Abo
  • IT-Karriere:

OPENPGPKEY: Domain Name System speichert PGP-Schlüssel

Der Mailanbieter Mail.de unterstützt ein neues Verfahren, um PGP-Schlüssel im Domain Name System abzulegen. Praktisch nutzen lässt es sich aber noch nicht - und es gibt Zweifel, wie sinnvoll der neue Standard ist.

Artikel veröffentlicht am , Hanno Böck
Eine Einbindung von PGP-Schlüsseln im DNS bei Mail.de.
Eine Einbindung von PGP-Schlüsseln im DNS bei Mail.de. (Bild: mail.de)

Der E-Mail-Anbieter Mail.de unterstützt jetzt eine neue Technologie, bei der die PGP-Schlüssel im DNS-Server abgelegt werden. Die neue Technik mit dem Namen Openpgpkey liegt zurzeit bei der IETF als Entwurf vor und wird in der DANE-Arbeitsgruppe diskutiert. Federführend entwickelt hat den neuen Standard der Red-Hat-Entwickler Paul Wouters. DANE bezeichnet verschiedene Standards, die alle darauf abzielen, Informationen über kryptographische Schlüssel im DNS abzulegen und via DNSSEC abzusichern. Ähnliche Bemühungen gibt es bereits für TLS- und SSH-Schlüssel.

Openpgpkey und PKA wollen dasselbe

Inhalt:
  1. OPENPGPKEY: Domain Name System speichert PGP-Schlüssel
  2. Zukunft von DNSSEC zweifelhaft

Die Überprüfung und Verteilung von kryptographischen Schlüsseln ist einer der größten Herausforderungen bei verschlüsselten Nachrichtensystemen: Woher bekommt ein Nutzer den Schlüssel eines Kommunikationspartners, und wie kann er anschließend prüfen, dass dieser Schlüssel auch wirklich der richtige ist? PGP und dessen freies Pendant GnuPG setzten dafür klassisch auf Keyserver, auf die jeder nach Belieben Schlüssel hochladen kann. Um die Echtheit zu prüfen, nutzten PGP-basierte Lösungen das sogenannte Web-of-Trust. Doch all das ist komplex und fehleranfällig, weshalb es zuletzt verschiedene Bemühungen gab, die Schlüsselsuche und -prüfung zu vereinfachen.

Die Idee, PGP-Schlüssel via DNS abzulegen, ist nicht neu. Bereits 2006 hatte GnuPG-Entwickler Werner Koch ein Verfahren namens PKA (Public Key Association) vorgelegt, bei dem Fingerprints und weitere Informationen über den Schlüssel im DNS abgelegt werden. Erst vor kurzem hatte Koch einige Updates an PKA vorgenommen und eine Möglichkeit geschaffen, gleich den ganzen Key via DNS abzulegen. PKA wird von GnuPG direkt unterstützt, genutzt wird es allerdings bislang kaum.

PKA und Openpgpkey erfüllen im Grunde denselben Zweck, sie sind technisch nur unterschiedlich umgesetzt. Warum mit Openpgpkey ein neuer Standard entwickelt wurde, der letztendlich dieselbe Funktionalität wie PKA liefert, wird nicht ganz klar. GnuPG-Entwickler Werner Koch zeigte sich auf Nachfrage selbst verwundert über die Entwicklung. Wouters habe ihm mitgeteilt, dass er PKA zu kompliziert finde und deshalb einen neuen Standard mit anderen DNS-Records entwickelt habe. Koch wiederum betonte, dass er keine Pläne habe, die Unterstützung für PKA zu beenden.

Bislang unterstützt kein Programm die neue Technik

Stellenmarkt
  1. JENOPTIK AG, Jena
  2. BWI GmbH, Bonn / mehrere Standorte

Wirklich nutzen lässt sich Openpgpkey noch nicht. Bislang unterstützt kein Mailprogramm und kein Plugin das neue System. Es ist auch unklar, wie dies überhaupt umgesetzt werden soll, denn die Echtheitsprüfung basiert auf DNSSEC. Die Prüfung von DNSSEC-Signaturen erfolgt üblicherweise auf dem DNS-Server. Normalerweise betreiben Desktop-Betriebssysteme jedoch keinen eigenen DNS-Resolver, sondern nutzen den des Internet-Zugangsproviders. Damit sich DNSSEC-basierte Systeme überhaupt sinnvoll nutzen lassen, müsste sich auf dem lokalen System ein DNS-Resolver befinden. Den könnte entweder das Betriebssystem oder im Fall von PGP-Keys das Mailprogramm selbst bereitstellen.

Das von GnuPG genutzte Konkurrenzsystem PKA setzt zurzeit ebenfalls nicht auf die Echtheitsprüfung von DNSSEC. Das war zwar 2006 ursprünglich Kochs Plan, doch heute sieht er es lediglich als einfaches Verfahren, um den Schlüssel zu finden und herunterzuladen. Die Echtheitsprüfung soll weiterhin über andere Wege mittels Schlüssel-Fingerprints stattfinden.

Zukunft von DNSSEC zweifelhaft 
  1. 1
  2. 2
  3.  


Anzeige
Top-Angebote
  1. (u. a. LG OLED 65E8LLA für 1.777€ statt 2.077€ im Vergleich)
  2. (u. a. Days Gone - Special Edition für 39€ und Forza Horizon 3 für 15€)
  3. 139€
  4. (u. a. AMD Ryzen + ASUS-X570-Mainboard kaufen und bis zu 125€ sparen)

barforbarfoo 12. Mär 2015

Wo ist das beschrieben? Wie validieren dann die Clients? Kohle für Zertifikate ist nicht...

ikhaya 12. Mär 2015

Genau das soll dieser Standard auch bewirken. Das kann der Mailclient selbst...

ikhaya 12. Mär 2015

"Verschlüsseln auf Teufel komm raus ohne Rücksicht auf Verluste" Wenn ein Bruce Schneier...

ikhaya 12. Mär 2015

"- der TXT-Record ist nur eine temporäre Lösung, der eigene RR-Type (61) ist auf Dauer...

PHPGangsta 12. Mär 2015

Korrekt, es ist TYPE61 (oder OPENPGPKEY). Der aktuelle IETF-Draft ist hier einzusehen...


Folgen Sie uns
       


Nokia 2720 Flip - Hands on

Mit dem Nokia 2720 Flip hat HMD Global ein neues Klapphandy vorgestellt. Dank dem Betriebssystem KaiOS lassen sich auch Apps wie Google Maps oder Whatsapp verwenden.

Nokia 2720 Flip - Hands on Video aufrufen
Ryzen 7 3800X im Test: Der schluckt zu viel
Ryzen 7 3800X im Test
"Der schluckt zu viel"

Minimal mehr Takt, vor allem aber ein höheres Power-Budget für gestiegene Frequenzen unter Last: Das war unsere Vorstellung vor dem Test des Ryzen 7 3800X. Doch die Achtkern-CPU überrascht negativ, weil AMD es beim günstigeren 3700X bereits ziemlich gut meinte.
Ein Test von Marc Sauter

  1. Agesa 1003abba Microcode-Update taktet Ryzen 3000 um 50 MHz höher
  2. Agesa 1003abb Viele ältere Platinen erhalten aktuelles UEFI für Ryzen 3000
  3. Ryzen 5 3400G und Ryzen 3 3200G im Test Picasso passt

Elektrautos auf der IAA: Die Gezeigtwagen-Messe
Elektrautos auf der IAA
Die Gezeigtwagen-Messe

IAA 2019 Viele klassische Hersteller fehlen bei der IAA oder zeigen Autos, die man längst gesehen hat. Bei den Elektroautos bekommen alltagstaugliche Modelle wie VW ID.3, Opel Corsa E und Honda E viel Aufmerksamkeit.
Ein Bericht von Dirk Kunde

  1. Elektromobilität Stromwirtschaft will keine Million öffentlicher Ladesäulen
  2. Umfrage Kunden fühlen sich vor Elektroautokauf schlecht beraten
  3. Batterieprobleme Auslieferung des e.Go verzögert sich

Astronomie: K2-18b ist weder eine zweite Erde noch super
Astronomie
K2-18b ist weder eine zweite Erde noch super

Die Realität sieht anders aus, als manche Überschrift vermuten lässt. Die neue Entdeckung von Wasser auf einem Exoplaneten deutet nicht auf Leben hin, dafür aber auf Probleme im Wissenschaftsbetrieb.
Von Frank Wunderlich-Pfeiffer

  1. Interview Heino Falcke "Wir machen Wettermodelle für schwarze Löcher"

    •  /