Öffentliche Kontrolle

Neben den Schlüsselverzeichnissen wichtig für das System sind weiterhin Beobachter der Schlüsselverzeichnisse. Das sind unabhängige Dritte, die die Korrektheit der Schlüsselverzeichnisse prüfen. Theoretisch kann jeder einen derartigen Monitor aufsetzen. Wer also den Verdacht hegt, dass ein bestimmtes Schlüsselverzeichnis Manipulationen vornimmt, kann dessen Arbeit prüfen.

Stellenmarkt
  1. IT-Systemadministrator (m/w/d) Projekte
    Bayerischer Jugendring, München
  2. Java / Kotlin Software Developer (m/w/d) in einem Cloud-Native-Stack
    PROSOZ Herten GmbH, Herten
Detailsuche

Google schreibt, dass der Vorschlag in seiner jetzigen Form nicht final ist. Er wurde jetzt vorgestellt, um Feedback zu erhalten. Google wolle wissen, ob es im vorgestellten Modell Schwächen oder ob es andere Vorschläge gibt, die ebenfalls einfach zu nutzen sind und denselben Zweck erfüllen.

Schlüsselverzeichnisse als Quelle für Spammer

Ein mögliches Problem: Die Schlüsselverzeichnisse würden Mailadressen enthalten, diese könnten von Spammern gesammelt werden. Eine Schwachstelle, welches PGP schon heute hat. Da sich dank des ewigen Logs keine Informationen aus dem Schlüsselverzeichnis löschen lassen, könnten dadurch auch rechtliche Probleme mit dem Datenschutz entstehen. Yan Zhu, die bei Yahoo für die Entwicklung der Mailverschlüsselung angestellt wurde, schlug in den Kommentaren vor, dass es besser wäre, nur den Hash einer Mailadresse zu speichern.

In einer Mailinglistendebatte weist Moxie Marlinspike auf ein weiteres mögliches Problem hin: In der Praxis würden Nutzer häufig neue Schlüssel einsetzen. Falls ein bösartiger Schlüssel in einem Schlüsselverzeichnis entdeckt wird, kann ein Nutzer dies zwar erkennen, er kann jedoch gegenüber Dritten nicht beweisen, dass es sich hierbei um eine Manipulation des Schlüsselverzeichnisses handelt. Es müsse damit gerechnet werden, dass häufig Nutzer den Betreibern von Schlüsselverzeichnissen versuchte Angriffe vorwerfen - es sei aber nicht erkennbar, ob die Nutzer hierbei sich nur wichtig machen wollen, selber etwas nicht verstanden hätten oder ob es sich um kompetente Nutzer handelt, die wirklich eine Manipulation aufgedeckt haben.

Web-of-Trust und Zertifizierungsstellen mangelhaft

Golem Karrierewelt
  1. IT-Grundschutz-Praktiker mit Zertifikat: Drei-Tage-Workshop
    21.-23.11.2022, Virtuell
  2. CEH Certified Ethical Hacker v12: virtueller Fünf-Tage-Workshop
    14.-18.11.2022, Virtuell
Weitere IT-Trainings

Der Grund, warum Google dieses relativ komplexe Protokoll entwickelt hat, sind die Mängel der bisher verwendeten Ansätze. PGP setzt dabei klassischerweise auf ein sogenanntes Web-of-Trust. Jeder Inhaber eines PGP-Schlüssels kann andere PGP-Schlüssel signieren und bestätigt damit deren Echtheit. Somit ist die Echtheit eines Schlüssels über vertrauenswürdige andere Personen gewährleistet. PGP-Nutzer führen hierzu manchmal Key-Signing-Parties durch, auf denen sich Nutzer ihre Schlüssel gegenseitig signieren.

Das Web-of-Trust funktioniert im Prinzip gut, wenn alle Beteiligten das Konzept verstehen. Doch das ist die große Schwäche: Für unbedarfte Mailanwender ist es kaum nutzbar. Es gilt als Spielzeug für Kryptonerds. Zentralisierte Zertifizierungsstellen, wie sie für S/MIME und auch für HTTPS-Webseiten eingesetzt werden, sind in der Vergangenheit so oft missbraucht und angegriffen worden, dass es kaum Anlass gibt, ihnen noch zu trauen. Diginotar, Comodo, Türktrust und zuletzt India CCA sind nur einige der Namen von Zertifizierungsstellen, die in der Vergangenheit bewiesenermaßen gefälschte Zertifikate ausgestellt hatten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Mailverschlüsselung: Googles neues System zur Schlüsselverwaltung
  1.  
  2. 1
  3. 2


Apollo13 01. Sep 2014

Beim 08/15-User nicht, aber dann kannst Du Dir auch die Verschlüsselung sparen.

Moe479 01. Sep 2014

ja dann braucht man nur noch wenige zertifizierungstellen komprommitieren um an alles...

Anonymer Nutzer 01. Sep 2014

In deinem Beitrag war Kryptographie aber garnicht das Thema. Im Artikel geht es um End-to...

hyperlord 29. Aug 2014

Inwiefern ist das jetzt was anderes als z.B. der GMX Spam- bzw. Virenscanner? Da werden...



Aktuell auf der Startseite von Golem.de
Neue Grafikkarten
Erste Preise für Nvidias Geforce RTX 4090 aufgetaucht

Der US-Händler Newegg gibt einen Blick auf die Preise der Nvidia-Ada-Grafikkarten. Sie werden teurer als die Geforce RTX 3090 zuvor.

Neue Grafikkarten: Erste Preise für Nvidias Geforce RTX 4090 aufgetaucht
Artikel
  1. Smart Home Eco Systems: Was unterscheidet Alexa von Homekit von Google Home?
    Smart Home Eco Systems
    Was unterscheidet Alexa von Homekit von Google Home?

    Alexa, Homekit, Google Home - ist das nicht eigentlich alles das Gleiche? Nein, es gibt erhebliche Unterschiede bei Sprachsteuerung, Integration und Datenschutz. Ein Vergleich.
    Eine Analyse von Karl-Heinz Müller

  2. Hideo Kojima: Es sollte ein Death-Stranding-Spiel für Google Stadia geben
    Hideo Kojima
    Es sollte ein Death-Stranding-Spiel für Google Stadia geben

    Hideo Kojima arbeitete am Exklusivtitel für Stadia. Das wurde vorzeitig eingestellt, auch weil Google nicht an Einzelspieler-Games glaubte.

  3. Superbase V: Zendures Solarstation mit 6.400 Wh kommt mit hohem Rabatt
    Superbase V
    Zendures Solarstation mit 6.400 Wh kommt mit hohem Rabatt

    Vor dem Verkaufsstart über die eigene Webseite verkauft Zendure seine Superbase V über Kickstarter - mit teilweise fast 50 Prozent Rabatt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Razer DeathAdder V3 Pro 106,39€ • Alternate (u. a. Kingston FURY Beast RGB 32 GB DDR5-6000 226,89€, be quiet! Silent Base 802 Window 156,89€) • MindFactory (u. a. Kingston A400 240/480 GB 17,50€/32€) • SanDisk microSDXC 400 GB 29,99€ • PCGH-Ratgeber-PC 3000 Radeon Edition 2.500€ [Werbung]
    •  /