Abo
  • Services:

Web Key Service: OpenPGP-Schlüssel über HTTPS verteilen

GnuPG-Entwickler Werner Koch schlägt auf der OpenPGP.conf ein neues Verfahren zur Schlüsselverteilung vor: Die Keys sollen mittels HTTPS vom Mailprovider bereitgestellt werden.

Artikel veröffentlicht am , Hanno Böck
Auf der OpenPGP.conf in Köln wird über die Zukunft der Mailverschlüsselung diskutiert.
Auf der OpenPGP.conf in Köln wird über die Zukunft der Mailverschlüsselung diskutiert. (Bild: OpenPGP.conf)

Ein großes Problem von verschlüsselten Systemen ist die Verteilung der öffentlichen Schlüssel. Um eine Nachricht zu schicken, muss ein Gesprächspartner zunächst auf irgendeine Weise an den Schlüssel des anderen kommen und entscheiden, ob er diesem vertraut. Für OpenPGP und GnuPG gibt es dafür jetzt einen Vorschlag für neues Verfahren namens Web Key Service. Der Schlüssel wird dabei vom Mailprovider über HTTPS bereitgestellt.

Web of Trust nur für Geeks?

Stellenmarkt
  1. Lidl Dienstleistung GmbH & Co. KG, Neckarsulm
  2. via experteer GmbH, Bonn

Klassischerweise wurden für OpenPGP-basierte Verschlüsselung in der Vergangenheit Keyserver genutzt, auf die jeder seinen öffentlichen Schlüssel hochladen kann. Das Problem dabei: Jeder kann nach Belieben Schlüssel auf die Keyserver hochladen, es findet keinerlei Verifikation der Mailadresse statt. Um die Echtheit der Schlüssel zu prüfen, gibt es die Möglichkeit des Web of Trust - ein hochkomplexes System auf Basis von gegenseitigen Schlüsselsignaturen.

"Das Web of Trust ist ein Geek-Instrument", kommentiert Werner Koch diesen Ansatz auf der OpenPGP.conf. Als Alternative will Koch daher in Zukunft auf ein System mit einem Trust-on-First-Use-Ansatz (Tofu) setzen. Dabei geht das System davon aus, dass ein Schlüssel, der in der Vergangenheit bereits verwendet wurde, vermutlich vertrauenswürdig ist. Die Frage ist nun, wie ein Anwender an den Schlüssel gelangt, wenn er zum ersten Mal eine verschlüsselte Mail schreiben möchte.

Es gab verschiedene Vorschläge, den Schlüssel oder dessen Fingerprint in DNS-Records abzulegen: ein älteres System namens PKA und ein neueres namens OPENPGPKEY, welches auf DNSSEC basiert. Das Problem dabei: die Abhängigkeit von DNSSEC. An dem abgesicherten DNS-Verfahren gibt es viel Kritik und es wird nur von wenigen Leuten eingesetzt. Insbesondere das Deployment auf Clients gilt als kaum umsetzbar.

Key über HTTPS

Um initial an den Schlüssel zu gelangen, schlägt Koch daher ein neues Verfahren namens Web Key Service vor, das aus zwei Teilen besteht: Ein URL-Schema zur Verteilung der Schlüssel - genannt Web Key Directory - und ein E-Mail-basiertes Verfahren, um Schlüssel an den Mailanbieter zu schicken.

Abgelegt wird ein Schlüssel hier auf einer URL, die so aussehen kann:

https://example.org/.well-known/openpgpkey/hu/example.org/iy9q119eutrkn8s1mk4r39qejnbu3n5q

Die Zeichenkette ist ein SHA-1-Hash des lokalen Teils der E-Mail-Adresse.

Diesen Mechanismus zu implementieren, ist relativ simpel. Am Webserver sind dafür keine Code-Änderungen notwendig, es müssen lediglich die Dateien an der entsprechenden Stelle abgelegt und mit dem korrekten MIME-Type gesendet werden.

Vertrauen in den Mailprovider

Die größte Hürde für das neue System dürfte sein, dass die Mailprovider Web Key Service auch anbieten müssen. Das Verfahren setzt zudem ein gewisses Vertrauen in den Mailanbieter voraus, denn selbstverständlich könnte dieser dort zeitweise einen falschen Key ablegen. Allerdings ist das immer noch deutlich sicherer als die klassischen Keyserver, auf denen jeder Keys ablegen kann.

Die Absicherung der Verbindung mittels HTTPS ist dabei natürlich nur so sicher wie HTTPS selbst. In der OpenPGP-Community gibt es traditionell ein großes Misstrauen gegen das zentralisierte Zertifikatssystem, das bei TLS zum Einsatz kommt. Doch vermutlich wird trotzdem kaum jemand dran zweifeln, dass TLS immer noch deutlich sicherer ist als eine ungesicherte Übertragung. Zudem gab es in den vergangenen Jahren einige Verbesserungen am System der Zertifizierungsstellen, insbesondere das Certificate-Transparency-System trägt dazu bei, mehr Vertrauen in das System herzustellen.

Um seinen eigenen Key zu publizieren, wird ein E-Mail-basiertes Verfahren eingesetzt. Ebenfalls über HTTPS ruft ein Client dabei eine URL auf, auf der die Submission-Adresse zu finden ist. An diese wird der Key in einem speziellen Format geschickt, mit einer Verifikationsmail wird zudem geprüft, ob der Nutzer auch Zugriff auf den privaten Schlüssel hat. In der Praxis sollte diese Key-Submission natürlich nicht manuell stattfinden, sondern durch einen Mailclient automatisiert implementiert werden.

Könnte OpenPGP-Nutzung vereinfachen

Dass die Sicherheit von Web Key Service nicht mit einer manuellen Prüfung von Key-Fingerprints vergleichbar ist, dürfte klar sein. Es spricht aber nichts dagegen, weiterhin sicherere Verfahren anzubieten. So könnte ein Mailclient verschiedene Vertrauensabstufungen unterstützen, etwa durch verschiedene farbliche Markierungen von Adressaten. Neben der klassischen Variante über Schlüsselsignaturen und dem Web of Trust wird dabei oft auch das System CONIKS genannt. Das setzt auf ein öffentlich einsehbares Append-only-Log von Schlüsseln.

Aber Web Key Service könnte dafür sorgen, dass die Mailverschlüsselung auf Basis von OpenPGP deutlich einfacher wird. Das Verfahren kann weitgehend vom Mailclient automatisiert werden und die umständliche Suche nach dem richtigen Schlüssel obsolet machen.



Anzeige
Hardware-Angebote
  1. 119,90€
  2. täglich neue Deals bei Alternate.de

Vanger 10. Sep 2016

Das ist eine recht romantische Sicht auf Protokolle und Standards (und mit Annahme des...

ikhaya 10. Sep 2016

Egal ob der Key aus einem Webservice, aus einer E-Mail oder aus dem DNS stammt, den...

Spaghetticode 09. Sep 2016

Durch diese Lösung wird das OpenPGP-Handling so einfach, dass das auch Anfänger nutzen...

RipClaw 09. Sep 2016

Die bisherigen Keyserver haben das Problem das jeder einen Schlüssel mit beliebiger...


Folgen Sie uns
       


Resident Evil 2 Remake - Fazit

Bei Capcom haben sie derzeit in Sachen Horror ein monstermäßig gutes Händchen.

Resident Evil 2 Remake - Fazit Video aufrufen
Alienware m15 vs Asus ROG Zephyrus M: Gut gekühlt ist halb gewonnen
Alienware m15 vs Asus ROG Zephyrus M
Gut gekühlt ist halb gewonnen

Wer auf LAN-Partys geht, möchte nicht immer einen Tower schleppen. Ein Gaming-Notebook wie das Alienware m15 und das Asus ROG Zephyrus M tut es auch, oder? Golem.de hat beide ähnlich ausgestatteten Notebooks gegeneinander antreten lassen und festgestellt: Die Kühlung macht den Unterschied.
Ein Test von Oliver Nickel

  1. Alienware m17 Dell packt RTX-Grafikeinheit in sein 17-Zoll-Gaming-Notebook
  2. Interview Alienware "Keiner baut dir einen besseren Gaming-PC als du selbst!"
  3. Dell Alienware M15 wird schlanker und läuft 17 Stunden

Elektromobilität: Der Umweltbonus ist gescheitert
Elektromobilität
Der Umweltbonus ist gescheitert

Trotz eines spürbaren Anstiegs zum Jahresbeginn kann man den Umweltbonus als gescheitert bezeichnen. Bislang wurden weniger als 100.000 Elektroautos gefördert. Wenn der Bonus Ende Juni ausläuft, sind noch immer einige Millionen Euro vorhanden. Die Fraktion der Grünen will stattdessen Anreize über die Kfz-Steuer schaffen.
Eine Analyse von Dirk Kunde

  1. Nissan x Opus Concept Recycelte Autoakkus versorgen Campinganhänger mit Strom
  2. NXT Rage Elektromotorrad mit Kohlefaser-Monocoque vorgestellt
  3. Elektrokleinstfahrzeuge Verkehrsminister Scheuer will E-Scooter zulassen

Mac Mini mit eGPU im Test: Externe Grafik macht den Mini zum Pro
Mac Mini mit eGPU im Test
Externe Grafik macht den Mini zum Pro

Der Mac Mini mit Hexacore-CPU eignet sich zwar gut für Xcode. Wer eine GPU-Beschleunigung braucht, muss aber zum iMac (Pro) greifen - oder eine externe Grafikkarte anschließen. Per eGPU ausgerüstet wird der Mac Mini viel schneller und auch preislich kann sich das lohnen.
Ein Test von Marc Sauter

  1. Apple Mac Mini (Late 2018) im Test Tolles teures Teil - aber für wen?
  2. Apple Mac Mini wird grau und schnell
  3. Neue Produkte Apple will Mac Mini und Macbook Air neu auflegen

    •  /