Abo
  • Services:
Anzeige
Auf der OpenPGP.conf in Köln wird über die Zukunft der Mailverschlüsselung diskutiert.
Auf der OpenPGP.conf in Köln wird über die Zukunft der Mailverschlüsselung diskutiert. (Bild: OpenPGP.conf)

Web Key Service: OpenPGP-Schlüssel über HTTPS verteilen

Auf der OpenPGP.conf in Köln wird über die Zukunft der Mailverschlüsselung diskutiert.
Auf der OpenPGP.conf in Köln wird über die Zukunft der Mailverschlüsselung diskutiert. (Bild: OpenPGP.conf)

GnuPG-Entwickler Werner Koch schlägt auf der OpenPGP.conf ein neues Verfahren zur Schlüsselverteilung vor: Die Keys sollen mittels HTTPS vom Mailprovider bereitgestellt werden.

Ein großes Problem von verschlüsselten Systemen ist die Verteilung der öffentlichen Schlüssel. Um eine Nachricht zu schicken, muss ein Gesprächspartner zunächst auf irgendeine Weise an den Schlüssel des anderen kommen und entscheiden, ob er diesem vertraut. Für OpenPGP und GnuPG gibt es dafür jetzt einen Vorschlag für neues Verfahren namens Web Key Service. Der Schlüssel wird dabei vom Mailprovider über HTTPS bereitgestellt.

Anzeige

Web of Trust nur für Geeks?

Klassischerweise wurden für OpenPGP-basierte Verschlüsselung in der Vergangenheit Keyserver genutzt, auf die jeder seinen öffentlichen Schlüssel hochladen kann. Das Problem dabei: Jeder kann nach Belieben Schlüssel auf die Keyserver hochladen, es findet keinerlei Verifikation der Mailadresse statt. Um die Echtheit der Schlüssel zu prüfen, gibt es die Möglichkeit des Web of Trust - ein hochkomplexes System auf Basis von gegenseitigen Schlüsselsignaturen.

"Das Web of Trust ist ein Geek-Instrument", kommentiert Werner Koch diesen Ansatz auf der OpenPGP.conf. Als Alternative will Koch daher in Zukunft auf ein System mit einem Trust-on-First-Use-Ansatz (Tofu) setzen. Dabei geht das System davon aus, dass ein Schlüssel, der in der Vergangenheit bereits verwendet wurde, vermutlich vertrauenswürdig ist. Die Frage ist nun, wie ein Anwender an den Schlüssel gelangt, wenn er zum ersten Mal eine verschlüsselte Mail schreiben möchte.

Es gab verschiedene Vorschläge, den Schlüssel oder dessen Fingerprint in DNS-Records abzulegen: ein älteres System namens PKA und ein neueres namens OPENPGPKEY, welches auf DNSSEC basiert. Das Problem dabei: die Abhängigkeit von DNSSEC. An dem abgesicherten DNS-Verfahren gibt es viel Kritik und es wird nur von wenigen Leuten eingesetzt. Insbesondere das Deployment auf Clients gilt als kaum umsetzbar.

Key über HTTPS

Um initial an den Schlüssel zu gelangen, schlägt Koch daher ein neues Verfahren namens Web Key Service vor, das aus zwei Teilen besteht: Ein URL-Schema zur Verteilung der Schlüssel - genannt Web Key Directory - und ein E-Mail-basiertes Verfahren, um Schlüssel an den Mailanbieter zu schicken.

Abgelegt wird ein Schlüssel hier auf einer URL, die so aussehen kann:

https://example.org/.well-known/openpgpkey/hu/example.org/iy9q119eutrkn8s1mk4r39qejnbu3n5q

Die Zeichenkette ist ein SHA-1-Hash des lokalen Teils der E-Mail-Adresse.

Diesen Mechanismus zu implementieren, ist relativ simpel. Am Webserver sind dafür keine Code-Änderungen notwendig, es müssen lediglich die Dateien an der entsprechenden Stelle abgelegt und mit dem korrekten MIME-Type gesendet werden.

Vertrauen in den Mailprovider

Die größte Hürde für das neue System dürfte sein, dass die Mailprovider Web Key Service auch anbieten müssen. Das Verfahren setzt zudem ein gewisses Vertrauen in den Mailanbieter voraus, denn selbstverständlich könnte dieser dort zeitweise einen falschen Key ablegen. Allerdings ist das immer noch deutlich sicherer als die klassischen Keyserver, auf denen jeder Keys ablegen kann.

Die Absicherung der Verbindung mittels HTTPS ist dabei natürlich nur so sicher wie HTTPS selbst. In der OpenPGP-Community gibt es traditionell ein großes Misstrauen gegen das zentralisierte Zertifikatssystem, das bei TLS zum Einsatz kommt. Doch vermutlich wird trotzdem kaum jemand dran zweifeln, dass TLS immer noch deutlich sicherer ist als eine ungesicherte Übertragung. Zudem gab es in den vergangenen Jahren einige Verbesserungen am System der Zertifizierungsstellen, insbesondere das Certificate-Transparency-System trägt dazu bei, mehr Vertrauen in das System herzustellen.

Um seinen eigenen Key zu publizieren, wird ein E-Mail-basiertes Verfahren eingesetzt. Ebenfalls über HTTPS ruft ein Client dabei eine URL auf, auf der die Submission-Adresse zu finden ist. An diese wird der Key in einem speziellen Format geschickt, mit einer Verifikationsmail wird zudem geprüft, ob der Nutzer auch Zugriff auf den privaten Schlüssel hat. In der Praxis sollte diese Key-Submission natürlich nicht manuell stattfinden, sondern durch einen Mailclient automatisiert implementiert werden.

Könnte OpenPGP-Nutzung vereinfachen

Dass die Sicherheit von Web Key Service nicht mit einer manuellen Prüfung von Key-Fingerprints vergleichbar ist, dürfte klar sein. Es spricht aber nichts dagegen, weiterhin sicherere Verfahren anzubieten. So könnte ein Mailclient verschiedene Vertrauensabstufungen unterstützen, etwa durch verschiedene farbliche Markierungen von Adressaten. Neben der klassischen Variante über Schlüsselsignaturen und dem Web of Trust wird dabei oft auch das System CONIKS genannt. Das setzt auf ein öffentlich einsehbares Append-only-Log von Schlüsseln.

Aber Web Key Service könnte dafür sorgen, dass die Mailverschlüsselung auf Basis von OpenPGP deutlich einfacher wird. Das Verfahren kann weitgehend vom Mailclient automatisiert werden und die umständliche Suche nach dem richtigen Schlüssel obsolet machen.


eye home zur Startseite
Vanger 10. Sep 2016

Das ist eine recht romantische Sicht auf Protokolle und Standards (und mit Annahme des...

ikhaya 10. Sep 2016

Egal ob der Key aus einem Webservice, aus einer E-Mail oder aus dem DNS stammt, den...

Spaghetticode 09. Sep 2016

Durch diese Lösung wird das OpenPGP-Handling so einfach, dass das auch Anfänger nutzen...

RipClaw 09. Sep 2016

Die bisherigen Keyserver haben das Problem das jeder einen Schlüssel mit beliebiger...



Anzeige

Stellenmarkt
  1. Zentrale Polizeidirektion des Landes Niedersachsen, Hannover
  2. HUK-COBURG Datenservice und Dienstleistungen, Coburg
  3. Robert Bosch GmbH, Stuttgart-Feuerbach
  4. BfS Bundesamt für Strahlenschutz, Berlin


Anzeige
Top-Angebote
  1. 20,00€
  2. 5,00€
  3. (u. a. Angebote aus den Bereichen Games, Konsolen, TV, Film, Computer)

Folgen Sie uns
       


  1. Radeon RX Vega 56 im Test

    AMD positioniert sich in der Mitte

  2. The Patent Scam

    X-Plane-Macher veröffentlicht Film über Patenttrolle

  3. Uncharted The Lost Legacy im Test

    Abenteuer mit voller Frauenpower

  4. Nokia 8

    Top-Smartphone mit Zeiss-Optik und 360-Grad-Audio

  5. Frontrow

    Halskette als Kamera zum Dauerfilmen

  6. Streetscooter Work XL

    Deutsche Post stellt Elektro-Lkw mit 200 km Reichweite vor

  7. Interview auf Youtube

    Merkel verteidigt Ziel von 1 Million Elektroautos bis 2020

  8. Ransomware

    Not-Petya-Angriff kostet Maersk 200 Millionen US-Dollar

  9. Spielebranche

    Mikrotransaktionen boomen zulasten der Kaufspiele

  10. Autonomes Fahren

    Fiat Chrysler kooperiert mit BMW und Intel



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Sysadmin Day 2017: Zum Admin-Sein fehlen mir die Superkräfte
Sysadmin Day 2017
Zum Admin-Sein fehlen mir die Superkräfte

Orange Pi 2G IoT ausprobiert: Wir bauen uns ein 20-Euro-Smartphone
Orange Pi 2G IoT ausprobiert
Wir bauen uns ein 20-Euro-Smartphone
  1. Odroid HC-1 Bastelrechner besser stapeln im NAS
  2. Bastelrechner Nano Pi im Test Klein, aber nicht unbedingt oho

Mitmachprojekt: HTTPS vermiest uns den Wetterbericht
Mitmachprojekt
HTTPS vermiest uns den Wetterbericht

  1. Re: wer tut sich heute unter 2gb an?!

    Spaghetticode | 10:01

  2. Re: Deswegen hat das nächste Vollpreis Mordor...

    Mel | 10:01

  3. Re: Ist ja lustig dass es gerade Toyota ist

    Doedelf | 10:01

  4. Herrliche Antwort!

    Kondratieff | 10:00

  5. Re: Datenschutz/Abwehr?

    JimmyJon | 09:59


  1. 10:00

  2. 09:54

  3. 09:04

  4. 08:49

  5. 07:40

  6. 07:21

  7. 16:57

  8. 16:25


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel