Mailverschlüsselung: Googles neues System zur Schlüsselverwaltung

Google hat ein Protokoll zur Verteilung der öffentlichen Schlüssel für sein PGP-basiertes Verschlüsselungsplugin End-to-End vorgestellt. Bisher setzen Mailverschlüsselungssysteme entweder auf ein Web-of-Trust oder auf zentrale Zertifizierungsstellen - beides ist wenig überzeugend.

Artikel veröffentlicht am , Hanno Böck
Google macht sich Gedanken über die Schlüsselverwaltung von End-to-End.
Google macht sich Gedanken über die Schlüsselverwaltung von End-to-End. (Bild: Screenshot Golem.de)

Mit dem Browserplugin End-to-End will Google künftig die Verschlüsselung von E-Mails voranbringen und wird dabei seit kurzem von Yahoo unterstützt. Eine große Herausforderung bei allen Lösungen für verschlüsselte Mails ist die Verteilung und Verwaltung der Schlüssel: Woher bekommt der Nutzer den öffentlichen Schlüssel seines Kommunikationspartners und woher weiß er, dass dieser nicht von einem bösartigen Angreifer stammt? PGP und dessen freies Pendant GnuPG setzen dafür bisher auf ein Web-of-Trust, der konkurrierende S/MIME-Standard auf zentrale Zertifizierungsstellen. Beide Ansätze hält Google für ungeeignet.

Missbrauch nicht geheim halten

Inhalt:
  1. Mailverschlüsselung: Googles neues System zur Schlüsselverwaltung
  2. Öffentliche Kontrolle

Google hat nun Grundzüge eines neuen Ansatzes vorgestellt. Dabei orientiert man sich teilweise an Ideen des Systems Certificate Transparency, das ebenfalls von Google entwickelt wurde und die Sicherheit von HTTPS-Zertifikaten verbessern soll. Die Grundidee: Es gibt zwar weiterhin Zertifizierungsstellen, denen ein Nutzer vertrauen muss, aber wenn diese ihre Macht missbrauchen und falsche Schlüssel in Umlauf bringen, können sie das nicht geheim halten.

Googles Konzept sieht vor, dass es Schlüsselverzeichnisse gibt, die naheliegenderweise vom Anbieter der Mailadresse verwaltet werden können. Theoretisch kann ein solches Schlüsselverzeichnis jedoch auch von Dritten betrieben werden. Ein Nutzer Bob, der die Mailverschlüsselung nutzt, würde seinen öffentlichen Schlüssel an ein Schlüsselverzeichnis senden. Dabei muss der Mailprovider von Bob bestätigen, dass es sich um eine Registrierung von Bob handelt, hierfür muss der Mailanbieter ein Protokoll unterstützen, das Google bisher nicht näher erläutert.

Logbuch ähnlich wie Bitcoin

Die zentrale Idee: Das Schlüsselverzeichnis ist öffentlich und es handelt sich um ein endloses Logbuch. Das bedeutet: Informationen können nur hinzugefügt, jedoch keine daraus gelöscht werden, zumindest nicht ohne dass es anderen auffällt. Die bislang populärste Anwendung eines solchen endlosen Logbuchs ist die Blockchain der Kryptowährung Bitcoin.

Stellenmarkt
  1. IT-Projektleiter (m/w/d)
    Kassenärztliche Vereinigung Baden-Württemberg, Karlsruhe
  2. Inhouse IT Consultant (w/m/d) SAP SuccessFactors Recruiting
    dmTECH GmbH, Karlsruhe
Detailsuche

Falls Alice nun Bob eine Mail schicken möchte, ruft ihr Mailprogramm oder das entsprechende Browserplugin dessen öffentlichen Schlüssel von dessen Schlüsselverzeichnis ab. Zusätzlich erhält Alice einen signierten Hash des Schlüsselverzeichnisses, der den aktuellen Status des Schlüsselverzeichnisses bestätigt. Diesen schickt Alice in der Mail an Bob mit.

Wenn Bob die Mail empfängt, kann er seinerseits den signierten Hash des Schlüsselverzeichnisses mit dem aktuellen Stand vergleichen. Entweder der Hash ist identisch oder er verweist auf einen älteren Stand des Schlüsselverzeichnisses. In jedem Fall kann Bob erkennen, falls der signierte Hash eine manipulierte Version des Schlüsselverzeichnisses repräsentiert. In diesem Fall wüsste Bob, dass ein Angriff stattgefunden hat.

Signierte Hashes decken Manipulation auf

Doch die signierten Hashes werden noch an weitere Personen verteilt. So schickt Alice nicht nur den signierten Hash von Bobs Schlüsselverzeichnis mit, sondern weitere Hashes von anderen Schlüsselverzeichnissen, deren Informationen sie nutzt. Die Idee dabei: Ein Versuch einer Manipulation würde in jedem Fall auffallen. Wenn Bob beim Versuch, den von Alice erhaltenen signierten Hash zu prüfen, sein Schlüsselverzeichnis nicht erreicht, würde er diesen Hash künftig ebenfalls in anderen Mails mitschicken.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Öffentliche Kontrolle 
  1. 1
  2. 2
  3.  


Apollo13 01. Sep 2014

Beim 08/15-User nicht, aber dann kannst Du Dir auch die Verschlüsselung sparen.

Moe479 01. Sep 2014

ja dann braucht man nur noch wenige zertifizierungstellen komprommitieren um an alles...

Anonymer Nutzer 01. Sep 2014

In deinem Beitrag war Kryptographie aber garnicht das Thema. Im Artikel geht es um End-to...

hyperlord 29. Aug 2014

Inwiefern ist das jetzt was anderes als z.B. der GMX Spam- bzw. Virenscanner? Da werden...



Aktuell auf der Startseite von Golem.de
Optibike
E-Bike mit 480 km Reichweite kostet 17.000 Euro

Das E-Bike Optibike R22 Everest setzt mit seinen zwei Akkus auf Reichweite.

Optibike: E-Bike mit 480 km Reichweite kostet 17.000 Euro
Artikel
  1. Krypto-Kriminalität: Behörden fahnden nach Onecoin-Betrügerin
    Krypto-Kriminalität
    Behörden fahnden nach Onecoin-Betrügerin

    Deutsche und internationale Behörden suchen nach den Hintermännern und -frauen von Onecoin. Der Schaden durch Betrug mit der vermeintlichen Kryptowährung geht in die Milliarden.

  2. Hassrede: Bayern will soziale Netzwerke bestrafen
    Hassrede
    Bayern will soziale Netzwerke bestrafen

    Der bayrische Justizminister fordert, bei der Verbreitung von Hassrede auch die Betreiber von sozialen Medien stärker zur Verantwortung zu ziehen.

  3. Prehistoric Planet: Danke, Apple, für so grandiose Dinosaurier!
    Prehistoric Planet
    Danke, Apple, für so grandiose Dinosaurier!

    Musik von Hans Zimmer, dazu David Attenborough als Sprecher: Apples Prehistoric Planet hat einen Kindheitstraum zum Leben erweckt.
    Ein IMHO von Marc Sauter

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Samsung 870 QVO 1 TB 79€ • Prime Video: Filme leihen für 0,99€ • Alternate (u. a. Recaro Rae Essential 429€) • Gigabyte RTX 3080 12 GB ab 1.024€ • Mindstar (u. a. AMD Ryzen 5 5600 179€, Palit RTX 3070 GamingPro 669€) • SanDisk Ultra microSDXC 256 GB ab 14,99€ • Sackboy 19,99€ [Werbung]
    •  /