Titel: E-Mails Signieren (PGP)
Beitrag von: Sebastian am 08. Juni 2021, 12:58:38
Hallo Suletuxe,
Wie der ein oder andere vielleicht schon bemerkt hat beschäftigt mich das Thema PGP momentan etwas mehr.
Ich stelle mir die Frage, ob es Sinn macht jede E-Mail die man verschickt, mit seinen PGP Key zu Signieren und vielleicht auch seinen Öffentlichen Key mit an die E-Mail Anhängt. Oder ob dies doch bei den meisten eher zu Verwirrung führt?
Einen Key-Server möchte ich aus Angst vor Spam (E-Mail Adresse würde dadurch Allgemein bekannt werden) nicht anvertrauen. Dennoch würde ich meine Kontakte auch gerne Wissen lassen das sie mir Ende zu Ende Verschlüsselte Nachrichten schicken können. Wenn ich dann eh schon per E-Mail in Kontakt bin finde ich ist das ein guter Kompromiss, die Kommunikation im weiteren verlauf zu Verschlüsseln. Dadurch würden ja keine neue Informationen Preis geben werden.
Wie handhabt ihr das den so? Bzw. wie reagieren euer Kontakte auf den Anhang von PGP Signierten E-Mails, wenn sie nicht wissen was das ist? Felt die Reaktion eher Negativ aus? Vielleicht sogar mit Angst die Mail zu öffnen? Oder ähnliches? |
Titel: Re:E-Mails Signieren (PGP)
Beitrag von: Andreas am 08. Juni 2021, 14:24:00
Hallo Sebastian,
ich signiere meine Emails alle seit 2007. Und seit einem Monat beherrscht mein Server (auf dem auch alle meine Emailadressen laufen) auch Web Key Directory WKD (https://wiki.gnupg.org/WKD). Bei diesem Verfahren (das übrigens auch Microsoft unterstützen MUSS und es auch bereits tut) wird der öffentliche Schlüssel direkt von dem Server geholt auf dem auch die Domain läuft. Vorteil: der Schlüssel kann weder "vollgespammt" werden mit Beglaubigungen noch kann ihn jemand nicht befugtes hochladen oder verändern noch ist die Emailadresse auslesbar).
Ich denke dass das von den "Großen" aktuell nur posteo.de kannu Infos vom BSI dazu (https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Onlinekommunikation/Verschluesselt-kommunizieren/E-Mail-Verschluesselung/e-mail-verschluesselung_node.html).
Ich denke wenn man solche wirklich ausgezeichneten Mechanismen weiter vorne sehen möchte: dann muss man sie auch nutzen, und zwar immer und uneingeschränkt.
LG
Andreas |
Titel: Re:E-Mails Signieren (PGP)
Beitrag von: Sebastian am 08. Juni 2021, 19:06:11
Das mit WKD ist ja mal eine Klasse Sache. (Übrigens dein WKD Link ist defekt von deinem vorherigen Post)
Das hat mich gleich dazu veranlasst in meinem GPG den Schlüssel Server abzuschalten indem ich in der
Code:
~/.gnupg/gpg.conf
keyserver ''
|
|
gesetzt habe. Da schlisslich jeder auf einen Keyserver ein Fake Key laden kann, finde ich es um weiten sicherer den Key vom Domain Mailserver abzufragen.
Deinen Key
Code:
für die i..fo@suletuxe.de
Konnte ich über WKD bei dir abfragen. Das einzigste was ich komisch fand ich bekam von folgende Meldung von GPG
Code:
gpg --locate-external-keys 'i..fo@suletuxe.de'
gpg: WARNUNG: HTTP Weiterleitung wurde gesäubert
gpg: Schlüssel 0xC7B1F010BB65E1A0: "A.R. <i..fo@suletuxe.de>" nicht geändert
...
|
|
Die Ausgabe habe ich sicherheitshalber Zenziert. Ich finde komisch das ich von deinem Server eine
"HTTP Weiterleitung wurde gesäubert Warnung" bekomme. Was bedeutet das genau? Wurde man da auf HTTPS umgleitet?
Mittlerweile scheinen das aber auch schon mehr E-Mail Anbieter zu unterstützen:
https://wiki.gnupg.org/WKDMail Service Providers offering WKD
Posteo offers web key directory lookup and service for @posteo.de-addresses (Since 2016-12) E.g. German Thunderbird/WKD Instructions
Protonmail supports web key directory lookup (Since 2018-11)
netzguerilla offers web key directory lookup. (Since 2017-10-11)
systemli.org offers web key directory lookup and service for all hosted domains (Since 2020-10-15)
mailbox.org plans to offer web key directory lookup in Q2 2018 (coming with OX Guard 2.10).
|
|
PS:
Andreas ich würde dir gerne eine Test E-Mail Schicken wenn ich darf. Ob der Web-Mailer von meinem Anbieter in der lange ist sich den Key per WKD von dir zu holen und bevor die Mail Raus geht mit deinen Key Verschlüsselt. Umgekehrt werde ich meine Mail mit meinem ECC Key signieren. Mein Anbieter unterstützt auch WKD damit dürftest du meinen Key abfragen können. |
Titel: Re:E-Mails Signieren (PGP)
Beitrag von: Andreas am 09. Juni 2021, 06:19:44
Hallo Sebastian,
die "Weiterleitung" ist in der Tat die zwangsweise Umschreibung auf HTTPS. Bei mir geht NIX MEHR über unverschlüsselte Verbindung 8)
Danke auch für die Rückmeldung mit dem defekten Link - da hatte ich einen Vertipper in der URL - ist nun korrigiert).
Und das mit der Mail kannst Du gerne testen. Ich sende Dir meine Emailadresse als PN.
LG
Andreas |
Titel: Re:E-Mails Signieren (PGP)
Beitrag von: Sebastian am 09. Juni 2021, 18:51:08
Ich schreibe hier mal weiter damit andere davon vielleicht auch Profitieren können.
Andreas und ich standen kurz in E-Mail Kontakt damit ich die WKD Implementation von ProtonMail testen konnte.
Laut diesen Beitrag (https://protonmail.com/blog/security-updates-2019/) wird das WKD seid 2018 von ProtonMail unterstützt.Quick summary: We implemented two security “rules” for our servers that basically force other servers to always send encrypted data. This means it’s now much harder for hackers to intercept emails between ProtonMail and non-ProtonMail accounts.
|
|
Das hatte schon mal nicht funktioniert. Ich musste erst Andreas sein öffentlichen Key Manuell importieren bevor ich an Andreas verschlüsseln konnte. Andreas sein Mail Server liefert dabei jedenfalls seinen Key per WKD aus. Also liegt höchstwahrscheinlich der Fehler bei ProtonMail.
Jetzt der andere Weg herum Andreas sein E-Mail Client (KMail) konnte meinen öffentlichen Schlüssel nicht von ProtonMail über WKD abfragen. Ich selbst habe die Abfrage mit gpg und Thunderbird ausprobiert beide konnten den Key über WKD bei ProtonMail abrufen.
Andreas hatte dabei festgestellt das die Implementierung von WKD bei ProtonMail wohl nicht Optimal ist. Fehlerhaft kann ich nicht sagen da ich davon zuwenig Ahnung in der Materie habe. Und bei meinen E-Mail Clients auch funktioniert hat.
Ein Key soll dabei wohl bei dem Mail Provider unter folgenden Standardisierten Pfad abgelegt werden
Code:
https://openpgpkey.example.com/.well-known/openpgpkey/example.com/hu/
|
|
Oder als Fallback
Code:
https://example.com/.well-known/openpgpkey/hu/
|
|
Falls openpgpkey.example.com DNS nicht aufgelöst werden kann.
ProthonMail hat diese Fallback Adresse für die Keys nicht eingerichtet. Und falls die erste DNS Adresse nicht aufgelöst werden kann, dann gibt es keine Keys. Desweiteren gab es noch eine Warnung
Code:
Advanced: `Access-Control-Allow-Origin: *` header is missing
|
|
Mit dieser Meldung kann ich leider nichts anfangen. Deswegen weis ich leider auch nicht ob es daran liegt das KMail trotz voller WKD Unterstützung den Key nicht holen konnte. gpg und Thunderbird haben da keine Probleme gehabt. Es gibt jedenfalls einen Hinweis darauf das WKD dort nicht sauber implementiert ist.Edit: Nachträglich nun auch noch mal mit der Android App OpenKeychain getestest auch diese war in der lange den Key per WKD zu holen.
|
|
Da half dann nur der old Fashion Weg meinen Key Andreas zu mailen.
Leider Zeigt das auch das trotz WKD man immer noch keine Garantie bekommt das man jeden sofort Verschlüsselt Mailen (auch wenn die Adressen Keys haben) kann wenn diese Technologie nicht vernünftig Eingebaut wird.
Trotz der vielen Fallgruben die es dabei geben kann, finde ich es trotzdem wichtig sein Recht auf Private Kommunikation nicht so schnell aufzugeben. Man sollte lieber nach möglichen Lösungen suchen um seine
Privatsphäre zu wahren.
Vielen Dank für den Test Andreas, damit weiß ich in Zukunft worauf ich achten muss. |
Diskussions- und Newsboard der Linux Interessen Gruppe Suletuxe | Powered by YaBB SE
© 2001-2003, YaBB SE Dev Team. All Rights Reserved.
|