Willkommen im User-Forum von mailbox.org
 

Öffentlicher PGP Key in Adressbuch nicht löschbar

Raphael hat dies geteilt, 2 Jahren her
veröffentlicht

Hallo zusammen,

ich habe am Wochenende den Guard eingerichtet. Zuerst "falsch", da mit meinem Login Alias, nach kurzer Suche im FAQ aber dann mit der richtigen Adresse.

Jetzt ist mir aufgefallen, dass in meinem Kontakt im Adressbuch der "falsche" öffentlicher PGP Key ist unter einer ganz meiner anderen eMailadresse (nicht die loginadresse), welchen ich nicht löschen kann, da ausgegraut.

Wie kann ich diesen löschen?

Einen manuell hochgeladenen PGP Key kann ich löschen.

Gruss

Raphael

Kommentare (8)

Foto
1

Diese lassen sich nicht löschen.

Foto
1

Genaso verhält es sich, wenn man eine Mail per "temporärem Benutzerkonto" verschickt. Danach wird der zugehörige öffentliche Schlüssel tief im System verankert und lässt sich nicht mehr löschen oder durch den korrekten Schlüssel ersetzen: Die "Mülltone" zum löschen des Schlüssels wird nicht angezeigt.

Sehr schade...

Foto
1

Was passiert, wenn man den Kontakt komplett löscht und neu anlegt (evtl. durch Ex- und Import, wobei ich annehme, dass da der Schlüssel nicht exportiert wird)?

Foto
1

Der Schlüssel wird auch in diesem Fall beibehalten. Das Verhalten ist genauso, als wäre der Kontakt einem Mailbox.org-Konto mit aktiviertem Guard zugeordnet: Schlüssel von anderen Mailbox.org-Benutzern werden ebenfalls automatisch aufgelöst. Sobald man einen Kontakt für einen anderen Mailbox.org-Benutzer hinzufügt, taucht dessen öffentlicher Schlüssel in der Liste der öffentlichen PGP-Schlüssel für diesen Kontakt auf. Ebenfalls ohne Option diesen zu entfernen.

Bei anderen Guard-Usern kann jedoch davon ausgegangen werden, dass der Schlüssel passt. Anders verhält es sich mit den öffentlichen Schlüsseln von "temporären Benutzerkonten" (Guard Reader): Evtl. wurde schlicht vergessen den Schlüssel des Empfängers zu importieren. Ist das Kind aber einmal in den Brunnen gefallen und das "temporäre Benutzerkonto" für den Empfänger angelegt, kann man den öffentlichen Schlüssel nicht mehr korrigieren. Zwar kann man weitere öffentliche Schlüssel zum Kontakt hinzufügen, Guard nutzt aber weiterhin den Schlüssel des obsoleten "temporären Benutzerkontos".

Foto
1

Die Auswirkungen gehen über das eigene Mailbox.org-Konto hinaus:

Schreiben Sie doch mal eine Mail an gibts-nicht@example.com:

Ich habe gerade eine Mail mit der Guard-Funktion "temporäres Benuterkonto" an diese Adresse geschickt. Ab sofort wird auch Ihnen angezeigt, für den Benutzer wäre ein Schlüssel vorhanden und PGP-Verschlüsselung möglich (Schlüsselsymbol neben der Mail-Adresse).

Gehen Sie noch weiter und legen einen Kontakt mit der Adresse gibts-nicht@example.com an - hier wird dann der öffentliche Schlüssel des "temporären Benutzerkontos" angezeigt - siehe unten.

c0797a2a127a524796e793ce75823ad1

4db6a54d2657ca046713629fe4e121c8

Das ganze lässt sich leider auch wie folgt missbrauchen, um perfekte Phishing-Mails an Mailbox.org Guard-Nutzer zu schicken:

(Beschreibung der Schritte 1-4 gelöscht + Mail an den Support: Mailbox.org sollte sich die Sache als erstes anschauen)

5. Er [der Angreifer] nutzt den privaten Schlüssel um einem beliebigem Mailbox.org-Nutzer eine signierte oder verschlüsselte Mail mit der gekaperten Absenderadresse (im Beispiel: gibts-nicht@example.com) zu senden. Sofern der Empfänger den Guard aktiviert hat, bekommt er angezeigt, dass die Signatur der Mail erfolgreich geprüft worden sei.

6ef602ebf74ef8ef39a7d5cf9f07b938

Das ergibt leider die perfekte Phishing-Mail.

Foto
1

Dafür sollte sich der Support interessieren.

Foto
1

Danke, wir schauen uns das heute Vormittag an und geben das ggf. an die Entwickler vom Guard weiter.

Foto
1

Gibt es schon Neuigkeiten?

Foto