logo

Suletuxe.de
Linux - Nutzer
helfen
Linux - Nutzern

Willkommen, Gast. Bitte Login oder Registrieren.
16. Juni 2021, 10:15:23
Übersicht Hilfe Suche Login Registrieren

Amateurfunk Sulingen
Diskussions- und Newsboard der Linux Interessen Gruppe Suletuxe  |  allgemeine Kategorie  |  Allgemeine Diskussionen  |  Thema: E-Mails Signieren (PGP) « zurück vorwärts »
Seiten: [1] nach unten Drucken
   Autor  Thema: E-Mails Signieren (PGP)  (Gelesen 56 mal)
Sebastian
Newbie
*

Offline

Einträge: 31





Profil anzeigen
E-Mails Signieren (PGP)
« am: 08. Juni 2021, 12:58:38 »

Hallo Suletuxe,

Wie der ein oder andere vielleicht schon bemerkt hat beschäftigt mich das Thema PGP momentan etwas mehr.

Ich stelle mir die Frage, ob es Sinn macht jede E-Mail die man verschickt, mit seinen PGP Key zu Signieren und vielleicht auch seinen Öffentlichen Key mit an die E-Mail Anhängt. Oder ob dies doch bei den meisten eher zu Verwirrung führt?

Einen Key-Server möchte ich aus Angst vor Spam (E-Mail Adresse würde dadurch Allgemein bekannt werden) nicht anvertrauen. Dennoch würde ich meine Kontakte auch gerne Wissen lassen das sie mir Ende zu Ende Verschlüsselte Nachrichten schicken können. Wenn ich dann eh schon per E-Mail in Kontakt bin finde ich ist das ein guter Kompromiss, die Kommunikation im weiteren verlauf zu Verschlüsseln. Dadurch würden ja keine neue Informationen Preis geben werden.

Wie handhabt ihr das den so? Bzw. wie reagieren euer Kontakte auf den Anhang von PGP Signierten E-Mails, wenn sie nicht wissen was das ist? Felt die Reaktion eher Negativ aus? Vielleicht sogar mit Angst die Mail zu öffnen? Oder ähnliches?
Gespeichert
Andreas
Administrator
*****

Offline

Einträge: 821



Linux von Innen

Profil anzeigen
Re:E-Mails Signieren (PGP)
« Antwort #1 am: 08. Juni 2021, 14:24:00 »

Hallo Sebastian,

ich signiere meine Emails alle seit 2007. Und seit einem Monat beherrscht mein Server (auf dem auch alle meine Emailadressen laufen) auch Web Key Directory WKD. Bei diesem Verfahren (das übrigens auch Microsoft unterstützen MUSS und es auch bereits tut) wird der öffentliche Schlüssel direkt von dem Server geholt auf dem auch die Domain läuft. Vorteil: der Schlüssel kann weder "vollgespammt" werden mit Beglaubigungen noch kann ihn jemand nicht befugtes hochladen oder verändern noch ist die Emailadresse auslesbar).

Ich denke dass das von den "Großen" aktuell nur posteo.de kannu Infos vom BSI dazu.

Ich denke wenn man solche wirklich ausgezeichneten Mechanismen weiter vorne sehen möchte: dann muss man sie auch nutzen, und zwar immer und uneingeschränkt.

LG
Andreas
« Letzte Änderung: 09. Juni 2021, 06:22:26 von Andreas » Gespeichert

Wissen ist das einzige Gut, das mehr wird, wenn man es teilt - wenn es Menschen gibt, die es weitergeben, und es Menschen gibt, die bereit sind, dieses Geschenk auch unter eigenem Einsatz anzunehmen.


Freiheit zu erkämpfen reicht nicht. Man muss sie auch verteidigen.
Sebastian
Newbie
*

Offline

Einträge: 31





Profil anzeigen
Re:E-Mails Signieren (PGP)
« Antwort #2 am: 08. Juni 2021, 19:06:11 »

Das mit WKD ist ja mal eine Klasse Sache. (Übrigens dein WKD Link ist defekt von deinem vorherigen Post)

Das hat mich gleich dazu veranlasst in meinem GPG den Schlüssel Server abzuschalten indem ich in der

Code:

~/.gnupg/gpg.conf

keyserver ''


gesetzt habe. Da schlisslich jeder auf einen Keyserver ein Fake Key laden kann, finde ich es um weiten sicherer den Key vom Domain Mailserver abzufragen.

Deinen Key
Code:

0xC7B1F010BB65E1A0
für die i..fo@suletuxe.de

Konnte ich über WKD bei dir abfragen. Das einzigste was ich komisch fand ich bekam von folgende Meldung von GPG

Code:

gpg --locate-external-keys 'i..fo@suletuxe.de'

gpg: WARNUNG: HTTP Weiterleitung wurde gesäubert
gpg: Schlüssel 0xC7B1F010BB65E1A0: "A.R. <i..fo@suletuxe.de>" nicht geändert
...

Die Ausgabe habe ich sicherheitshalber Zenziert. Ich finde komisch das ich von deinem Server eine
"HTTP Weiterleitung wurde gesäubert Warnung" bekomme. Was bedeutet das genau? Wurde man da auf HTTPS umgleitet?

Mittlerweile scheinen das aber auch schon mehr E-Mail Anbieter zu unterstützen:

https://wiki.gnupg.org/WKD
Zitat:
Mail Service Providers offering WKD
Posteo offers web key directory lookup and service for @posteo.de-addresses (Since 2016-12) E.g. German Thunderbird/WKD Instructions
Protonmail supports web key directory lookup (Since 2018-11)
netzguerilla offers web key directory lookup. (Since 2017-10-11)
systemli.org offers web key directory lookup and service for all hosted domains (Since 2020-10-15)
mailbox.org plans to offer web key directory lookup in Q2 2018 (coming with OX Guard 2.10).

PS:

Andreas ich würde dir gerne eine Test E-Mail Schicken wenn ich darf. Ob der Web-Mailer von meinem Anbieter in der lange ist sich den Key per WKD von dir zu holen und bevor die Mail Raus geht mit deinen Key Verschlüsselt. Umgekehrt werde ich meine Mail mit meinem ECC Key signieren. Mein Anbieter unterstützt auch WKD damit dürftest du meinen Key abfragen können.
Gespeichert
Andreas
Administrator
*****

Offline

Einträge: 821



Linux von Innen

Profil anzeigen
Re:E-Mails Signieren (PGP)
« Antwort #3 am: 09. Juni 2021, 06:19:44 »

Hallo Sebastian,

die "Weiterleitung" ist in der Tat die zwangsweise Umschreibung auf HTTPS. Bei mir geht NIX MEHR über unverschlüsselte Verbindung 

Danke auch für die Rückmeldung mit dem defekten Link - da hatte ich einen Vertipper in der URL - ist nun korrigiert).

Und das mit der Mail kannst Du gerne testen. Ich sende Dir meine Emailadresse als PN.

LG
Andreas
« Letzte Änderung: 09. Juni 2021, 06:23:24 von Andreas » Gespeichert

Wissen ist das einzige Gut, das mehr wird, wenn man es teilt - wenn es Menschen gibt, die es weitergeben, und es Menschen gibt, die bereit sind, dieses Geschenk auch unter eigenem Einsatz anzunehmen.


Freiheit zu erkämpfen reicht nicht. Man muss sie auch verteidigen.
Sebastian
Newbie
*

Offline

Einträge: 31





Profil anzeigen
Re:E-Mails Signieren (PGP)
« Antwort #4 am: 09. Juni 2021, 18:51:08 »

Ich schreibe hier mal weiter damit andere davon vielleicht auch Profitieren können.

Andreas und ich standen kurz in E-Mail Kontakt damit ich die WKD Implementation von ProtonMail testen konnte.

Laut diesen Beitrag wird das WKD seid 2018 von ProtonMail unterstützt.
Zitat:
Quick summary: We implemented two security “rules” for our servers that basically force other servers to always send encrypted data. This means it’s now much harder for hackers to intercept emails between ProtonMail and non-ProtonMail accounts.

Das hatte schon mal nicht funktioniert. Ich musste erst Andreas sein öffentlichen Key Manuell importieren bevor ich an Andreas verschlüsseln konnte. Andreas sein Mail Server liefert dabei jedenfalls seinen Key per WKD aus. Also liegt höchstwahrscheinlich der Fehler bei ProtonMail.

Jetzt der andere Weg herum Andreas sein E-Mail Client (KMail) konnte meinen öffentlichen Schlüssel nicht von ProtonMail über WKD abfragen. Ich selbst habe die Abfrage mit gpg und Thunderbird ausprobiert beide konnten den Key über WKD bei ProtonMail abrufen.

Andreas hatte dabei festgestellt das die Implementierung von WKD bei ProtonMail wohl nicht Optimal ist. Fehlerhaft kann ich nicht sagen da ich davon zuwenig Ahnung in der Materie habe. Und bei meinen E-Mail Clients auch funktioniert hat.

Ein Key soll dabei wohl bei dem Mail Provider unter folgenden Standardisierten Pfad abgelegt werden

Code:

https://openpgpkey.example.com/.well-known/openpgpkey/example.com/hu/

Oder als Fallback
Code:

https://example.com/.well-known/openpgpkey/hu/


Falls openpgpkey.example.com DNS nicht aufgelöst werden kann.

ProthonMail hat diese Fallback Adresse für die Keys nicht eingerichtet. Und falls die erste DNS Adresse nicht aufgelöst werden kann, dann gibt es keine Keys. Desweiteren gab es noch eine Warnung

Code:

Advanced: `Access-Control-Allow-Origin: *` header is missing

Mit dieser Meldung kann ich leider nichts anfangen. Deswegen weis ich leider auch nicht ob es daran liegt das KMail trotz voller WKD Unterstützung den Key nicht holen konnte. gpg und Thunderbird haben da keine Probleme gehabt. Es gibt jedenfalls einen Hinweis darauf das WKD dort nicht sauber implementiert ist.
Zitat:
Edit: Nachträglich nun auch noch mal mit der Android App OpenKeychain getestest auch diese war in der lange den Key per WKD zu holen.
Da half dann nur der old Fashion Weg meinen Key Andreas zu mailen.

Leider Zeigt das auch das trotz WKD man immer noch keine Garantie bekommt das man jeden sofort Verschlüsselt Mailen (auch wenn die Adressen Keys haben) kann wenn diese Technologie nicht vernünftig Eingebaut wird.

Trotz der vielen Fallgruben die es dabei geben kann, finde ich es trotzdem wichtig sein Recht auf Private Kommunikation nicht so schnell aufzugeben. Man sollte lieber nach möglichen Lösungen suchen um seine
Privatsphäre zu wahren.

Vielen Dank für den Test Andreas, damit weiß ich in Zukunft worauf ich achten muss.
« Letzte Änderung: 10. Juni 2021, 09:09:44 von Sebastian » Gespeichert
Seiten: [1] nach oben Drucken 
Diskussions- und Newsboard der Linux Interessen Gruppe Suletuxe  |  allgemeine Kategorie  |  Allgemeine Diskussionen  |  Thema: E-Mails Signieren (PGP) « zurück vorwärts »
Gehe zu: 


Login mit Username, Passwort und Session Länge

 Es wird die Verwendung "Blink"-basierter Browser und mindestens 1024x768 Pixel Bildschirmauflösung
für die beste Darstellung empfohlen
 
freie Software für freie Menschen!
Powered by MySQL Powered by PHP Diskussions- und Newsboard der Linux Interessen Gruppe Suletuxe | Powered by YaBB SE
© 2001-2004, YaBB SE Dev Team. All Rights Reserved.
- modified by Andreas Richter (DF8OE)
Valid XHTML 1.0! Valid CSS!