E-Mail Verschlüsselung ist eine kleine Nischenanwendung und wird das auch bleiben. Nutzer sollten trotzdem in ihrem Nutzungsverhalten auf dem aktuellen Stand bleiben. Dazu gehört die Verwendung moderner Schlüsselserver und nicht die alten SKS-Schlüsselserver, die inzwischen im „Zombiestatus“ sind.

Anwender von E-Mail Verschlüsselung mit OpenPGP sind eine kleine Gemeinschaft. Irrigerweise ging ich davon aus, dass in einer so kleinen Gemeinschaft von Experten, Informationen sich schnell verbreiten und Anwender von selbst auf dem aktuellen Stand bleiben. Dem ist scheinbar nicht so. Denn kürzlich erreichte mich eine E-Mail, in der mir entrüstet vorgehalten wurde, ich hätte gar keinen öffentlich auffindbaren GPG-Schlüssel und wäre deshalb als Sicherheitsexperte disqualifiziert.

Mal abgesehen von de Tatsache, dass es gute Gründe geben kann überhaupt kein OpenPGP zu nutzen oder seinen Schlüssel nicht öffentlich irgendwo abzulegen, möchte ich das ich hier zum Anlass nehmen, um nochmal auf eine Entwicklung aus dem Jahr 2019 (!) hinzuweisen, die scheinbar an manchen vorüber gegangen ist. Das kann man niemandem vorwerfen, weil über das Thema nur kurz berichtet wurde und viele HowTos und Wikis nach wie vor einen veralteten Wissensstand wiedergeben. Nachlassende Bedeutung schlägt sich meistens auch in nachlassender Dokumentationsqualität nieder.

Wie dem auch sei: Vor mittlerweile fast 3 Jahren ist die Keyserver-Infrastruktur zusammen gebrochen und damit quasi das Herzkreislaufsystem von OpenPGP ausgefallen. Die SKS-Keyserver (das waren damals fast alle verfügbaren Schlüsselserver) waren irreparabel kaputt und sind mit Signatur-Spam in die Knie gezwungen worden. Nicht betroffen waren lediglich die Hockeypuck-Server wie z. B. der von Ubuntu betriebene Keyserver.

Anstelle aber großflächig auf die Hockeypuck-Infrastruktur zu wechseln, hat man die Chance genutzt und die PGP-Verschlüsselung einer tiefgreifenden Reform unterzogen. Der Ausfall der SKS-Server wurde hier tatsächlich als Chance genutzt, um das durch seine praktischen Umsetzungsprobleme sowieso schon angezählte Web of Trust aufzugeben und neue Keyserver (Hagrid) mit E-Mail-Verifikation aus der Taufe zu heben. Diese unterstützen zwar keine Signaturen mehr, aber sind durch die Verifikation vertrauenswürdiger als die Angaben auf den alten Servern mit ihren vielen Fake-Schlüsseln. Unterm Strich war diese Reform des Keyserver-Systems eher ein Gewinn für die Sicherheit. Zudem hat sich anstelle einer verteilten Infrastruktur ein Quasi-Standard mit keys.openpgpg.org etabliert. Angesichts der geringen Nutzungszahlen benötigt es nun wirklich keine riesige verteilte Infrastruktur mehr.

Viele SKS-Keyserver sind auch nach drei Jahren noch nicht abgeschaltet. Vermutlich, weil die (institutionellen) Betreiber längst vergessen haben, dass sie noch so einen „Zombie“ laufen haben oder die Passwörter zu den Servern mit dem zuständigen Entwickler vor 10 Jahren im brasilianischen Dschungel verloren gegangen sind. E-Mail Verschlüsselung ist schließlich so gut wie irrelevant für eine größere Zielgruppe und niemand hat heute noch ein großes Interesse dafür viel Zeit und Ressourcen bereitzustellen.

Die meisten noch aktiv entwickelten Programme haben die hinterlegten Keyserver aber auf keys.openpgp.org geändert. Verifizieren konnte ich das für Kleopatra, OpenKeychain für Android und GPGTools für macOS. Informationen zu anderen genutzten Programmen gerne in die Kommentare.

Daraus folgen vier notwendige Handlungen bzw. Schlussfolgerungen:

  1. Prüft, ob ihr noch alte Konfigurationsdateien mitschleppt und ändert ggf. manuell die Keyserver
  2. Hat eure verwendete Software das als Standard noch nicht umgesetzt, ist sie vermutlich tot und ihr solltet schon aus Gründen der Sicherheit auf eine aktiv gepflegte Alternative umsteigen.
  3. Ladet euren öffentlichen Schlüssel auf den neuen Quasi-Standard keys.openpgp.org
  4. Werft niemandem vor, er hätte keine Ahnung von Sicherheit, obwohl ihr euer Wissen seit mindestens 3 Jahren nicht auf den aktuellen Stand gebracht habt. In einem sich verändernden Umfeld muss man sich immer aktiv weiterbilden, ansonsten veralten die eigenen Kenntnisse.
Moin, meine Name ist Gerrit und ich betreibe diesen Blog seit 2014. Der Schutz der digitalen Identität, die einen immer größeren Raum unseres Ichs einnimmt ist mir ein Herzensanliegen, das ich versuche tagtäglich im Spannungsfeld digitaler Teilhabe und Sicherheit umzusetzen. Die Tipps, Anleitungen, Kommentare und Gedanken hier entspringen den alltäglichen Erfahrungen.

1 Ergänzung

  1. Hallo Gerrit,
    danke für den Beitrag. Ich möchte an dieser Stelle auch etwas Werbung für unseren eigenen Schlüsselserver Open Keys (www.openkeys.de) machen. Der von Dir genannte Server unter openpgpg.org war mir bis gerade nicht bekannt, scheint aber einen ähnlichen Ansatz wie Open Keys zu verfolgen. Wir speichern einen Schlüssel erst nach Bestätigung des Postfachinhabers. Die Bestätigungsmail ist mit dem Public Key des Hochladenden verschlüsselt. So können wir den Besitz des passenden Private Key und natürlich den Zugriff auf das Postfach sicherstellen, das E-Mails unter der im Public Key angegebenen E-Mail-Adresse entgegennimmt. Neben PGP bietet Open Keys auch S/MIME Schlüssel an. So ist man nicht auf ein Verfahren angewiesen.
    Gruß Stefan

Schreiben Sie eine Ergänzung

Ergänzungen dienen der Diskussion über die Inhalte des Artikels. Nachfragen, Anmerkungen und Ergänzungen sind dezidiert erwünscht. Ergänzungen werden vor der Veröffentlichung moderiert. Wir behalten uns vor Kommentare ohne inhaltlichen Bezug oder abseitige Diskussionen nicht zu veröffentlichen.

Bitte geben Sie Ihre Ergänzung ein!
Bitte geben Sie hier Ihren Namen ein