GnuPG / PGP: Neuer Keyserver mit verifizierten E-Mail-Adressen

Foto: Geschlossenes Vorhängeschloss mit Aufschrift «Security»

Wer E-Mails mit GnuPG oder PGP verschlüsseln möchte, steht unter anderem vor dem Problem, einen aktuellen und vertrauenswürdigen Public Key für die Empfänger-E-Mail-Adresse zu finden.

Solche Public Keys werden auf Keyservern gesammelt. Die meisten Keyserver prüfen aber nicht, ob ein hochgeladener Public Key tatsächlich von jener Person stammt, welche die entsprechende E-Mail-Adresse kontrolliert. Auch löschen die meisten Keyserver keine Public Keys.

In der Folge sind die meisten Keyserver weitgehend unbrauchbar: Wer nach einer E-Mail-Adresse sucht, erhält Schlüssel angezeigt, bei denen unklar ist, ob sie noch in Verwendung sind oder überhaupt vom Nutzer der entsprechenden E-Mail-Adresse erstellt wurden.

Mit keys.openpgp.org gibt es einen neuen Keyserver, der hochgeladene Public Keys nur veröffentlicht, sofern und soweit einzelne E-Mail-Adressen mittels «Double Opt-in» verifiziert wurden.

Eine solche Verifizierung findet bereits seit Jahren bei keyserver.pgp.com statt. Dieses «PGP Public Directory» wird vom amerikanischen Unternehmen Symantec betrieben, während es sich bei keys.openpgp.org um ein gemeinsames und öffentliches Projekt aus dem OpenPGP-Umfeld handelt. Beteiligt sind unter anderem Enigmail, OpenKeychain und Sequoia-PGP.

Es ist empfehlenswert, in Anwendungen wie Enigmail oder der GPG Suite alle Keyserver ausser keys.openpgp.org zu löschen.

keys.openpgp.org löst allerdings nur ein wesentliches Problem im Zusammenhang mit GnuPG und PGP, während viele andere Probleme ungelöst bleiben. Immerhin ist keys.openpgp.org nicht vom Angriff auf das SKS Keyserver Network betroffen, für den keine Lösung in Sicht ist.

Wer GnuPG noch nicht kennt und verschlüsselte Mitteilungen austauschen möchte, setzt deshalb normalerweise auf Instant Messaging mit Ende-zu-Ende-Verschlüsselung – beispielsweise mit Signal, Threema oder sogar WhatsApp.

(Via Kuketz IT-Security.)

Bild: Pixabay / 12019, Public Domain-ähnlich.

2 Kommentare

  1. Sehr gute Entwicklung: Jetzt verifiziert man die eMail-Adresse zum Public Key. Aber wer verifiziert die Person dahinter?
    Siehe:

    Neuer OpenPGP-Keyserver liefert endlich verifizierte Schlüssel
    Ein neuer Keyserver der PGP-Community liefert nur noch Schlüssel zu verifizierten E-Mail-Adressen. Allerdings muss man dafür auf das «Web of Trust» verzichten. https://www.heise.de/security/meldung/Neuer-OpenPGP-Keyserver-liefert-endlich-verifizierte-Schluessel-4450814.html

    1. @Marcel Sinemus:

      Merci für den Hinweis auf den Artikel bei Heise Security!

      Und ja, die Person hinter einer E-Mail-Adresse muss man immer noch verifizieren. Dafür taugte das «Web of Trust» faktisch allerdings nie, was ja auch bei Heise Security angetönt wird …

      Auch das übrigens ein Beispiel, wo Instant Messaging die Nase vorn hat: Mit Signal oder Threema ist die Verifikation viel einfacher. Im einfachsten Fall trifft man sich persönlich und scannt gegenseitig einen QR-Code.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Felder mit * sind Pflichtfelder.