Willkommen im User-Forum von mailbox.org
 

PGP-Key im DNS hinterlegen (OPENPGPKEY)

5902477 hat dies geteilt, 3 Jahren her
beantwortet

Arbeitet Ihr daran, dass Kunden Ihre öffentlichen PGP-Keys bei Euch im

DNS ablegen können (Stichwort OPENPGPKEY

https://tools.ietf.org/html/draft-ietf-dane-openpgpkey )?

Kommentare (8)

Foto
1

Ja. Wir haben vor eineinhalb Jahren eine providerübergreifende Initiative gestartet, mittlerweile die Spezifikation entwickelt und alle Player an einen Tisch gebracht. Mit Rücksicht auf diese Initiative haben wir bislang nichts eigenes entwickelt, weil wir keinen Sinn darin sehen, wenn jeder sein eigenes Süppchen zu seinem eigenen Vorteil kocht. Wir wollen einen verbreiteten Standard mit einem verbreiteten Procedere und dazu gehört auch, daß sich alle auf einen Weg einigen müssen. Dem haben wir unsere eigenen kurzfristigen Interessen hinten an gestellt.


Derzeit befindet sich die Software in der Implementierungsphase. Einen veröffentlichen Zeitplan gibt es aber noch nicht.

Foto
1

Was ist denn das OPENPGP das mail.de anbietet? Haben die da etwas eigenes gebaut? Oder warum bieten die diese Funktion schon an?

Foto
1

Nein, die haben da "nichts" gebaut, außer halt einem Mechanismus, mit dem User den Key als DNS-Record veröffentlichen können. Da das RFC dafür jedoch noch gar nicht fertig ist UND es verschiedene konkurrierende Wege gibt wie Keys veröffentlicht werden, ist in unserem Arbeitskreis noch etwas umstritten, wie die Keys am besten publiziert werden. Ich bin auch ein Freund von Records im DNS, andere sehen das anders.


Wir arbeiten an einem weitergehenden providerübergreifendem Mechanismus, bei dem das publizieren des Keys dann nur ein bestimmter Teil sein wird. Und hier stecken wir unsere Arbeit erstmal in nachhaltige und wirklich verbessernde Lösungen und machen keinen Schnellschuß im Alleingang.

Foto
6

Hallo,

ich arbeite bei mail.de, und kann vielleicht ein wenig dazu sagen.

Das Verfahren heißt OPENPGPKEY, und ist im folgenden Experimental RFC beschrieben:

https://datatracker.ietf.org/doc/draft-ietf-dane-openpgpkey/

Genau dies haben wir umgesetzt.

Es ist korrekt dass es noch nicht abschliessend verabschiedet wurde, es befindet sich aktuell im Status "Last Call" beim IESG. Es wird seit über 2 Jahren daran gefeilt, und ist mittlerweile so stabil dass ein "Last Call" ausgerufen wurde, bevor es verabschiedet wird.

Ein "Schnellschuss" ist es von uns beileibe nicht. Während des RFC-Prozesses eines neuen Protokolls werden alle Teilnehmer dazu aufgerufen, das Protokoll zu implementieren und in der Praxis zu testen, sodass man Probleme bei der tatsächlichen Umsetzung erkennt, die vorher bei der rein theoretischen Überlegung und beim Zusammenschreiben noch nicht absehbar waren. Wir sind demnach "nur" ein Provider, der OPENPGPKEY früh in der Praxis ausprobiert, während es sich in den späten Zügen der Verabschiedung befindet (wir haben unsere Umsetzung zwischendurch noch einmal angepassen müssen, da noch am Hashing-Verfahren Änderungen gemacht wurden).

Es ist ebenso kein "Alleingang", die Kollegen von Posteo haben es auch umgesetzt, und nennen es "Posteo-Schlüsselverzeichnis", um via OPENPGPKEY und SMIMEA die Public-Keys ihrer Kunden zu publizieren.

Nähere Infos dazu befinden sich hier:

https://mail.de/hilfe/nachrichten-pgp-schluessel-veroeffentlichen

https://posteo.de/hilfe/oeffentlichen-pgp-schluessel-meiner-posteo-e-mail-adresse-im-posteo-schluesselverzeichnis-veroeffentlichen

GnuPG hat es auch bereits eingebaut (gpg --list-keys --print-dane-records für die Ausgabe, --auto-key-locate dane für die Suche nach einem Key). Verisign arbeitet an einem SMIMEA-Plugin für Thunderbird. Ein Postfix-Milter, der ein- und/oder ausgehende Mails automatisch verschlüsselt (mit PGP keys, die via OPENPGPKEY gefunden werden), gibt es ebenso bereits: https://github.com/letoams/openpgpkey-milter

Am RFC selbst haben viele schlaue Leute gearbeitet, wir selbst hatten weder die Idee noch einen großen Textbeitrag während der letzten 2 Jahre, wir kochen nicht "unser eigenes Süppchen zu unserem eigenen Vorteil", wir sind nur Early Adopter eines RFCs mit Potential.

Schade dass es hier als "Alleingang" und "Schnellschuss" betitelt wird, das ist nicht fair finde ich.

Ausprobieren via Weboberfläche kann man es hier:

https://openpgpkey.info/?email=support%40mail.de

https://openpgpkey.info/?email=support%40posteo.de

Ja, das ganze ist noch nicht final verabschiedet, aber es ist ein Schritt nach vorn, es ist allemal besser als das alte Public-Keyserver-Verfahren. Ob es sich am Ende durchsetzen wird bleibt abzuwarten, aktuell gibt es nichts besseres "am Markt". Sobald sich etwas tut und etwas besseres am Horizont auftaucht, sind wir dabei. Es spricht auch nichts dagegen die Public Keys der Kunden über mehrere Wege zu verteilen.

So, genug, ich bin wieder weg.

Viele Grüße

Michael Kliewe (mail.de)

Foto
1

Niemand hat gesagt, daß mail.de einen Schnellschuß macht. Ich habe insbesonders nicht die Implementierung durch mail.de als Schnellschuss oder Alleingang bezeichnet.


Ich habe geschrieben, daß WIR keinen Schnellschuß machen, weil wir derzeit auch an anderen Projekten arbeiten und ich keinen Sinn sehe etwas einzuführen, daß ich eventuell mit Blick auf andere Projekte und Kooperationen vielleicht wieder kassieren muß. Und ich habe Kooperationspartner für langfristige Entwicklungen und diese Ziele muß ich im Blick haben und kann darum zu DEREN Lasten keinen Schnellschuß zu unserem Vorteil als mailbox.org machen. Mit Posteo und mail.de hat das rein gar nichts zu tun.

Nochmal: PGPKEYS im DNS sind kein Schnellschuß -- ich bin ein absoluter Befürworter davon. Aber es ist FÜR UNS noch unklar wohin sich was entwickelt und darum machen WIR für UNS keinen Schnellschuß. Das ist keine Aussage über irgendwen anderes.

Sobald sich demnächst endgültig abzeichnet was wo wie weitergeht werden wir ggf. auch Keys im DNS ausrollen, wenn sich das für uns als sinnvoll herauskristallisiert und wir damit nichts anderes kaputt machen.

Foto
1

@all: Vielen Dank für die Experten-Info in diesem Thread!

Foto
2

Vielen Dank für die ausführlichen Infos hier!

Gibt es aktuell Pläne, ob oder wann mailbox.org die (noch immer als experimentell deklarierte) RFC 7929 umsetzen wird? Ich schwanke derzeit, mit meinen E-Mails entweder zu posteo.de oder zu mailbox.org umzuziehen, und für mich ist das ein echtes Entscheidungskriterium.

Foto
3

gibt es hierzu Neuigkeiten?