2. Uber vs. Waymo

    Uber spionierte Konkurrenten aus

  3. Die Woche im Video

    Amerika, Amerika, BVG, Amerika, Security

  4. HTTPS

    Fritzbox bekommt Let's Encrypt-Support und verrät Hostnamen

  5. Antec P110 Silent

    Gedämmter Midi-Tower hat austauschbare Staubfilter

  6. Pilotprojekt am Südkreuz

    De Maizière plant breiten Einsatz von Gesichtserkennung

  7. Spielebranche

    WW 2 und Battlefront 2 gewinnen im November-Kaufrausch

  8. Bauern

    Deutlich über 80 Prozent wollen FTTH

  9. Linux

    Bolt bringt Thunderbolt-3-Security für Linux

  10. Streit mit Bundesnetzagentur

    Telekom droht mit Ende von kostenlosem Stream On



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
E-Golf auf Tour: Reichweitenangst oder: Wie wir lernten, Lidl zu lieben
E-Golf auf Tour
Reichweitenangst oder: Wie wir lernten, Lidl zu lieben
  1. Fuso eCanter Daimler liefert erste Elektro-Lkw aus
  2. Sattelschlepper Thor ET-One soll Teslas Elektro-Lkw Konkurrenz machen
  3. Einkaufen und Laden Kostenlose Elektroauto-Ladesäulen mit 50 kW bei Kaufland

Alexa-Geräte und ihre Konkurrenz im Test: Der perfekte smarte Lautsprecher ist nicht dabei
Alexa-Geräte und ihre Konkurrenz im Test
Der perfekte smarte Lautsprecher ist nicht dabei
  1. Alexa und Co. Wirtschaftsverband sieht Megatrend zu smarten Lautsprechern
  2. Smarte Lautsprecher Google unterstützt indirekt Bau von Alexa-Geräten
  3. UE Blast und Megablast Alexa-Lautsprecher sind wasserfest und haben einen Akku

4K UHD HDR: Das ZDF hat das Internet nicht verstanden
4K UHD HDR
Das ZDF hat das Internet nicht verstanden
  1. Cisco und Lancom Wenn Spionagepanik auf Industriepolitik trifft
  2. Encrypted Media Extensions Web-DRM ist ein Standard für Nutzer

  1. Re: Mal wieder typisch oberflächlich Anti-Telekom

    Faksimile | 13:56

  2. Re: Einfach nur schlimm!

    Slurpee | 13:54

  3. Re: Bei voller Leistung reicht das Netzteil nicht...

    Arhey | 13:52

  4. Re: Custom-domainname

    Arhey | 13:50

  5. Re: Das ja ein Schnapper

    Der Spatz | 13:48


  1. 12:47

  2. 11:39

  3. 09:03

  4. 17:47

  5. 17:38

  6. 16:17

  7. 15:50

  8. 15:25


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel