Abo
  • Services:
Anzeige
Eine Einbindung von PGP-Schlüsseln im DNS bei Mail.de.
Eine Einbindung von PGP-Schlüsseln im DNS bei Mail.de. (Bild: mail.de)

OPENPGPKEY: Domain Name System speichert PGP-Schlüssel

Eine Einbindung von PGP-Schlüsseln im DNS bei Mail.de.
Eine Einbindung von PGP-Schlüsseln im DNS bei Mail.de. (Bild: mail.de)

Der Mailanbieter Mail.de unterstützt ein neues Verfahren, um PGP-Schlüssel im Domain Name System abzulegen. Praktisch nutzen lässt es sich aber noch nicht - und es gibt Zweifel, wie sinnvoll der neue Standard ist.

Anzeige

Der E-Mail-Anbieter Mail.de unterstützt jetzt eine neue Technologie, bei der die PGP-Schlüssel im DNS-Server abgelegt werden. Die neue Technik mit dem Namen Openpgpkey liegt zurzeit bei der IETF als Entwurf vor und wird in der DANE-Arbeitsgruppe diskutiert. Federführend entwickelt hat den neuen Standard der Red-Hat-Entwickler Paul Wouters. DANE bezeichnet verschiedene Standards, die alle darauf abzielen, Informationen über kryptographische Schlüssel im DNS abzulegen und via DNSSEC abzusichern. Ähnliche Bemühungen gibt es bereits für TLS- und SSH-Schlüssel.

Openpgpkey und PKA wollen dasselbe

Die Überprüfung und Verteilung von kryptographischen Schlüsseln ist einer der größten Herausforderungen bei verschlüsselten Nachrichtensystemen: Woher bekommt ein Nutzer den Schlüssel eines Kommunikationspartners, und wie kann er anschließend prüfen, dass dieser Schlüssel auch wirklich der richtige ist? PGP und dessen freies Pendant GnuPG setzten dafür klassisch auf Keyserver, auf die jeder nach Belieben Schlüssel hochladen kann. Um die Echtheit zu prüfen, nutzten PGP-basierte Lösungen das sogenannte Web-of-Trust. Doch all das ist komplex und fehleranfällig, weshalb es zuletzt verschiedene Bemühungen gab, die Schlüsselsuche und -prüfung zu vereinfachen.

Die Idee, PGP-Schlüssel via DNS abzulegen, ist nicht neu. Bereits 2006 hatte GnuPG-Entwickler Werner Koch ein Verfahren namens PKA (Public Key Association) vorgelegt, bei dem Fingerprints und weitere Informationen über den Schlüssel im DNS abgelegt werden. Erst vor kurzem hatte Koch einige Updates an PKA vorgenommen und eine Möglichkeit geschaffen, gleich den ganzen Key via DNS abzulegen. PKA wird von GnuPG direkt unterstützt, genutzt wird es allerdings bislang kaum.

PKA und Openpgpkey erfüllen im Grunde denselben Zweck, sie sind technisch nur unterschiedlich umgesetzt. Warum mit Openpgpkey ein neuer Standard entwickelt wurde, der letztendlich dieselbe Funktionalität wie PKA liefert, wird nicht ganz klar. GnuPG-Entwickler Werner Koch zeigte sich auf Nachfrage selbst verwundert über die Entwicklung. Wouters habe ihm mitgeteilt, dass er PKA zu kompliziert finde und deshalb einen neuen Standard mit anderen DNS-Records entwickelt habe. Koch wiederum betonte, dass er keine Pläne habe, die Unterstützung für PKA zu beenden.

Bislang unterstützt kein Programm die neue Technik

Wirklich nutzen lässt sich Openpgpkey noch nicht. Bislang unterstützt kein Mailprogramm und kein Plugin das neue System. Es ist auch unklar, wie dies überhaupt umgesetzt werden soll, denn die Echtheitsprüfung basiert auf DNSSEC. Die Prüfung von DNSSEC-Signaturen erfolgt üblicherweise auf dem DNS-Server. Normalerweise betreiben Desktop-Betriebssysteme jedoch keinen eigenen DNS-Resolver, sondern nutzen den des Internet-Zugangsproviders. Damit sich DNSSEC-basierte Systeme überhaupt sinnvoll nutzen lassen, müsste sich auf dem lokalen System ein DNS-Resolver befinden. Den könnte entweder das Betriebssystem oder im Fall von PGP-Keys das Mailprogramm selbst bereitstellen.

Das von GnuPG genutzte Konkurrenzsystem PKA setzt zurzeit ebenfalls nicht auf die Echtheitsprüfung von DNSSEC. Das war zwar 2006 ursprünglich Kochs Plan, doch heute sieht er es lediglich als einfaches Verfahren, um den Schlüssel zu finden und herunterzuladen. Die Echtheitsprüfung soll weiterhin über andere Wege mittels Schlüssel-Fingerprints stattfinden.

Zukunft von DNSSEC zweifelhaft 

eye home zur Startseite
barforbarfoo 12. Mär 2015

Wo ist das beschrieben? Wie validieren dann die Clients? Kohle für Zertifikate ist nicht...

ikhaya 12. Mär 2015

Genau das soll dieser Standard auch bewirken. Das kann der Mailclient selbst...

ikhaya 12. Mär 2015

"Verschlüsseln auf Teufel komm raus ohne Rücksicht auf Verluste" Wenn ein Bruce Schneier...

ikhaya 12. Mär 2015

"- der TXT-Record ist nur eine temporäre Lösung, der eigene RR-Type (61) ist auf Dauer...

PHPGangsta 12. Mär 2015

Korrekt, es ist TYPE61 (oder OPENPGPKEY). Der aktuelle IETF-Draft ist hier einzusehen...



Anzeige

Stellenmarkt
  1. Bundeskriminalamt, Meckenheim bei Bonn, Wiesbaden
  2. Landeshauptstadt München, München
  3. PSI Logistics GmbH, Aschaffenburg, Dortmund
  4. State Street Bank International GmbH, Frankfurt


Anzeige
Blu-ray-Angebote
  1. 79,99€ (Vorbesteller-Preisgarantie)
  2. 24,99€ (Vorbesteller-Preisgarantie)
  3. (u. a. Blade Runner Blu-ray 8,99€, The Equalizer Blu-ray 6,66€)

Folgen Sie uns
       


  1. Unternehmen

    1&1 Versatel bietet Gigabit für Frankfurt

  2. Microsoft

    Xbox One emuliert 13 Xbox-Klassiker

  3. DMT Bonding

    Telekom probiert 1 GBit/s ohne Glasfaser aus

  4. Telekom-Software

    Cisco kauft Broadsoft für knapp 2 Milliarden US-Dollar

  5. Pubg

    Die blaue Zone verursacht künftig viel mehr Schaden

  6. FSFE

    "War das Scheitern von Limux unsere Schuld?"

  7. Code-Audit

    Kaspersky wirbt mit Transparenzinitiative um Vertrauen

  8. iOS 11+1+2=23

    Apple-Taschenrechner versagt bei Kopfrechenaufgaben

  9. Purism Librem 13 im Test

    Freiheit hat ihren Preis

  10. Andy Rubin

    Drastischer Preisnachlass beim Essential Phone



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
APFS in High Sierra 10.13 im Test: Apple hat die MacOS-Dateisystem-Werkzeuge vergessen
APFS in High Sierra 10.13 im Test
Apple hat die MacOS-Dateisystem-Werkzeuge vergessen
  1. MacOS 10.13 Apple gibt High Sierra frei
  2. MacOS 10.13 High Sierra Wer eine SSD hat, muss auf APFS umstellen

Elex im Test: Schroffe Schale und postapokalyptischer Kern
Elex im Test
Schroffe Schale und postapokalyptischer Kern

Xperia Touch im Test: Sonys coolem Android-Projektor fehlt das Killerfeature
Xperia Touch im Test
Sonys coolem Android-Projektor fehlt das Killerfeature
  1. Roboter Sony lässt Aibo als Alexa-Konkurrenten wieder auferstehen
  2. Sony Xperia XZ1 Compact im Test Alternativlos für Freunde kleiner Smartphones
  3. Sony Xperia XZ1 und XZ1 Compact sind erhältlich

  1. Re: NSA rät ab => muss gut sein

    Apfelbrot | 01:50

  2. 4-2

    Stegorix | 01:47

  3. Re: Bonding von 8 Leitungen?

    Sharra | 01:33

  4. Re: Was, wie bitte?

    Livingston | 01:28

  5. Re: Was man hätte tun müssen damit es nicht scheitert

    +2484 | 01:27


  1. 18:46

  2. 17:54

  3. 17:38

  4. 16:38

  5. 16:28

  6. 15:53

  7. 15:38

  8. 15:23


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel