Der Keyserver ist tot! Es lebe der Keyserver!

In einschlägigen IT-Medien wird die Verschlüsselung via PGP häufig thematisiert. Letztlich handelt es sich um eine erprobte und unserer Auffassung nach eine der sichersten Technologien in diesem Bereich. Lediglich der Umgang mit Technologien, die langjährig im Einsatz sind, muss immer wieder auf den Prüfstand gestellt werden, damit dieser zeitgemäßen Ansprüchen genügt.

Aktuelle Berichte zu gezielten Angriffen und Missbrauch von öffentlichen Keyservern haben wir daher zum Anlass genommen und Peer Heinlein gebeten, uns  seine aktuelle Sicht auf das Thema PGP Verschlüsselung und Keyserver zu geben.

Berichte in Medien, z.B. heise online.

 

Meinungsbericht Peer Heinlein, CEO von mailbox.org

Der Austausch öffentlicher Schlüssel ist die Grundlage für sichere E-Mail-Kommunikation. Dieser erfolgt oft über öffentliche Schlüssel-Server. Angreifer haben nun  eindrucksvoll gezeigt, dass sich diese Schlüssel großflächig mit digitalen „Spam-Unterschriften“ versehen lassen und Probleme mit etablierter PGP-Software verursachen. Einige Skeptiker fragen nun, ob das Konzept öffentlicher Schlüssel-Server, des „Web-of-Trust“ und PGP-Systems als Ganzes überhaupt noch zu retten sind.

Meine Antwort lautet eindeutig ja: PGP ist nach wie vor eine sichere und bewährte Technologie, deren Tage noch lange nicht gezählt sind – lediglich der Schlüsselaustausch zwischen den Kommunikationspartnern muss neu organisiert werden. Insbesondere die Möglichkeit, ungefragt fremde Schlüssel zu signieren, bringt in der Praxis kaum Mehrwerte und kann daher bedenkenlos abgeschafft werden.

mailbox.org setzt sich bereits seit Längerem mit diesem Problem auseinander und hat gemeinsam mit Open-Xchange und dem Fraunhofer Institut eine Lösung entwickelt, die bereits ohne ein „Web-of-Trust“ – also zusätzliche Signaturen Dritter auskommt. Wir stellen unseren Kunden dazu einen Schlüssel-Server zur Verfügung. Sie laden dort ihre öffentlichen PGP-Schlüssel hoch und können auch neue Schlüsselpaare erzeugen. Dank der verwendeten Standards WKD/WKS sind PGP-Clients externer Nutzer in der Lage, automatisch zu identifizieren, dass mailbox.org als Schlüssel-Server anzufragen ist. Die daraufhin übermittelten Schlüssel sind vertrauenswürdig, denn sie können nur von tatsächlich registrierten Nutzern stammen. Das Konzept wurde in der aktuellen Version des beliebten Kryptographiesystems GNU Privacy Guard (GnuPG) bereits implementiert und funktioniert sehr zuverlässig.

Aufgrund der gemachten Erfahrungen plädiere ich mit Nachdruck dafür, dass andere Anbieter ebenfalls eigene Schlüsselserver aufsetzen und so konfigurieren, dass Nutzer ihre öffentlichen PGP-Schlüssel einfach hochladen und anfragende PGP-Clients diese automatisch beziehen können. Dank etablierter Standards ist dies mit sehr überschaubarem Aufwand realisierbar. Im Sinne unserer Kunden sollten wir die Verbreitung sicherer E-Mail-Kommunikation gemeinsam vorantreiben. Deshalb laden wir Domain- und E-Mail-Provider ab sofort zur übergreifenden Zusammenarbeit ein und unterstützen gern mit unserer Expertise bei der Umsetzung und Weiterentwicklung einer zukunftsfähigen PGP-Infrastruktur.