Abo
  • Services:
Anzeige
Auf der OpenPGP.conf in Köln wird über die Zukunft der Mailverschlüsselung diskutiert.
Auf der OpenPGP.conf in Köln wird über die Zukunft der Mailverschlüsselung diskutiert. (Bild: OpenPGP.conf)

Web Key Service: OpenPGP-Schlüssel über HTTPS verteilen

Auf der OpenPGP.conf in Köln wird über die Zukunft der Mailverschlüsselung diskutiert.
Auf der OpenPGP.conf in Köln wird über die Zukunft der Mailverschlüsselung diskutiert. (Bild: OpenPGP.conf)

GnuPG-Entwickler Werner Koch schlägt auf der OpenPGP.conf ein neues Verfahren zur Schlüsselverteilung vor: Die Keys sollen mittels HTTPS vom Mailprovider bereitgestellt werden.

Ein großes Problem von verschlüsselten Systemen ist die Verteilung der öffentlichen Schlüssel. Um eine Nachricht zu schicken, muss ein Gesprächspartner zunächst auf irgendeine Weise an den Schlüssel des anderen kommen und entscheiden, ob er diesem vertraut. Für OpenPGP und GnuPG gibt es dafür jetzt einen Vorschlag für neues Verfahren namens Web Key Service. Der Schlüssel wird dabei vom Mailprovider über HTTPS bereitgestellt.

Anzeige

Web of Trust nur für Geeks?

Klassischerweise wurden für OpenPGP-basierte Verschlüsselung in der Vergangenheit Keyserver genutzt, auf die jeder seinen öffentlichen Schlüssel hochladen kann. Das Problem dabei: Jeder kann nach Belieben Schlüssel auf die Keyserver hochladen, es findet keinerlei Verifikation der Mailadresse statt. Um die Echtheit der Schlüssel zu prüfen, gibt es die Möglichkeit des Web of Trust - ein hochkomplexes System auf Basis von gegenseitigen Schlüsselsignaturen.

"Das Web of Trust ist ein Geek-Instrument", kommentiert Werner Koch diesen Ansatz auf der OpenPGP.conf. Als Alternative will Koch daher in Zukunft auf ein System mit einem Trust-on-First-Use-Ansatz (Tofu) setzen. Dabei geht das System davon aus, dass ein Schlüssel, der in der Vergangenheit bereits verwendet wurde, vermutlich vertrauenswürdig ist. Die Frage ist nun, wie ein Anwender an den Schlüssel gelangt, wenn er zum ersten Mal eine verschlüsselte Mail schreiben möchte.

Es gab verschiedene Vorschläge, den Schlüssel oder dessen Fingerprint in DNS-Records abzulegen: ein älteres System namens PKA und ein neueres namens OPENPGPKEY, welches auf DNSSEC basiert. Das Problem dabei: die Abhängigkeit von DNSSEC. An dem abgesicherten DNS-Verfahren gibt es viel Kritik und es wird nur von wenigen Leuten eingesetzt. Insbesondere das Deployment auf Clients gilt als kaum umsetzbar.

Key über HTTPS

Um initial an den Schlüssel zu gelangen, schlägt Koch daher ein neues Verfahren namens Web Key Service vor, das aus zwei Teilen besteht: Ein URL-Schema zur Verteilung der Schlüssel - genannt Web Key Directory - und ein E-Mail-basiertes Verfahren, um Schlüssel an den Mailanbieter zu schicken.

Abgelegt wird ein Schlüssel hier auf einer URL, die so aussehen kann:

https://example.org/.well-known/openpgpkey/hu/example.org/iy9q119eutrkn8s1mk4r39qejnbu3n5q

Die Zeichenkette ist ein SHA-1-Hash des lokalen Teils der E-Mail-Adresse.

Diesen Mechanismus zu implementieren, ist relativ simpel. Am Webserver sind dafür keine Code-Änderungen notwendig, es müssen lediglich die Dateien an der entsprechenden Stelle abgelegt und mit dem korrekten MIME-Type gesendet werden.

Vertrauen in den Mailprovider

Die größte Hürde für das neue System dürfte sein, dass die Mailprovider Web Key Service auch anbieten müssen. Das Verfahren setzt zudem ein gewisses Vertrauen in den Mailanbieter voraus, denn selbstverständlich könnte dieser dort zeitweise einen falschen Key ablegen. Allerdings ist das immer noch deutlich sicherer als die klassischen Keyserver, auf denen jeder Keys ablegen kann.

Die Absicherung der Verbindung mittels HTTPS ist dabei natürlich nur so sicher wie HTTPS selbst. In der OpenPGP-Community gibt es traditionell ein großes Misstrauen gegen das zentralisierte Zertifikatssystem, das bei TLS zum Einsatz kommt. Doch vermutlich wird trotzdem kaum jemand dran zweifeln, dass TLS immer noch deutlich sicherer ist als eine ungesicherte Übertragung. Zudem gab es in den vergangenen Jahren einige Verbesserungen am System der Zertifizierungsstellen, insbesondere das Certificate-Transparency-System trägt dazu bei, mehr Vertrauen in das System herzustellen.

Um seinen eigenen Key zu publizieren, wird ein E-Mail-basiertes Verfahren eingesetzt. Ebenfalls über HTTPS ruft ein Client dabei eine URL auf, auf der die Submission-Adresse zu finden ist. An diese wird der Key in einem speziellen Format geschickt, mit einer Verifikationsmail wird zudem geprüft, ob der Nutzer auch Zugriff auf den privaten Schlüssel hat. In der Praxis sollte diese Key-Submission natürlich nicht manuell stattfinden, sondern durch einen Mailclient automatisiert implementiert werden.

Könnte OpenPGP-Nutzung vereinfachen

Dass die Sicherheit von Web Key Service nicht mit einer manuellen Prüfung von Key-Fingerprints vergleichbar ist, dürfte klar sein. Es spricht aber nichts dagegen, weiterhin sicherere Verfahren anzubieten. So könnte ein Mailclient verschiedene Vertrauensabstufungen unterstützen, etwa durch verschiedene farbliche Markierungen von Adressaten. Neben der klassischen Variante über Schlüsselsignaturen und dem Web of Trust wird dabei oft auch das System CONIKS genannt. Das setzt auf ein öffentlich einsehbares Append-only-Log von Schlüsseln.

Aber Web Key Service könnte dafür sorgen, dass die Mailverschlüsselung auf Basis von OpenPGP deutlich einfacher wird. Das Verfahren kann weitgehend vom Mailclient automatisiert werden und die umständliche Suche nach dem richtigen Schlüssel obsolet machen.


eye home zur Startseite
Vanger 10. Sep 2016

Das ist eine recht romantische Sicht auf Protokolle und Standards (und mit Annahme des...

ikhaya 10. Sep 2016

Egal ob der Key aus einem Webservice, aus einer E-Mail oder aus dem DNS stammt, den...

Spaghetticode 09. Sep 2016

Durch diese Lösung wird das OpenPGP-Handling so einfach, dass das auch Anfänger nutzen...

RipClaw 09. Sep 2016

Die bisherigen Keyserver haben das Problem das jeder einen Schlüssel mit beliebiger...



Anzeige

Stellenmarkt
  1. Deutsche Bundesbank, Frankfurt am Main
  2. ifm electronic GmbH, Essen
  3. über Ratbacher GmbH, Raum Gummersbach
  4. Bundeskriminalamt, Meckenheim


Anzeige
Hardware-Angebote
  1. (Core i7-7700HQ + GeForce GTX 1070)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Festnetz

    O2 will in Deutschland letzte Meile per Funk überwinden

  2. Robocar

    Roborace präsentiert Roboterboliden

  3. Code.mil

    US-Militär sucht nach Lizenz für externe Code-Beiträge

  4. Project Zero

    Erneut ungepatchter Microsoft-Bug veröffentlicht

  5. Twitch

    Videostreamer verdienen am Spieleverkauf

  6. Neuer Mobilfunk

    Telekom-Chef nennt 5G-Ausbau "sehr teuer"

  7. Luftfahrt

    Nasa testet Überschallpassagierflugzeug im Windkanal

  8. Lenovo

    Moto Mod macht Moto Z zum Spiele-Handheld

  9. Alternatives Betriebssystem

    Jolla will Sailfish OS auf Sony-Smartphones bringen

  10. Gamesbranche

    PC-Plattform ist bei Spielentwicklern am beliebtesten



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Nintendo Switch eingeschaltet: Zerstückelte Konsole und gigantisches Handheld
Nintendo Switch eingeschaltet
Zerstückelte Konsole und gigantisches Handheld
  1. Nintendo Interner Speicher von Switch offenbar schon jetzt zu klein
  2. Hybridkonsole Leak zeigt Menüs der Nintendo Switch
  3. Hybridkonsole Hardware-Details von Nintendo Switch geleakt

Watch 2 im Hands on: Huaweis neue Smartwatch soll bis zu 21 Tage lang durchhalten
Watch 2 im Hands on
Huaweis neue Smartwatch soll bis zu 21 Tage lang durchhalten
  1. Lenovo-Tab-4-Serie Lenovos neue Android-Tablets kosten ab 180 Euro
  2. Yoga 520 und 720 USB-C und Kaby Lake für Lenovos Falt-Notebooks
  3. Alcatel A5 LED im Hands on Wenn die Smartphone-Rückseite wild blinkt

Asus Tinker Board im Test: Buntes Lotterielos rechnet schnell
Asus Tinker Board im Test
Buntes Lotterielos rechnet schnell
  1. Tinker-Board Asus bringt Raspberry-Pi-Klon
  2. Sopine A64 Weiterer Bastelrechner im Speicherriegel-Format erscheint

  1. Re: tolle Lenkradhaltung des Fahrers

    stiGGG | 21:49

  2. Re: ein mal ausprobieren und dann liegts in der ecke

    g3kko | 21:49

  3. Re: 90 Tage sind auch genug Zeit

    Kleba | 21:46

  4. Re: Warum ?

    cpt.dirk | 21:45

  5. Re: GEIL! Wenn das Keyboard kommt...

    HibikiTaisuna | 21:41


  1. 18:18

  2. 17:56

  3. 17:38

  4. 17:21

  5. 17:06

  6. 16:32

  7. 16:12

  8. 15:33


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel