1. Foren
  2. Kommentare
  3. OpenSource-Forum
  4. Alle Kommentare zum Artikel
  5. › Mail-Client im Test…

Wie funktioniert der Schlüsselaustausch?

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema


  1. Wie funktioniert der Schlüsselaustausch?

    Autor: Vanger 02.07.20 - 14:33

    Ich verstehe den Artikel so als hätte Thunderbird damit keine Methode zum (teil-) automatisierten Schlüsselaustausch integriert - weder per Schlüsselserver (weder die alte kaputte Web-of-Trust-Infrastruktur noch der neue verifizierende Schlüsselserver), Trust On First Use oder irgendeines dieser unzähligen neuen Verfahren die den Schlüsselaustausch revolutionieren wollten, in der Praxis dann aber doch nicht funktioniert haben. Ist das nur in der hier getesteten Beta-Version so oder wie stellen sich die Entwickler vor wie der Schlüsselaustausch zukünftig funktionieren soll? Praktikabel ist es jedenfalls nicht jeden Schlüssel per Hand downloaden, hinzufügen, prüfen und als vertrauenswürdig einstufen zu müssen.

  2. Re: Wie funktioniert der Schlüsselaustausch?

    Autor: chefin 02.07.20 - 15:24

    Tja, es ist nicht einfach, wenn man einerseits nicht selbst in der Lage ist, die Authenzität des Schlüssels zu prüfen. Andererseits Drittprüfungen nicht vertrauen kann. Sobald ich einem Dritten trauen muss, ist es manipulierbar.

  3. Re: Wie funktioniert der Schlüsselaustausch?

    Autor: Vanger 02.07.20 - 15:47

    Natürlich ist die Thematik nicht einfach. Wenn es aber bei "Ist kompliziert, also machen wir gar nichts" bleibt wird E-Mail-Verschlüsselung auf ewig eine Nische für ein paar Nerds bleiben - da hilft die direkte Integration in Thunderbird rein gar nichts...

  4. Re: Wie funktioniert der Schlüsselaustausch?

    Autor: mtr (golem.de) 03.07.20 - 09:44

    Hallo Vanger,

    tatsächlich können Schlüssel doch per Schlüsselserver und WKD abgefragt werden - ein Thunderbird-Entwickler hat uns heute daraufhingewiesen. Wir haben den Artikel entsprechend überarbeitet.

    Viele Grüße
    Moritz

  5. Re: Wie funktioniert der Schlüsselaustausch?

    Autor: Vanger 03.07.20 - 10:30

    Ah, verstehe, immerhin. Danke für die Aktualisierung des Artikels! Verstehe ich das richtig, dass Thunderbird auch das nicht automatisch macht sondern ich für jeden einzelnen Empfänger/Absender wieder aktiv werden muss? Ich hab ja immer so das Gefühl als würden die gar nicht wollen, dass E-Mail-Verschlüsselung verwendet wird...

  6. Re: Wie funktioniert der Schlüsselaustausch?

    Autor: mtr (golem.de) 03.07.20 - 11:19

    Hallo Vanger,

    ja, die Schlüsselsuche muss vom Nutzer getriggert werden.

    Die Automatisierung des Schlüsselabrufes ist IMHO ein schwieriges Thema, weil es etliche Fallstricke gibt: Tracking, MITM-Angriffe etc. Beispielsweise habe ich mir letztes Jahr PEP angeschaut und konnte zeigen, wie sich PEP-Nutzern Schlüssel unterjubeln lassen: https://www.golem.de/news/pretty-easy-privacy-pep-ausprobiert-einfache-e-mail-verschluesselung-kann-so-kompliziert-sein-1905-141553.html

    Aber ich will jetzt auch nicht sagen, dass es unmöglich ist - mit keys.openpgp.org wurde ja auch das jeder-kann-Schlüssel-auf-den-Keyserver-hochladen-Problem gelöst.

    Viele Grüße
    Moritz

  7. Re: Wie funktioniert der Schlüsselaustausch?

    Autor: Vanger 03.07.20 - 11:55

    Du bist da weitaus tiefer im Thema drin als ich: Was spräche denn konkret dagegen WKD und keys.openpgp.org automatisiert einzubinden? Inwiefern sind Tracking und MitM bei WKD und keys.openpgp.org ein Problem?

    Ich fände einen Überblicksartikel wirklich toll. Ständig gibt es neue Konzepte, neue Ansätze, neue Tools - bei denen es dann zwei Wochen später heißt, dass sie doch Mist sind. Einiges davon kommt als offenbar berechtigte Kritik daher, bei manch anderem hat man eher den Eindruck da geht der Perfektionismus (getreu dem Motto "entweder perfekt oder gar nicht") wieder mit den Leuten durch. WKD und keys.openpgp.org hören sich für mich als plausible Lösungen an, trust on first use etwas weniger. Dass es keine gute UI gibt ist nochmal ein Thema für sich.

    Die Lösung muss doch nicht perfekt sein... HTTPS ist auch nicht perfekt, die CA-Infrastruktur ist broken beyond repair. Trotzdem kommt keiner auf die Idee dem Nutzer die Schlüsselverwaltung aufzubürden. Bei OpenPGP gibt es aber einen ganz merkwürdigen Konsens zu "entweder perfekt oder gar nicht" - was am Ende dann "gar nicht" bedeutet. Richtig absurd wird die ganze Thematik wenn man bedenkt, dass bei der "manuellen Verwaltung" mangels Überprüfbarkeit am Ende wieder blind einem Key vertraut wird...

    > Ich hab ja immer so das Gefühl als würden die gar nicht wollen, dass E-Mail-Verschlüsselung
    > verwendet wird...

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Trainee im Bereich Projektkoordination Strategie m/w/d
    Phoenix Contact GmbH & Co. KG, Blomberg
  2. Software Engineer - Radar Detection (m/f/d)
    Continental AG, Neu-Ulm
  3. Mitarbeiter (m/w/d) First Level Support/IT-Service Desk
    WDR mediagroup digital GmbH, Köln
  4. Ausschreibung einer unbefristeten Vollzeitstelle als IT-Administrator/in (m/w/d)
    Verein zur Förderung abschlussbezogener Jugend- und Erwachsenenbildung e.V., Köln

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Galaxy Z Flip 4 128GB -30%, Neo QLED TV 65 Zoll -34%, Galaxy Tab S6 Lite -36%)
  2. 389€ (Bestpreis, UVP 549€)


Haben wir etwas übersehen?

E-Mail an news@golem.de