Abo
  • Services:

Mailverschlüsselung: Googles neues System zur Schlüsselverwaltung

Google hat ein Protokoll zur Verteilung der öffentlichen Schlüssel für sein PGP-basiertes Verschlüsselungsplugin End-to-End vorgestellt. Bisher setzen Mailverschlüsselungssysteme entweder auf ein Web-of-Trust oder auf zentrale Zertifizierungsstellen - beides ist wenig überzeugend.

Artikel veröffentlicht am , Hanno Böck
Google macht sich Gedanken über die Schlüsselverwaltung von End-to-End.
Google macht sich Gedanken über die Schlüsselverwaltung von End-to-End. (Bild: Screenshot Golem.de)

Mit dem Browserplugin End-to-End will Google künftig die Verschlüsselung von E-Mails voranbringen und wird dabei seit kurzem von Yahoo unterstützt. Eine große Herausforderung bei allen Lösungen für verschlüsselte Mails ist die Verteilung und Verwaltung der Schlüssel: Woher bekommt der Nutzer den öffentlichen Schlüssel seines Kommunikationspartners und woher weiß er, dass dieser nicht von einem bösartigen Angreifer stammt? PGP und dessen freies Pendant GnuPG setzen dafür bisher auf ein Web-of-Trust, der konkurrierende S/MIME-Standard auf zentrale Zertifizierungsstellen. Beide Ansätze hält Google für ungeeignet.

Missbrauch nicht geheim halten

Inhalt:
  1. Mailverschlüsselung: Googles neues System zur Schlüsselverwaltung
  2. Öffentliche Kontrolle

Google hat nun Grundzüge eines neuen Ansatzes vorgestellt. Dabei orientiert man sich teilweise an Ideen des Systems Certificate Transparency, das ebenfalls von Google entwickelt wurde und die Sicherheit von HTTPS-Zertifikaten verbessern soll. Die Grundidee: Es gibt zwar weiterhin Zertifizierungsstellen, denen ein Nutzer vertrauen muss, aber wenn diese ihre Macht missbrauchen und falsche Schlüssel in Umlauf bringen, können sie das nicht geheim halten.

Googles Konzept sieht vor, dass es Schlüsselverzeichnisse gibt, die naheliegenderweise vom Anbieter der Mailadresse verwaltet werden können. Theoretisch kann ein solches Schlüsselverzeichnis jedoch auch von Dritten betrieben werden. Ein Nutzer Bob, der die Mailverschlüsselung nutzt, würde seinen öffentlichen Schlüssel an ein Schlüsselverzeichnis senden. Dabei muss der Mailprovider von Bob bestätigen, dass es sich um eine Registrierung von Bob handelt, hierfür muss der Mailanbieter ein Protokoll unterstützen, das Google bisher nicht näher erläutert.

Logbuch ähnlich wie Bitcoin

Die zentrale Idee: Das Schlüsselverzeichnis ist öffentlich und es handelt sich um ein endloses Logbuch. Das bedeutet: Informationen können nur hinzugefügt, jedoch keine daraus gelöscht werden, zumindest nicht ohne dass es anderen auffällt. Die bislang populärste Anwendung eines solchen endlosen Logbuchs ist die Blockchain der Kryptowährung Bitcoin.

Stellenmarkt
  1. Alfred Kärcher SE & Co. KG, Winnenden
  2. DEKRA SE, Stuttgart

Falls Alice nun Bob eine Mail schicken möchte, ruft ihr Mailprogramm oder das entsprechende Browserplugin dessen öffentlichen Schlüssel von dessen Schlüsselverzeichnis ab. Zusätzlich erhält Alice einen signierten Hash des Schlüsselverzeichnisses, der den aktuellen Status des Schlüsselverzeichnisses bestätigt. Diesen schickt Alice in der Mail an Bob mit.

Wenn Bob die Mail empfängt, kann er seinerseits den signierten Hash des Schlüsselverzeichnisses mit dem aktuellen Stand vergleichen. Entweder der Hash ist identisch oder er verweist auf einen älteren Stand des Schlüsselverzeichnisses. In jedem Fall kann Bob erkennen, falls der signierte Hash eine manipulierte Version des Schlüsselverzeichnisses repräsentiert. In diesem Fall wüsste Bob, dass ein Angriff stattgefunden hat.

Signierte Hashes decken Manipulation auf

Doch die signierten Hashes werden noch an weitere Personen verteilt. So schickt Alice nicht nur den signierten Hash von Bobs Schlüsselverzeichnis mit, sondern weitere Hashes von anderen Schlüsselverzeichnissen, deren Informationen sie nutzt. Die Idee dabei: Ein Versuch einer Manipulation würde in jedem Fall auffallen. Wenn Bob beim Versuch, den von Alice erhaltenen signierten Hash zu prüfen, sein Schlüsselverzeichnis nicht erreicht, würde er diesen Hash künftig ebenfalls in anderen Mails mitschicken.

Öffentliche Kontrolle 
  1. 1
  2. 2
  3.  


Anzeige
Spiele-Angebote
  1. 32,99€
  2. (-70%) 17,99€
  3. 32,49€
  4. 49,86€

Apollo13 01. Sep 2014

Beim 08/15-User nicht, aber dann kannst Du Dir auch die Verschlüsselung sparen.

Moe479 01. Sep 2014

ja dann braucht man nur noch wenige zertifizierungstellen komprommitieren um an alles...

Anonymer Nutzer 01. Sep 2014

In deinem Beitrag war Kryptographie aber garnicht das Thema. Im Artikel geht es um End-to...

hyperlord 29. Aug 2014

Inwiefern ist das jetzt was anderes als z.B. der GMX Spam- bzw. Virenscanner? Da werden...

PampelHampel 29. Aug 2014

Müsste man dann eben für jede mail oder so nen cent für die Miner zahlen. Evtl liese sich...


Folgen Sie uns
       


Huawei zu Spionagevorwürfen im Golem.de Interview

Der deutsche Pressesprecher von Huawei erklärt den Umgang mit Spionagevorwürfen.

Huawei zu Spionagevorwürfen im Golem.de Interview Video aufrufen
Geforce GTX 1660 im Test: Für 230 Euro eine faire Sache
Geforce GTX 1660 im Test
Für 230 Euro eine faire Sache

Die Geforce GTX 1660 - ohne Ti am Ende - rechnet so flott wie AMDs Radeon RX 590 und kostet in etwa das Gleiche. Der klare Vorteil der Nvidia-Grafikkarte ist die drastisch geringere Leistungsaufnahme.

  1. Nvidia Turing OBS unterstützt Encoder der Geforce RTX
  2. Geforce GTX 1660 Ti im Test Nvidia kann Turing auch günstig(er)
  3. Turing-Grafikkarten Nvidias Geforce 1660/1650 erscheint im März

Uploadfilter: Voss stellt Existenz von Youtube infrage
Uploadfilter
Voss stellt Existenz von Youtube infrage

Gut zwei Wochen vor der endgültigen Abstimmung über Uploadfilter stehen sich Befürworter und Gegner weiter unversöhnlich gegenüber. Verhandlungsführer Voss hat offenbar kein Problem damit, wenn es Plattformen wie Youtube nicht mehr gäbe. Wissenschaftler sehen hingegen Gefahren durch die Reform.

  1. Uploadfilter Koalition findet ihren eigenen Kompromiss nicht so gut
  2. Uploadfilter Konservative EVP will Abstimmung doch nicht vorziehen
  3. Uploadfilter Spontane Demos gegen Schnellvotum angekündigt

Galaxy S10+ im Test: Top und teuer
Galaxy S10+ im Test
Top und teuer

Mit dem Galaxy S10+ bringt Samsung erstmals eine Dreifachkamera in eines seiner Top-Smartphones. Die Entwicklung, die mit dem Galaxy A7 begann, hat sich gelohnt: Das Galaxy S10+ macht sehr gute Bilder, beim Preis müssen wir aber schlucken.
Ein Test von Tobias Költzsch

  1. Samsung Gesichtsentsperrung des Galaxy S10 lässt sich austricksen
  2. Samsung Galaxy S10 Europäer erhalten weiter langsameren Prozessor
  3. Galaxy S10 im Hands on Samsung bringt vier neue Galaxy-S10-Modelle

    •  /