Willkommen im User-Forum von mailbox.org
 

Guard: Empfänger und PGP Schlüssel-ID unterschiedlich

4155167 hat dies geteilt, 3 Jahren her
vorgeschlagen

Bisher müssen E-Mail-Adresse des Empfängers und die ID des PGP-Schlüssels identisch sein. Es gibt keine Möglichkeit an Empfänger verschlüsselt zu kommunizieren, die einen firmenweiten PGP-Schlüssel haben (z. B. pgp-key@firma.tld). Ich fände es gut, wenn sich das ändern ließe.

Kommentare (2)

Foto
1

Ich glaube nicht, dass dieses Szenario mit einem General-Schlüssel für eine Domain den Intentionen von PGP entspricht.


Wenn eine Firma einen PGP-Schlüssel für mehrere E-Mail Adressen verwenden will, dann können diese Adresse im Schlüssel hinzugefügt werden. Dann weiß man als Absender auch, wer diese verschlüsselte Mail lesen kann.

Foto
1

Eigentlich ein berechtigter Einwand, aber... :)


Es ist ein Szenario, was von vielen Firmen gelebt wird:


- Eine Firma hat knapp 6.000 Mitarbeiter und alle sollen PGP-verschlüsselte Nachrichten empfangen können. Zusätzlich gibt es noch rund 2000 Ressourcen-Postfächer, die ebenfalls verschlüsselt angeschrieben werden sollen.

- Innerhalb der Firmeninfrasturktur dürfen die Nachrichten nicht verschlüsselt sein, also wird an einem Gateway ver-/entschlüsselt.

- Das Gateway steht in einer DMZ, Zugriffe aus dem internen Netz auf die PGP-Infrastruktur für jeden Anwender, um sich seinen Schlüssel zu bauen, ist nicht möglich.

- So wird also der Server von wenigen Admins verwaltet.

- Bei täglichen Personalzuwächsen und -Fluktuationen sowie Namensänderungen aufgrund Heirat/Scheidung hätten die Admins nichts anderes zu tun, als die Schlüssel-ID tagtäglich anzupassen.

- Wenn man alle persönlichen und Ressourcen-Adressen an einen Schlüssel hängt, man also ein PGP-Schlüssel mit 8000 existierenden Adressen haben möchte, geht das? Wie groß ist der Schlüssel? Wie oft am Tag muss der auf dem Key-Server aktualisiert werden? Was ist, wenn die E-Mail-Adressen z. T. schutzbedürftig wären, also nicht veröffentlich werden sollten? Von der SPAM-Problematik ganz abgesehen?


Lösung: Generalschlüssel mit einer neutralen E-Mail-Adresse. Soweit ich den OpenPGP-Standard verstanden habe, kein unzulässiges Szenario.


Und wenn ich mir unser Schlüsselverzeichnis anschaue, sind von den derzeit knapp 1000 eingepflegten öffentlichen Schlüsseln mindestens 1/3 ebenfalls Generalschlüssel.


Die Intention einer Software ist das eine, das, was man daraus machen kann, das andere. ;)