Nutzt für OpenPGP nur moderne Schlüsselserver

E-Mail Verschlüsselung ist eine kleine Nischenanwendung und wird das auch bleiben. Nutzer sollten trotzdem in ihrem Nutzungsverhalten auf dem aktuellen Stand bleiben. Dazu gehört die Verwendung moderner Schlüsselserver und nicht die alten SKS-Schlüsselserver, die inzwischen im „Zombiestatus“ sind.

Anwender von E-Mail Verschlüsselung mit OpenPGP sind eine kleine Gemeinschaft. Irrigerweise ging ich davon aus, dass in einer so kleinen Gemeinschaft von Experten, Informationen sich schnell verbreiten und Anwender von selbst auf dem aktuellen Stand bleiben. Dem ist scheinbar nicht so. Denn kürzlich erreichte mich eine E-Mail, in der mir entrüstet vorgehalten wurde, ich hätte gar keinen öffentlich auffindbaren GPG-Schlüssel und wäre deshalb als Sicherheitsexperte disqualifiziert.

Mal abgesehen von de Tatsache, dass es gute Gründe geben kann überhaupt kein OpenPGP zu nutzen oder seinen Schlüssel nicht öffentlich irgendwo abzulegen, möchte ich das ich hier zum Anlass nehmen, um nochmal auf eine Entwicklung aus dem Jahr 2019 (!) hinzuweisen, die scheinbar an manchen vorüber gegangen ist. Das kann man niemandem vorwerfen, weil über das Thema nur kurz berichtet wurde und viele HowTos und Wikis nach wie vor einen veralteten Wissensstand wiedergeben. Nachlassende Bedeutung schlägt sich meistens auch in nachlassender Dokumentationsqualität nieder.

Wie dem auch sei: Vor mittlerweile fast 3 Jahren ist die Keyserver-Infrastruktur zusammen gebrochen und damit quasi das Herzkreislaufsystem von OpenPGP ausgefallen. Die SKS-Keyserver (das waren damals fast alle verfügbaren Schlüsselserver) waren irreparabel kaputt und sind mit Signatur-Spam in die Knie gezwungen worden. Nicht betroffen waren lediglich die Hockeypuck-Server wie z. B. der von Ubuntu betriebene Keyserver.

Anstelle aber großflächig auf die Hockeypuck-Infrastruktur zu wechseln, hat man die Chance genutzt und die PGP-Verschlüsselung einer tiefgreifenden Reform unterzogen. Der Ausfall der SKS-Server wurde hier tatsächlich als Chance genutzt, um das durch seine praktischen Umsetzungsprobleme sowieso schon angezählte Web of Trust aufzugeben und neue Keyserver (Hagrid) mit E-Mail-Verifikation aus der Taufe zu heben. Diese unterstützen zwar keine Signaturen mehr, aber sind durch die Verifikation vertrauenswürdiger als die Angaben auf den alten Servern mit ihren vielen Fake-Schlüsseln. Unterm Strich war diese Reform des Keyserver-Systems eher ein Gewinn für die Sicherheit. Zudem hat sich anstelle einer verteilten Infrastruktur ein Quasi-Standard mit keys.openpgpg.org etabliert. Angesichts der geringen Nutzungszahlen benötigt es nun wirklich keine riesige verteilte Infrastruktur mehr.

Viele SKS-Keyserver sind auch nach drei Jahren noch nicht abgeschaltet. Vermutlich, weil die (institutionellen) Betreiber längst vergessen haben, dass sie noch so einen „Zombie“ laufen haben oder die Passwörter zu den Servern mit dem zuständigen Entwickler vor 10 Jahren im brasilianischen Dschungel verloren gegangen sind. E-Mail Verschlüsselung ist schließlich so gut wie irrelevant für eine größere Zielgruppe und niemand hat heute noch ein großes Interesse dafür viel Zeit und Ressourcen bereitzustellen.

Die meisten noch aktiv entwickelten Programme haben die hinterlegten Keyserver aber auf keys.openpgp.org geändert. Verifizieren konnte ich das für Kleopatra, OpenKeychain für Android und GPGTools für macOS. Informationen zu anderen genutzten Programmen gerne in die Kommentare.

Daraus folgen vier notwendige Handlungen bzw. Schlussfolgerungen:

  1. Prüft, ob ihr noch alte Konfigurationsdateien mitschleppt und ändert ggf. manuell die Keyserver
  2. Hat eure verwendete Software das als Standard noch nicht umgesetzt, ist sie vermutlich tot und ihr solltet schon aus Gründen der Sicherheit auf eine aktiv gepflegte Alternative umsteigen.
  3. Ladet euren öffentlichen Schlüssel auf den neuen Quasi-Standard keys.openpgp.org
  4. Werft niemandem vor, er hätte keine Ahnung von Sicherheit, obwohl ihr euer Wissen seit mindestens 3 Jahren nicht auf den aktuellen Stand gebracht habt. In einem sich verändernden Umfeld muss man sich immer aktiv weiterbilden, ansonsten veralten die eigenen Kenntnisse.

1 Kommentar

  1. Hallo Gerrit,
    danke für den Beitrag. Ich möchte an dieser Stelle auch etwas Werbung für unseren eigenen Schlüsselserver Open Keys (www.openkeys.de) machen. Der von Dir genannte Server unter openpgpg.org war mir bis gerade nicht bekannt, scheint aber einen ähnlichen Ansatz wie Open Keys zu verfolgen. Wir speichern einen Schlüssel erst nach Bestätigung des Postfachinhabers. Die Bestätigungsmail ist mit dem Public Key des Hochladenden verschlüsselt. So können wir den Besitz des passenden Private Key und natürlich den Zugriff auf das Postfach sicherstellen, das E-Mails unter der im Public Key angegebenen E-Mail-Adresse entgegennimmt. Neben PGP bietet Open Keys auch S/MIME Schlüssel an. So ist man nicht auf ein Verfahren angewiesen.
    Gruß Stefan

Kommentarfunktion ist geschlossen.

Mehr aus dem Blog

Warum man „Face unlock“ mit einem Google Pixel 7 nicht nutzen sollte

Biometrische Entschlüsselung ist ein Thema für sich. Selbst wenn man dem nicht gänzlich ablehnend gegenüber steht, sollte man nicht leichtfertig jede Lösung nutzen. Gesichtserkennung...

iOS und Android können VPN umgehen

VPN ist für Anonymität einfach keine gute Idee. Wer dafür noch weitere Gründe braucht, muss sich nur die aktuellen Berichte über das iPhone-Betriebssystem iOS...

Mastodon – So schnell kann es gehen

Im Frühjahr, als die Kaufabsichten von Elon Musk publik wurden, schrieb ich einen skeptischen Kommentar, was den prognostizierten massenhaften Wechsel zu Mastodon betrifft. Meine...

Vertrauen – Warum Werbung zur Monetarisierung manchmal gut ist

Früher hat man etwas bei Stiftung Warentest gelesen oder einen Ratgeber aus einem angesehenen Verlag gekauft. Vertrauen transportierte die Marke des Verlages. Heute vertrauen...