Guard: Empfänger und PGP Schlüssel-ID unterschiedlich
vorgeschlagen
Bisher müssen E-Mail-Adresse des Empfängers und die ID des PGP-Schlüssels identisch sein. Es gibt keine Möglichkeit an Empfänger verschlüsselt zu kommunizieren, die einen firmenweiten PGP-Schlüssel haben (z. B. pgp-key@firma.tld). Ich fände es gut, wenn sich das ändern ließe.
Ich glaube nicht, dass dieses Szenario mit einem General-Schlüssel für eine Domain den Intentionen von PGP entspricht.
Wenn eine Firma einen PGP-Schlüssel für mehrere E-Mail Adressen verwenden will, dann können diese Adresse im Schlüssel hinzugefügt werden. Dann weiß man als Absender auch, wer diese verschlüsselte Mail lesen kann.
Ich glaube nicht, dass dieses Szenario mit einem General-Schlüssel für eine Domain den Intentionen von PGP entspricht.
Wenn eine Firma einen PGP-Schlüssel für mehrere E-Mail Adressen verwenden will, dann können diese Adresse im Schlüssel hinzugefügt werden. Dann weiß man als Absender auch, wer diese verschlüsselte Mail lesen kann.
Eigentlich ein berechtigter Einwand, aber... :)
Es ist ein Szenario, was von vielen Firmen gelebt wird:
- Eine Firma hat knapp 6.000 Mitarbeiter und alle sollen PGP-verschlüsselte Nachrichten empfangen können. Zusätzlich gibt es noch rund 2000 Ressourcen-Postfächer, die ebenfalls verschlüsselt angeschrieben werden sollen.
- Innerhalb der Firmeninfrasturktur dürfen die Nachrichten nicht verschlüsselt sein, also wird an einem Gateway ver-/entschlüsselt.
- Das Gateway steht in einer DMZ, Zugriffe aus dem internen Netz auf die PGP-Infrastruktur für jeden Anwender, um sich seinen Schlüssel zu bauen, ist nicht möglich.
- So wird also der Server von wenigen Admins verwaltet.
- Bei täglichen Personalzuwächsen und -Fluktuationen sowie Namensänderungen aufgrund Heirat/Scheidung hätten die Admins nichts anderes zu tun, als die Schlüssel-ID tagtäglich anzupassen.
- Wenn man alle persönlichen und Ressourcen-Adressen an einen Schlüssel hängt, man also ein PGP-Schlüssel mit 8000 existierenden Adressen haben möchte, geht das? Wie groß ist der Schlüssel? Wie oft am Tag muss der auf dem Key-Server aktualisiert werden? Was ist, wenn die E-Mail-Adressen z. T. schutzbedürftig wären, also nicht veröffentlich werden sollten? Von der SPAM-Problematik ganz abgesehen?
Lösung: Generalschlüssel mit einer neutralen E-Mail-Adresse. Soweit ich den OpenPGP-Standard verstanden habe, kein unzulässiges Szenario.
Und wenn ich mir unser Schlüsselverzeichnis anschaue, sind von den derzeit knapp 1000 eingepflegten öffentlichen Schlüsseln mindestens 1/3 ebenfalls Generalschlüssel.
Die Intention einer Software ist das eine, das, was man daraus machen kann, das andere. ;)
Eigentlich ein berechtigter Einwand, aber... :)
Es ist ein Szenario, was von vielen Firmen gelebt wird:
- Eine Firma hat knapp 6.000 Mitarbeiter und alle sollen PGP-verschlüsselte Nachrichten empfangen können. Zusätzlich gibt es noch rund 2000 Ressourcen-Postfächer, die ebenfalls verschlüsselt angeschrieben werden sollen.
- Innerhalb der Firmeninfrasturktur dürfen die Nachrichten nicht verschlüsselt sein, also wird an einem Gateway ver-/entschlüsselt.
- Das Gateway steht in einer DMZ, Zugriffe aus dem internen Netz auf die PGP-Infrastruktur für jeden Anwender, um sich seinen Schlüssel zu bauen, ist nicht möglich.
- So wird also der Server von wenigen Admins verwaltet.
- Bei täglichen Personalzuwächsen und -Fluktuationen sowie Namensänderungen aufgrund Heirat/Scheidung hätten die Admins nichts anderes zu tun, als die Schlüssel-ID tagtäglich anzupassen.
- Wenn man alle persönlichen und Ressourcen-Adressen an einen Schlüssel hängt, man also ein PGP-Schlüssel mit 8000 existierenden Adressen haben möchte, geht das? Wie groß ist der Schlüssel? Wie oft am Tag muss der auf dem Key-Server aktualisiert werden? Was ist, wenn die E-Mail-Adressen z. T. schutzbedürftig wären, also nicht veröffentlich werden sollten? Von der SPAM-Problematik ganz abgesehen?
Lösung: Generalschlüssel mit einer neutralen E-Mail-Adresse. Soweit ich den OpenPGP-Standard verstanden habe, kein unzulässiges Szenario.
Und wenn ich mir unser Schlüsselverzeichnis anschaue, sind von den derzeit knapp 1000 eingepflegten öffentlichen Schlüsseln mindestens 1/3 ebenfalls Generalschlüssel.
Die Intention einer Software ist das eine, das, was man daraus machen kann, das andere. ;)
Kommentare wurden auf dieser Seite deaktiviert! Bitte benutzen Sie für einzelne Themen auch separate Einträge, da wir diese dann einzeln mit einem Status versehen können. Ein Sammelthema ist unnötig unübersichtlich.