Willkommen im User-Forum von mailbox.org
 

OpenPGP-eID mit Governikus

Tom hat dies geteilt, 9 Monaten her
unbeantwortet

Halli Hallo allerseits,

über die AusweisApp2 ist es möglich den eigenen PGP-Schlüssel mit Hilfe der Governikus GmbH & Co. KG beglaubigen zu lassen. In der Beschreibung innerhalb der App steht:

"Die Beglaubigung ihres PGP-Schlüssels stellt gegenüber dem Empfänger sicher, dass Sie und kein Dritter der Absender einer Nachricht sind. Ein Dienst i. A. des Bundesamtes für Sicherheit in der Informationstechnik (BSI)."

Mich interessiert dazu eure Meinung. Wie nehmt ihr dieses Angebot wahr? Was spricht eurer Meinung nach gegen und was für dieses Angebot? Ist es überhaupt notwendig, den eigenen PGP-Schlüssel von einer dritten Stelle derart beglaubigen zu lassen?

Ich bin auf eure Meinungen und auch eventuelle Erfahrungen sehr gespannt.

Liebe Grüße Tom

Kommentare (1)

Foto
1

1. Weißt Du, wie OpenPGP funktioniert?

2. Was willst Du erreichen? Wenn Du Dir sicher sein willst, musst Du die Schlüssel immer verifizieren.

3. Für was/Mit wem willst Du OpenPGP benutzen? Werden sie auf diese Beglaubigung achten?

Foto
1

"2. Was willst du erreichen?..."


Ich suche lediglich einen Erfahrungs- und Meinungsaustausch bezüglich dem o.g. Angebot und möchte nicht schon mit meiner ersten Regung in diesem Forum an die Wand gestellt und er... ähm... mundtot gemacht werden.


Bei dir bekomme ich den Eindruck, dass du - ich bitte vorab um Verzeihung- der Türsteher dieses Forums bist. Siehe dazu auch meinen anderen Thread. Ist das hier üblich, dass neue Kunden so empfangen werden, indem sie erstmal auf ihre Tauglichkeit abgecheckt werden? Denn genau den Eindruck habe ich gerade.


Nichts für ungut - entweder verstehe ich hier etwas falsch oder ich habe tatsächlich die falsche Tür geöffnet.


Liebe Grüße Tom

Foto
1

Alles gut Tom, Beglaubigungen und das Web of Trust haben sich nur etwas überholt. Ich empfehle dir, deinen Public-key auf https://keys.openpgp.org/ hochzuladen. Nur der Inhaber der E-Mail Adresse kann dort Schlüssel hochladen. Ein Key-Poisoning und andere „Schandtaten“ sind da nicht möglich. Alles Weitere lässt sich einlesen.

Foto
1

Wenn man bestimmte Fragen stellt, sollte man auch damit rechnen, Nachfragen gestellt zu bekommen.

Die Links in dem anderen Thread waren zur Erklärung, dass es bei PGP sehr kompliziert und nervig ist, es richtig zu machen (um hohen Sicherheitsansprüchen zu genügen). Wenn man Spaß daran hat und es nicht für sichere Kommunikation gedacht ist, kann man es natürlich gerne benutzen (z.B. mit keys.openpgp.org).

Foto
1

@7842928

Das habe ich bereits schon schrittweise auf zwei Key-Servern erledigt. Dennoch Danke für diesen Ratschlag. Trotzdem möchte ich hier noch einmal feststellen, dass ich bezüglich dem o.g. Angebot einen Erfahrungsaustausch suche und nicht pauschal zu dem Thema PGP.

Es ist nunmal ein Angebot, welches auch über die AusweisApp2 konkret beworben wird.

@GenitivSeinVater

Damit habe ich auch gerechnet. Jedoch nicht direkt auf meine gestellten Fragen, sondern erst im Zuge eines darauffolgenden Informationsaustausches. Oder beantwortest du immer Fragen zuerst mit Gegenfragen? Dann bekommt nämlich dein Pseudonym auch einen grundlegenden Sinn. Denn wenn der Dativ dem Genitiv sein Tod ist, dann ist der Vater des Genitiv bestimmt nicht gut auf den Dativ zu sprechen. Aber ich bin nicht der Dativ. Kleiner Scherz am Rande. ;-)

Dann beantworte ich dir jetzt auch deine anderen Fragen:

1. Nachdem ich dieses Thema lange vor mir hergeschoben habe, befasse ich mich jetzt seit einigen Wochen meiner Zeit entsprechend sehr viel damit. Es gibt dabei aber ein Problem: mir stehen nur Android-Systeme zur Verfügung.

3. Die Kommunikation findet privat auch im geschäftlichen Bereich statt. So z.B. mit meiner Bank die dafür auch entsprechende Schlüssel zur Verfügung stellt. Ob sie diese Beglaubigung auch beachtet, ist wohl nur vermutlich.

Allgemein scheint es wohl aber auch so zu sein, dass ein Key-Server Signierungen Dritter wohl eher ignoriert. Das weiß ich aber nicht so genau.

Liebe Grüße Tom

Foto
1

Es gibt 2 Arten von Keyservern. Klassiche (alte) Keyserver nutzen Web of Trust und enthalten Signaturen (z.B. die von Governikus). Jeder kann Keys hochladen und fälschen.

Dann gibt es verifizierende Keyserver wie keys.openpgp.org. Die Verifizieren die Mailadresse beim Hochladen. Signaturen werden nicht mit exportiert.

Beides hat sowohl Vor- als auch Nachteile und es kommt auf das persönloche Schutzbedürfnis an, was für einen besser ist. Grundsätzlich kann man beide Verfahren auch mischen.

Foto
1

Danke für die Erklärung. Mit persönliches Schutzbedürfnis meinst du genau was?

Wenn es um Spam-Gefahr geht, die ja mit diesen Key-Servern steigen kann, das ist mir relativ schnuppe. Wichtiger ist mir, dass mein öffentlicher Schlüssel auch gefunden werden kann, da ich (noch) nicht über eigenständige öffentliche Möglichkeiten (Webseite etc.) verfüge.

Foto
1

@Tom ich beantworte nicht alle Fragen mit Gegenfragen, aber manche sind so unspezifisch, dass man nachhaken muss, um vernünftige Antworten zu geben. Die Antwort Lufers bestätigt das meiner Meinung nach.

Und Genitiv ins Wasser weils Dativ ist :-)

GenitivSeinVater fand ich als Pseudonym interessant, weil die "sein ..." Konstruktion oft als Ersatz für den Genitiv benutzt wird. Wenn der Genitiv der Vorgänger dieses "Systems" ist, geht das, aber es ist (für mich) lustiger, wenn sich eine Person durch ihren Sohn definiert - was erstmal nicht so möglich ist.

Foto
1

Das Auffinden eines PGP-Keys ist mehr oder weniger ein gelöstes technisches Problem. Es gibt die alten Keyserver mit HKPS, neue Keyserver mit VKS und Standards (tatsächlich noch ein Draft bisher) wie Web Key Directory, Autocrypt etc.

Die Frage ist eher, wie vertrauenswürdig sind Schlüssel, die über den ein oder anderen Weg bezogen werden. Am sichersten ist natürlich Verifikation bei einem persönlichem Treffen, das ist aber oft nicht praktikabel. Hier vertraust du auf gar nichts als auf dich selbst. Alle anderen Methoden setzen Vertrauen in gewisse Personen/Institutionen voraus.


Bsp: PGP-Pubkey wird auf Webseite veröffentlicht. Im Grunde vertraust du dann den eingebauten CAs deines Browsers/OS. (Cert-Pinning mal außen vor gelassen).

Die Entscheidung, was du für deinen Einsatzzweck als ausreichend sicher erachtest, liegt allein bei dir. Ich empfehle dir keys.openpgp.org und Web Key Directory, wenn deine Anforderungen eher mittel sind, ansonsten Web of Trust.

Foto
Hinterlassen Sie einen Kommentar
 
Dateianlage anfügen