OPENPGPKEY: Domain Name System speichert PGP-Schlüssel

Der Mailanbieter Mail.de unterstützt ein neues Verfahren, um PGP-Schlüssel im Domain Name System abzulegen. Praktisch nutzen lässt es sich aber noch nicht - und es gibt Zweifel, wie sinnvoll der neue Standard ist.

Artikel veröffentlicht am , Hanno Böck
Eine Einbindung von PGP-Schlüsseln im DNS bei Mail.de.
Eine Einbindung von PGP-Schlüsseln im DNS bei Mail.de. (Bild: mail.de)

Der E-Mail-Anbieter Mail.de unterstützt jetzt eine neue Technologie, bei der die PGP-Schlüssel im DNS-Server abgelegt werden. Die neue Technik mit dem Namen Openpgpkey liegt zurzeit bei der IETF als Entwurf vor und wird in der DANE-Arbeitsgruppe diskutiert. Federführend entwickelt hat den neuen Standard der Red-Hat-Entwickler Paul Wouters. DANE bezeichnet verschiedene Standards, die alle darauf abzielen, Informationen über kryptographische Schlüssel im DNS abzulegen und via DNSSEC abzusichern. Ähnliche Bemühungen gibt es bereits für TLS- und SSH-Schlüssel.

Openpgpkey und PKA wollen dasselbe

Inhalt:
  1. OPENPGPKEY: Domain Name System speichert PGP-Schlüssel
  2. Zukunft von DNSSEC zweifelhaft

Die Überprüfung und Verteilung von kryptographischen Schlüsseln ist einer der größten Herausforderungen bei verschlüsselten Nachrichtensystemen: Woher bekommt ein Nutzer den Schlüssel eines Kommunikationspartners, und wie kann er anschließend prüfen, dass dieser Schlüssel auch wirklich der richtige ist? PGP und dessen freies Pendant GnuPG setzten dafür klassisch auf Keyserver, auf die jeder nach Belieben Schlüssel hochladen kann. Um die Echtheit zu prüfen, nutzten PGP-basierte Lösungen das sogenannte Web-of-Trust. Doch all das ist komplex und fehleranfällig, weshalb es zuletzt verschiedene Bemühungen gab, die Schlüsselsuche und -prüfung zu vereinfachen.

Die Idee, PGP-Schlüssel via DNS abzulegen, ist nicht neu. Bereits 2006 hatte GnuPG-Entwickler Werner Koch ein Verfahren namens PKA (Public Key Association) vorgelegt, bei dem Fingerprints und weitere Informationen über den Schlüssel im DNS abgelegt werden. Erst vor kurzem hatte Koch einige Updates an PKA vorgenommen und eine Möglichkeit geschaffen, gleich den ganzen Key via DNS abzulegen. PKA wird von GnuPG direkt unterstützt, genutzt wird es allerdings bislang kaum.

PKA und Openpgpkey erfüllen im Grunde denselben Zweck, sie sind technisch nur unterschiedlich umgesetzt. Warum mit Openpgpkey ein neuer Standard entwickelt wurde, der letztendlich dieselbe Funktionalität wie PKA liefert, wird nicht ganz klar. GnuPG-Entwickler Werner Koch zeigte sich auf Nachfrage selbst verwundert über die Entwicklung. Wouters habe ihm mitgeteilt, dass er PKA zu kompliziert finde und deshalb einen neuen Standard mit anderen DNS-Records entwickelt habe. Koch wiederum betonte, dass er keine Pläne habe, die Unterstützung für PKA zu beenden.

Bislang unterstützt kein Programm die neue Technik

Stellenmarkt
  1. Referent für Projektmanagement mit Fokus Dokumentenmanagement (m/w/d)
    TenneT TSO GmbH, Bayreuth
  2. Netzwerkadministrator im Leitsystemumfeld (w/m/d)
    Netze BW GmbH, Stuttgart
Detailsuche

Wirklich nutzen lässt sich Openpgpkey noch nicht. Bislang unterstützt kein Mailprogramm und kein Plugin das neue System. Es ist auch unklar, wie dies überhaupt umgesetzt werden soll, denn die Echtheitsprüfung basiert auf DNSSEC. Die Prüfung von DNSSEC-Signaturen erfolgt üblicherweise auf dem DNS-Server. Normalerweise betreiben Desktop-Betriebssysteme jedoch keinen eigenen DNS-Resolver, sondern nutzen den des Internet-Zugangsproviders. Damit sich DNSSEC-basierte Systeme überhaupt sinnvoll nutzen lassen, müsste sich auf dem lokalen System ein DNS-Resolver befinden. Den könnte entweder das Betriebssystem oder im Fall von PGP-Keys das Mailprogramm selbst bereitstellen.

Das von GnuPG genutzte Konkurrenzsystem PKA setzt zurzeit ebenfalls nicht auf die Echtheitsprüfung von DNSSEC. Das war zwar 2006 ursprünglich Kochs Plan, doch heute sieht er es lediglich als einfaches Verfahren, um den Schlüssel zu finden und herunterzuladen. Die Echtheitsprüfung soll weiterhin über andere Wege mittels Schlüssel-Fingerprints stattfinden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Zukunft von DNSSEC zweifelhaft 
  1. 1
  2. 2
  3.  


Aktuell auf der Startseite von Golem.de
Frommer Legal
Große Abmahnwelle wegen Filesharing in Deutschland

Mehrere Zehntausend Menschen suchen derzeit Hilfe bei einer Anwaltskanzlei, weil sie wegen angeblich illegalem Filesharing abgemahnt wurden.

Frommer Legal: Große Abmahnwelle wegen Filesharing in Deutschland
Artikel
  1. Ärger um Drachenschanze: Dorf verhängt Sonderverbote wegen umstrittenem Youtuber
    Ärger um Drachenschanze
    Dorf verhängt Sonderverbote wegen umstrittenem Youtuber

    Seit Jahren ist das Dorf Altschauerberg Schauplatz von Provokationen gegen den Youtuber Rainer Winkler. Jetzt sollen neue Gesetze die Ordnung wiederherstellen.

  2. Kriminalität: Dresdnerin wegen Mordauftrag im Darknet angeklagt
    Kriminalität
    Dresdnerin wegen Mordauftrag im Darknet angeklagt

    Eine 41-Jährige aus Dresden ist angeklagt, im Darknet einen Mord in Auftrag gegeben zu haben. Für die Ermordung der neuen Freundin ihres Ex-Mannes soll sie 0,2 Bitcoin geboten haben.

  3. Kim Schmitz' Lebensgeschichte: Die Dotcom-Blase
    Kim Schmitz' Lebensgeschichte
    Die Dotcom-Blase

    Glaubt man seiner Autobiografie, wollte Kim Schmitz als Jugendlicher einfach nur raus aus seinem Leben. Also schuf er sich ein neues: als Kim Dotcom.
    Von Stephan Skrobisch

barforbarfoo 12. Mär 2015

Wo ist das beschrieben? Wie validieren dann die Clients? Kohle für Zertifikate ist nicht...

ikhaya 12. Mär 2015

Genau das soll dieser Standard auch bewirken. Das kann der Mailclient selbst...

ikhaya 12. Mär 2015

"Verschlüsseln auf Teufel komm raus ohne Rücksicht auf Verluste" Wenn ein Bruce Schneier...

ikhaya 12. Mär 2015

"- der TXT-Record ist nur eine temporäre Lösung, der eigene RR-Type (61) ist auf Dauer...

PHPGangsta 12. Mär 2015

Korrekt, es ist TYPE61 (oder OPENPGPKEY). Der aktuelle IETF-Draft ist hier einzusehen...


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Amazon Prime Day nur noch heute • SSD (u. a. Samsung 980 Pro 1TB PCIe 4.0 140,19€) • Gaming-Laptops von Razer & MSI • Crucial 32GB Kit DDR4-4000 269,79€ • 30% auf Warehouse • Primetime bei Saturn (u. a. Switch Lite 166,24€) • Gaming-Chairs • Gönn dir Dienstag [Werbung]
    •  /