Datenschutz im digitalen Alltag

Damit Privates privat bleibt

Symbolbild "E-Mail Bug"

Nachteile dezentraler Lösungen am Beispiel OpenPGP

Einer der zentralen Bestandteile der E-Mail Verschlüsselung mittels OpenPGP/GPG basierte auf dem Web of Trust. Im Gegensatz zur Konkurrenz S/MIME setzte man eben nicht auf ein hierarchisches Zertifikatssystem. Das Web of Trust scheiterte spektakulär 2019.

Damals wurden nämlich die SKS-Keyserver über die öffentliche Schlüssel verteilt werden konnten gezielt angegriffen (siehe: Kommentar: OpenPGP Keyserver - Letzte Zuckungen). Kernproblem: Die Software zum Betrieb der Keyserver war quasi unwartbar. Die Entwicklercommunity veröffentlichte deshalb ein neues Keyserver-Modell, das sich durch eine Mailadressenüberprüfung auszeichnete und keine Signaturen mehr verteilte (eben die Abschaffung des Web of Trust).

Ich konnte mir schon damals folgenden Kommentar nicht verkneifen:

Durch die Dezentralisierung des Protokolls dauert es aber viel zu lange bis diese Entwicklungen beim Anwender ankommen. Alle Implementierungen müssen schließlich die voreingestellten Keyserver auswechseln. Selbst wenn die Entwickler das wirklich machen (was noch nicht gesichert ist) dauert es Jahre bis das alle Anwender erreicht - sofern diese überhaupt noch ihre Clients aktualisieren bzw. überhaupt noch aktiv gepflegte Programme nutzen.

Ich hab die letzten Wochen ein paar Neuinstallationen mit verschiedenen Linux Distributionen vorgenommen (siehe: Erfahrungen mit dem ASUS ZenBook 14 UM425IA). Außer Manjaro setzen alle Distributionen bei der zentralen Schlüsselverwaltungssoftware von KDE, namens Kleopatra, immer noch auf SKS-Keyserver. Das bedeutet erstens niemand hat Upstream etwas an den Standardkonfigurationen geändert hat und sich auch niemand bei den Distributionen die Arbeit machen wollte.

Bei ein bisschen Recherche konnte ich nur feststellen, dass wohl Enigmail damals schnell reagiert hat. Wie da der aktuelle Stand ist bleibt aber unklar, da die OpenPGP-Integration in Thunderbird kürzlich massiv umgebaut wurde (siehe: Thunderbird nun offiziell mit OpenPGP). Wie das bei den anderen Implementierungen aussieht kann ich nicht sagen. Vielleicht weiß dazu hier jemand mehr?

Das soll jetzt kein Plädoyer für S/MIME sein, denn dort gibt es ebenfalls große Probleme (siehe: S/MIME - Eine Verschlüsselungsoption weniger). Es zeigt halt einfach wie Tod das ganze Konzept inzwischen ist. Man kann es gleich neben dem Pendant für Echtzeitkommunikation XMPP beerdigen.

"

Tags: Verschlüsselung, OpenPGP, Kommunikation, GPG, Keyserver, Schlüsselserver

Ergänzungen zum Artikel

Weitere Informationen können den Nutzungsbedingungen entnommen werden.

Marco
Warum xmpp beerdigen? Mit omemo als verschlüsselung ist xmpp super!

5000 Buchstaben übrig


  • 1

Über [Mer]Curius

Immer größere Teile unseres Lebens haben sich in den vergangenen Jahren digitalisiert. Es gibt heute unzählige Dienste und jeder Mensch hinterlässt permanent Spuren. Die Datensätze, die hier entstehen wecken viele Begehrlichkeiten. Es besteht aber auch die Möglichkeit durch gezielte Maßnahmen die eigene Datenspur zu minimieren und Daten effektiv und sicher zu schützen. Damit entgeht man zwar nicht jeder Überwachungsmaßnahme, erlangt aber zumindest teilweise die Kontrolle über die eigenen Daten zurück.

→ Mehr über [Mer]Curius