Neu: Posteo-Schlüsselverzeichnis
Erstellt am 04.Dezember 2015, 12:30 Uhr | Kategorie: Info
Liebe Posteo-Kunden, liebe Interessierte,
Unser Anliegen ist es, den Schlüsselaustausch bei der Ende-zu-Ende-Verschlüsselung einfacher und sicherer zu machen. Hierzu haben wir heute einen ersten Schritt unternommen: Sie können ab sofort Ihren öffentlichen PGP oder S/MIME-Key in unserem neuen Posteo-Schlüsselverzeichnis veröffentlichen und so sicher im DNS, dem so genannten “Telefonbuch des Internets”, hinterlegen. In den kommenden Wochen werden wir in mehreren Schritten weitere Optionen rund um die neue Posteo-Schlüsselverwaltung freigeben.
Zum Hintergrund:
Seit einiger Zeit wird von verschiedenen Akteuren im Internet-Securitybereich daran gearbeitet, den Schlüsselaustausch bei der Ende-zu-Ende-Verschlüsselung einfacher und sicherer zu machen.
Öffentliche Schlüssel sollen sicher im DNS hinterlegt und verfügbar gemacht werden. Hierzu werden bald neue, freie Standards verabschiedet werden. Seit längerem bereiten wir im Hintergrund eine Vereinfachung des Schlüsselaustauschs in mehreren Schritten vor, die entsprechend der neuen Standards erfolgen wird. Die Standards befinden sich bisher zwar noch in einem Entwurfsstatus, wir halten sie aber inzwischen für so ausgereift, dass wir nun damit beginnen, sie anzuwenden.
Die technische Bezeichnung zum Hochladen von PGP-Keys wurde bereits vor Monaten festgelegt. Wir haben uns in den vergangenen Monaten in der zuständigen Arbeitsgruppe dafür eingesetzt, dass bei der IANA, die im Internet für die Verwaltung des DNS zuständig ist, auch der DNS-Parameter für S/MIME-Schlüssel festgelegt wird. Denn S/MIME ist für uns ein gleichwertiger und ebenfalls wichtiger Verschlüsselungsstandard.
Am Dienstag hat die Organisation nun auch die technische Bezeichnung für das Hinterlegen von S/MIME-Schlüsseln im DNS festgelegt.
Ihr öffentlicher S/MIME oder PGP-Schlüssel zum Verschlüsseln von E-Mails kann deshalb ab sofort durch uns abgesichert im DNS hinterlegt werden.
Dort können andere Ihren Schlüssel finden und E-Mails an Sie mit diesem Schlüssel verschlüsseln. Ihr Schlüssel wird im Schlüsselverzeichnis mit den bald kommenden Standards OPENPGPKEY und SMIMEA fälschungssicher hinterlegt. Diese Verfahren entsprechen in etwa der Technologie DANE: Während DANE die TLS-Server-Zertifikate im DNS absichert, sichern OPENPGPKEY und SMIMEA öffentliche Schlüssel für die E-Mailkommunikation im DNS fälschungssicher ab. Die im DNS veröffentlichten Schlüssel zur Ende-zu-Ende-Verschlüsselung werden ebenfalls, wie bei DANE, mit DNSSEC abgesichert.
Durch die Verwendung von Sicherheitstechnologien, wie zum Beispiel NSEC3, verhindern wir ausserdem ein massenhaftes Auslesen von E-Mailadressen und Schlüsseln im DNS: So kann nur für eine konkrete E-Mailadresse, die dem Suchenden bekannt ist, ein Schlüssel im DNS abgefragt werden. Dies verhindert wirksam den Missbrauch des DNS als E-Mail-Adressen-Quelle für Spammer.
OPENPGPKEY und SMIMEA können in Zukunft eine Alternative zu den bisher verbreiteten Keyservern darstellen, die zahlreiche Probleme aufweisen:
Auf den weltweiten Keyservern kann bisher jeder Ihren öffentlichen Schlüssel hochladen, auch wenn Sie persönlich dies gar nicht möchten. Auch kann jeder einen gefälschten Schlüssel für Sie hochladen. Ein hochgeladener Schlüssel kann dort auch nicht mehr gelöscht werden. Dies führt dazu, dass bei Schlüsselsuchen auf den weltweiten Key-Servern ggf. mehrere, auch veraltete oder falsche Schlüssel zu einer E-Mailadresse gefunden werden. Auf den Keyservern sind zahlreiche, gültige E-Mailadressen gespeichert: Das interessiert auch Spammer, die massenhaft E-Mailadressen aus den Keyservern abfragen, um Spam an diese Adressen zu versenden. Auch die Anonymität wird durch die Keyserver beeinträchtigt:
Bei OpenPGP kann jeder, ähnlich wie bei einer offenen Freundesliste in einem sozialen Netzwerk, einsehen, wer wem das “Vertrauen” ausgesprochen hat. So können soziale Netzwerke für jeden offen eingesehen werden. Die Umsetzung der neuen Verfahren bei Posteo weisen die genannten Schwachstellen der Keyserver nicht auf.
Das Posteo-Schlüsselverzeichnis finden Sie in den Einstellungen Ihres Posteo-Postfachs, unter “PGP- und S/MIME-Verschlüsselung”.
Bitte prüfen Sie vor dem Hochladen Ihres Schlüssels in das Posteo-Schlüsselverzeichnis, dass Ihr Schlüssel den Posteo-Richtlinien entspricht. Zum Schutz Ihrer Privatspäre können Sie u.a. nur Schlüssel hochladen, die lediglich Ihre Posteo-E-Mail-Adresse enthalten oder einen Ihrer Aliase.
In der Standard-Software GnuPG ist die neue Technologie OPENPGPKEY bereits implementiert, und Verisign arbeit an einem SMIMEA-Plugin für Thunderbird. Wir hoffen, dass die Verbreitung von OPENPGPKEY und SMIMEA zügig voranschreiten wird, damit der Austausch öffentlicher Schlüssel einfacher und sicherer wird.
Viele Grüße
Ihr Posteo-Team