Warum Schlüsselverifikation wichtig ist

PGP/GPG ist eine gute Möglichkeit, Emailkommunikation sicher zu gestalten.

Doch es gibt eine große Schwachstelle: Ich muss sicher sein, dass der Schlüssel, den ich verwende,
auch tatsächlich der Person (oder Gruppe) gehört, deren Name draufsteht.

Es könnte also eine uns unfreundlich gesinnte Person (oder Behörde…) einen Schlüssel für die Emailadresse hambacherforst@nullriseup.net erstellen und ihn auf die Schlüsselserver hochladen.
Wenn wir dem Staat zutrauen, unsere Telefone abzuhören, müssen wir ihm auch zutrauen, auf der Website einen falschen Schlüssel unterzuschieben.

Letzteres ist insofern nicht generell der Fall, als dass dem Verfasser dieses Textes heute (25.6.18) der korrekte Schlüssel auf dem Blog angezeigt wird.
Ersteres ist aber sehr wohl der Fall. Es gibt auf den Schlüsselservern einen Schlüssel, der im Hambacher Forst nicht entschlüsselt werden kann (4d1627e8). Wer damit verschlüsselte Mails lesen kann, wissen wir nicht. Vielleicht hat ein Troll ihn hochgeladen, der uns nur mit unlesbaren Mails nerven will. Vielleicht hofft aber auch die Polizei, dass Menschen vertrauliche Infos mit diesem Schlüssel verschlüsseln, die dann nur die Überwacher lesen können.

Was tun?
Nutzt die von PGP bereitgestellten Möglichkeiten, Schlüssel zu verifizieren und das Web of Trust. Eine gute Erklärung dieses Prinzips findet ihr bei FoeBuD
Über das Web of Trust wird zwar öffentlich sichtbar, wer (also: welche Mailadresse) schonmal Kontakt mit dem Hambi hatte, es erspart den Menschen im Wald aber die ein oder andere Frage nach dem Fingerprint.
Wenn euch das alles zu kompliziert ist und ihr lieber das Risiko eingeht, dass die Cops unseren Blog manipulieren, nehmt den Schlüssel vom Blog (ba1725b1).

Nachtrag:

Idealerweise ruft ihr die Website mit unserem Schlüssel via Tor ab, um sicherzustellen dass Angreifer/Staat die Verbindung nicht so leicht manipulieren können. Dies kann aber einen manuellen Fingerprint Abgleich nicht ersetzen, wer unseren Fingerprint haben möchte darf sehr gerne anrufen (0663 06256846 oder 01781637325).

Dieser Beitrag hat 3 Kommentare

  1. Peter

    Letzten Monat wurde eine Sicherheitslücke bekannt (Efail).
    Das Problem tritt aber nur auf, wenn die Mails unterwegs abgefangen und manipuliert würden und zusätzlich das eigene Mail-Programm Inhalte (v. a. Grafiken nachlädt).
    Ich denke zwar nicht, dass Mails abgefangen und manipuliert werden (das wäre auch nachweisbar).
    Aber das eigene Mail-Progeamm so einzustellen, dass nicht automatisch Grafiken von externen Servern nachgeladen werden, ist sicher sinnvoll. (Oder allgemein keine HTML-Mails anzeigen zu lassen.) Vielleicht weist Ihr Eure Kommunikationspartner auch vorsichtshalber darauf hin.

  2. egal

    Ob ein Schlüssel von einer vetrauenswürdigen Person stammt läßt sich grundsätzlich nicht feststellen. Etwas anderes ist das PGP Verfahren der Vetrauenssicherung. Sollte der Schlüssel schon mehrfaches per elektr. Unterschrift Vertrauen erfahren haben, dann sollte unter diesen Vetrauensleuten wenigstens einer sein, den ich persönlich kenne. Dann füge ich mein Vertrauen (meine Unterschrift) evtl. hinzu. Nur die Person kann für mich eine unmittelabre Vetrauensperson sein, die ich persönlich kenne. Die kennt dann evt. wieder einen aus der Liste der Vetrauensleute usw…Also ohne persönliche Bekanntschaft mit wenigstens einer Person aus der Liste der Vetrauenspersonen ist PGP nicht sicher. Überhaupt sollte man nur via Tormail miteinander kommunizieren, wenn schon nicht persönlich. Tormail accounts lahmzulegen oder abzuhören ist für die Bullen so gut wie unmöglich. Und natürlich auch den gesamten PC verschlüsseln, und den Schlüssel NIEMALS herausgeben.

    Letztlich beruht auch die Sicherheit des PGP Verfahrens auf der persönlichen Bekanntschaft mit wenigstens EINEM der Schlüsselunterzeichner, und NIEMAND sollte Schlüssel blindlinks unterschreiben, ohne dass sich i.d. Liste wenigstens EINE Vertrauensperson befindet.

    Mit Leuten die ich persönlich kenne brauche ich keine Fingerprints auszutauschen. Nichts ist so sicher wie die persönliche Bekanntschaft mit einer Vertrauensperson. OHNE DAS geht es allerdings nicht, auch nicht mit PGP. Das zwischenmenschliche Vertrauen kann nicht restlos durch Elektronik ersetz werden.

    Grüße

    1. Einspruch

      Was du beschreibst, ist das Web of Trust.
      Menschen, die einen Schlüssel ausgeben, persönlich zu kennen reicht aber nur dann, wenn der Schlüssel auch persönlich übergeben wurde. Für alle anderen Fälle gibt es die Schlüsselverifikation mit Fingerprint, die ich natürlich über andere Kanäle als Email durchführen sollte.
      Es ist vielmehr so, dass ich auf die Schlüsselverifizierung über andere Kanäle verzichten kann, wenn Menschen den Schlüssel unterschrieben haben, denen ich vertraue, dass sie den Schlüssel gewissenhaft geprüft haben, bevor sie ihn unterschreiben.

Schreibe einen Kommentar