HKPS-Server für eigene Domains verwenden - setzen eines DNS-Eintrages für eigene Domain
beantwortet
mailbox.org schreibt:
Wer seine eigene Domain auf mailbox.org umgelenkt hat kann PGP-Clients
ermöglichen, den zuständigen PGP-Server von mailbox.org automatisch
finden zu können, um Keys von dort zu beziehen. Dazu muß ein spezieller
SRV-DNS-Record werden, hier am Beispiel der Domain example.com:
_hkps._tcp.example.com. IN SRV 1 1 443 pgp.mailbox.org.
Kann mir jemand erklären, wie das in der Praxis abläuft? Also die DNS-Einstellung wurde für die eigene Domain getätigt, ich schreibe jemandem über meine PGP-Adresse eine Mail und was macht dann sein Client? Wie wird was beim PGP-Server von mailbox.org abgeglichen?
Vielen Dank :-)
> ... und was macht dann sein Client?...
Garnichts.
Es gibt keine PGP-Tools, die automatisch aus dem DNS-Eintrag den HKP-Server wählen und dort nach einem passenden Key schauen. Es wäre möglich, soetwas zu programmieren, aber leider hat das noch keiner gemacht.
Außerdem wird "Auto-Key-Locate" (egal welches Verfahren) von vielen Security Experten kritsich gesehen, da es ein Web-Bug ähnliches Tracking von E-Mail Empfängern ermöglicht. Man kann dem Empfänger eine signierte E-Mail schicken und dafür einen neuen Key verwenden. Wenn der Empfänger ein Auto-Key-Locate Verfahren nutzt, würde er automatisch beim Lesen der E-Mail den Key vom Keyserevr abrufen und wenn der Angreifer den Keyserver kontrolliert, kann er erkennen, wann und wo die Mail gelesen wurde. Somit stellt sich für viele Security Experten die Frage, ob man das automatische fetchen von Keys wirklich will - bisher warnt man meist davor.
Super, vielen Dank für die schnelle und ausführliche Antwort!!
Dann sehe ich in dem DNS-Eintrag aktuell keinen Mehrwert...
Ein kleiner Nachtrag:
Ich hab grad getestet, wie die Verschlüsselung im Webmailer umgesetzt ist. Beim Verfassen einer Mail und klicken auf das Schlosssymbol oben recht wird, wenn im OX-Guard kein offentlicher PGP-key vorhanden ist, eine erste Guard-Willkommensnachricht mit Passwort sowie eine zweite Nachricht mit Link auf den OX-Guard an den Empfänger verschickt. Dieser kann sich dann in seiner "eigenen" Guard-Oberfläche über den Link via Eingabe des Passwortes einloggen und die Nachricht lesen.
Wäre es denn ein Mehrwert, wenn zumindest der Webmailer automatisiert auf dem mailbox.org-keyserver nach public-keys der Empfänger-Mailadresse sucht und diese automatisiert importiert?? Wenn der keyserver auch von Nicht-mailbox.org-Kunden genutzt werden könnte hätten wir doch hier einen erheblichen Mehrwert, oder?? Ich weiß, dies passt nicht so 100%ig auf meinen Eingangsthread, geht aber irgendwie in die gleiche Richtung der automatischen Suche nach dem keyserver und automatischen keyimports...
Ist dies evtl. eine Idee wert??
Kommentare wurden auf dieser Seite deaktiviert!