Abo
  • Services:
Anzeige
Google macht sich Gedanken über die Schlüsselverwaltung von End-to-End.
Google macht sich Gedanken über die Schlüsselverwaltung von End-to-End. (Bild: Screenshot Golem.de)

Öffentliche Kontrolle

Anzeige

Neben den Schlüsselverzeichnissen wichtig für das System sind weiterhin Beobachter der Schlüsselverzeichnisse. Das sind unabhängige Dritte, die die Korrektheit der Schlüsselverzeichnisse prüfen. Theoretisch kann jeder einen derartigen Monitor aufsetzen. Wer also den Verdacht hegt, dass ein bestimmtes Schlüsselverzeichnis Manipulationen vornimmt, kann dessen Arbeit prüfen.

Google schreibt, dass der Vorschlag in seiner jetzigen Form nicht final ist. Er wurde jetzt vorgestellt, um Feedback zu erhalten. Google wolle wissen, ob es im vorgestellten Modell Schwächen oder ob es andere Vorschläge gibt, die ebenfalls einfach zu nutzen sind und denselben Zweck erfüllen.

Schlüsselverzeichnisse als Quelle für Spammer

Ein mögliches Problem: Die Schlüsselverzeichnisse würden Mailadressen enthalten, diese könnten von Spammern gesammelt werden. Eine Schwachstelle, welches PGP schon heute hat. Da sich dank des ewigen Logs keine Informationen aus dem Schlüsselverzeichnis löschen lassen, könnten dadurch auch rechtliche Probleme mit dem Datenschutz entstehen. Yan Zhu, die bei Yahoo für die Entwicklung der Mailverschlüsselung angestellt wurde, schlug in den Kommentaren vor, dass es besser wäre, nur den Hash einer Mailadresse zu speichern.

In einer Mailinglistendebatte weist Moxie Marlinspike auf ein weiteres mögliches Problem hin: In der Praxis würden Nutzer häufig neue Schlüssel einsetzen. Falls ein bösartiger Schlüssel in einem Schlüsselverzeichnis entdeckt wird, kann ein Nutzer dies zwar erkennen, er kann jedoch gegenüber Dritten nicht beweisen, dass es sich hierbei um eine Manipulation des Schlüsselverzeichnisses handelt. Es müsse damit gerechnet werden, dass häufig Nutzer den Betreibern von Schlüsselverzeichnissen versuchte Angriffe vorwerfen - es sei aber nicht erkennbar, ob die Nutzer hierbei sich nur wichtig machen wollen, selber etwas nicht verstanden hätten oder ob es sich um kompetente Nutzer handelt, die wirklich eine Manipulation aufgedeckt haben.

Web-of-Trust und Zertifizierungsstellen mangelhaft

Der Grund, warum Google dieses relativ komplexe Protokoll entwickelt hat, sind die Mängel der bisher verwendeten Ansätze. PGP setzt dabei klassischerweise auf ein sogenanntes Web-of-Trust. Jeder Inhaber eines PGP-Schlüssels kann andere PGP-Schlüssel signieren und bestätigt damit deren Echtheit. Somit ist die Echtheit eines Schlüssels über vertrauenswürdige andere Personen gewährleistet. PGP-Nutzer führen hierzu manchmal Key-Signing-Parties durch, auf denen sich Nutzer ihre Schlüssel gegenseitig signieren.

Das Web-of-Trust funktioniert im Prinzip gut, wenn alle Beteiligten das Konzept verstehen. Doch das ist die große Schwäche: Für unbedarfte Mailanwender ist es kaum nutzbar. Es gilt als Spielzeug für Kryptonerds. Zentralisierte Zertifizierungsstellen, wie sie für S/MIME und auch für HTTPS-Webseiten eingesetzt werden, sind in der Vergangenheit so oft missbraucht und angegriffen worden, dass es kaum Anlass gibt, ihnen noch zu trauen. Diginotar, Comodo, Türktrust und zuletzt India CCA sind nur einige der Namen von Zertifizierungsstellen, die in der Vergangenheit bewiesenermaßen gefälschte Zertifikate ausgestellt hatten.

 Mailverschlüsselung: Googles neues System zur Schlüsselverwaltung

eye home zur Startseite
Apollo13 01. Sep 2014

Beim 08/15-User nicht, aber dann kannst Du Dir auch die Verschlüsselung sparen.

Moe479 01. Sep 2014

ja dann braucht man nur noch wenige zertifizierungstellen komprommitieren um an alles...

Anonymer Nutzer 01. Sep 2014

In deinem Beitrag war Kryptographie aber garnicht das Thema. Im Artikel geht es um End-to...

hyperlord 29. Aug 2014

Inwiefern ist das jetzt was anderes als z.B. der GMX Spam- bzw. Virenscanner? Da werden...

PampelHampel 29. Aug 2014

Müsste man dann eben für jede mail oder so nen cent für die Miner zahlen. Evtl liese sich...



Anzeige

Stellenmarkt
  1. Evangelischer Oberkirchenrat Stuttgart, Stuttgart
  2. Hornbach-Baumarkt-AG, Großraum Mannheim/Karlsruhe
  3. Schlütersche Verlagsgesellschaft mbH & Co. KG, Hannover
  4. Sodexo Services GmbH, Rüsselsheim


Anzeige
Top-Angebote
  1. (alle Angebote versandkostenfrei, u. a. GTA V PS4/XBO 27,00€ und Fast & Furious 1-7 Blu-ray 24...
  2. 74,50€

Folgen Sie uns
       


  1. Alphabet

    Google-Chef verdient 200 Millionen US-Dollar

  2. Analysepapier

    Facebook berichtet offiziell von staatlicher Desinformation

  3. Apple

    Qualcomm reduziert Prognose wegen zurückgehaltener Zahlungen

  4. Underground Actually Free

    Amazon beendet Programm mit komplett kostenlosen Apps

  5. Onlinelexikon

    Türkische Behörden sperren Zugang zu Wikipedia

  6. Straßenverkehr

    Elon Musk baut U-Bahn für Autos

  7. Die Woche im Video

    Mr. Robot und Ms MINT

  8. Spülbohrverfahren

    Deutsche Telekom "spült" ihre Glasfaserkabel in die Erde

  9. Privacy Phone

    John McAfee stellt fragwürdiges Smartphone vor

  10. Hacon

    Siemens übernimmt Software-Anbieter aus Hannover



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Elektromobilität: Wie kommt der Strom in die Tiefgarage?
Elektromobilität
Wie kommt der Strom in die Tiefgarage?
  1. e.GO Life Elektroauto aus Deutschland für 15.900 Euro
  2. Elektroauto VW testet E-Trucks
  3. Elektroauto Opel Ampera-E kostet inklusive Prämie ab 34.950 Euro

In eigener Sache: Die Quanten kommen!
In eigener Sache
Die Quanten kommen!
  1. In eigener Sache Golem.de führt kostenpflichtige Links ein
  2. In eigener Sache Golem.de sucht Marketing Manager (w/m)
  3. In eigener Sache Golem.de geht auf Jobmessen

Snap Spectacles im Test: Das Brillen-Spektakel für Snapchat-Fans
Snap Spectacles im Test
Das Brillen-Spektakel für Snapchat-Fans
  1. Kamera Facebook macht schicke Bilder und löscht sie dann wieder
  2. Snap Spectacles Snap verkauft Sonnenbrille mit Kamera für 130 US-Dollar
  3. Soziales Netzwerk Snapchat geht an die Börse - und Google profitiert

  1. Re: Private geben sich selbst Todesstoß

    kaputt | 12:51

  2. Re: Er wehrt sich gegen 2 von 6?

    PlonkPlonk | 12:50

  3. Re: Top stabile Server Distro

    Teebecher | 12:47

  4. Re: NextCloud

    User01 | 12:45

  5. Re: was hat google in letzter zeit weiter erreicht?

    sp1derclaw | 12:41


  1. 12:21

  2. 15:07

  3. 14:32

  4. 13:35

  5. 12:56

  6. 12:15

  7. 09:01

  8. 08:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel