Willkommen im User-Forum von mailbox.org
 

Unfreiwillige PGP-Schlüssel für externe Nutzer

PurpleRain hat dies geteilt, 11 Monaten her
unbeantwortet

Gleich mal vorneweg ein grosses Lob für die Mailbox.org Funktion der temporären Postfächer für externe Nutzer. Das ist wirklich stark, erlaubt es doch die verschlüsselte Kommunikation mit PGP-Agnostikern auf einfache Weise.


Nun finde ich im Design des Ganzen aber eine Kollision, die dadurch entsteht, dass ein unversierter Mailbox.org Nutzer ungewollte Komplexität oder gar Unsicherheit erzeugen kann, wenn er einem PGP-versierten externem Nutzer verschlüselte Email schickt. Im folgenden ein Anstoss zur Diskussion, die eventuell schon mal stattgefunden hat (?)... ohne perfekten Lösungsvorschlag, aber eine Art von Problematisierung:


Wenn Mailbox.org Nutzer "Ralf" dem externen nicht-Mailbox Nutzer "Bob" eine erste verschlüsselte Email schickt, während Ralf keinen Public Key von Bob hat, dann erzeugt Mailbox intern anscheinend ein Key-Pair für Bob's Email Adresse. Mailbox besitzt Bob's neuen Private und Public Key. Weitere Emails von Ralf an Bob werden dann immer mit diesem Public Key verschlüsselt. Bob kann dann das temporäre Postfach mit einem selbstgewählten Passwort benutzen. Das funktioniert wie Mailbox Guard für Bob. So weit, so gut.


Wenn nun aber Bob bereits ein versierter PGP Nutzer ist, der selbst schon ein Key Pair für seine Email Adresse nutzt, dann passieren unangenehme Konstellationen. (Ralf hatte anscheinend keine Ahnung von Bob's Public Key):

(a) Bob kann im temporären Postfach sein mailbox-erzeugtes Key Pair runterladen, und auch Mailbox konfigurieren in Zukunft verschlüsselte Email direkt an ihn zu senden. Aber Bob wird sich nicht freuen, dass nun 2 PGP Keys existieren welche für diesselbe Email Adresse ausgewiesen sind. Bob wurde auch nicht gefragt ob er es möchte, dass jemand anderes so einen Key für ihn macht. (Er hat bereits einen). Es ist fast ein bisschen dreist, wenn auch funktional für Ralf.

(b) Bob kann evtl. mit zwei Keys umgehen, aber wenn andere Email Service Provider auf diesselbe Design Idee kommen, könnten dies mehrere ungewollte Keys werden.

(c) Bob muss nun auch ungefragt Mailbox mit dem Privaten Key vertrauen, den er zwar runterladen kann, aber nicht löschen. Wenn Bob schlau ist, wird er den Mailbox Public Key nicht weiter veröffentlichen, weil er theoretisch unsicherer ist als sein erster, eigener.

(d) Bob könnte nun auch seinen eigenen, ersten Public Key an Ralf geben mit der Bitte, ihn zukünftig in Mailbox zu verwenden. Ralf ist eventuell versiert genug, das zu tun, aber wenn nicht, dann muss Bob mit zwei Key Versionen leben.

(e) Weder Ralf noch Bob können das Mailbox-erzeugte Key Pair löschen. (Es ist gut, dass Ralf den Public Key nicht exportieren und verbeiten kann per Mailbox GUI Limit).


Finden andere hier auch, dass Bob in einer unguten Position ist hinsichtlich Komplexität, die nicht von ihm kontrollierbar ist?


Hier ein paar Verbesserungsvorschläge oder Diskussionspunkte:


(1) In der temporären Mailbox sollte Bob die Möglichkeit haben, den Mailbox-erzeugten (public) Key durch seinen eigenen zu ersetzen.

(2) Ralf sollte diese Möglichkeit auch haben, sobald er Bob's public Key erhält und hochlädt.

(3) In Mailbox.org scheint es so zu sein, dass für einen Adressat ein neuer, hochgeladener Public Key der Verschlüsselungs-Default wird (gut!). Wenn nun auch "Shared Keys" angekreuzt wird, wird dieser Key auch Default für _alle anderen_ Mailbox Nutzer, die an Bob emailen könnten?

(4) Dass Mailbox.org einen private Key für einen externen Email-Empfänger verwaltet ist prinzipiell ungut; der externe User wurde nicht um Erlaubnis gebeten und kann den Key nicht entfernen oder per "revoke" ausser Gefecht setzen.


(5) Wenn nun andere Mailbox Nutzer verschlüsselte Emails an Bob schicken, dann stellen sich die Probleme evtl. erneut dar, abhängig von den Taten in (1) bis (4). Also kurzum: Als Power PGP User wäre es gut, wenn Bob Kontrolle hätte welche Keys Mailbox für ihn bereitstellt für alle Mailbox User.

(6) Eventuell könnte Mailbox.org öffentliche PGP Keyserver anfragen bevor ein eigenes Key Pair neu erzeugt wird? Dann aber die Entscheidung für Ralf, einem gefundenem Public Key von Bob zu vertrauen. Hmm. Eventuell zu viel verlangt.


Hoffe, diese Diskussion macht Sinn. Mir ist diese Sitation als "Bob" so passiert. Mittlerweile bin ich auch Mailbox.org Nutzer. Es gibt wahrscheinlich keine perfekte Lösung für alle. Protonmail umgeht das Key Problem dadurch, dass dedizierte Passwörter pro externer Email vergeben werden müssen, was wiederum andere Nach- und Vorteile hat.


LG