PGP-Schlüsselverwaltung sicher über mail.de DNS-Server vornehmen

Veröffentlicht am von

Der E-Mail Anbieter mail.de setzt als erster E-Mail Provider die neue Methode OPENPGPKEY zur sicheren Schlüsselverwaltung von Public Keys ein.

Pressemeldung der Firma mail.de GmbH

Der E-Mail Anbieter mail.de setzt als erster E-Mail Provider die neue Methode OPENPGPKEY zur sicheren Schlüsselverwaltung von Public Keys ein.

Bei der Nutzung der Ende-zu-Ende Verschlüsselung PGP ist einer der wichtigsten Bestandteile die Verbreitung der öffentlichen PGP-Schlüssel (Public Key), damit jeder Versender auf der Welt dem Empfänger eine verschlüsselte E-Mail zukommen lassen kann. Auch für die Prüfung einer PGP-signierten E-Mail wird der öffentliche Schlüssel des Absenders benötigt. Hierzu wurden in der Vergangenheit sogenannte PGP Key-Server genutzt, um den öffentlichen PGP-Schlüssel zu einer E-Mail-Adresse zu finden.

Die Schlüsselverwaltung über Key-Server hat einige Schwachstellen in der Benutzbarkeit von PGP. In den letzten 2 Jahren wurde an einer neuen Möglichkeit gearbeitet, die Verwaltung/Verbreitung der öffentlichen PGP-Schlüssel sicherer zu gestalten.

Bei der neuen Methode OPENPGPKEY wird der öffentliche PGP-Schlüssel in der sicheren DNSSEC-signierten Domain abgelegt und lässt sich von jeder Person weltweit darüber abfragen. mail.de nutzt hierzu das weltweit verteilte Anycast-DNS-Netzwerk vom deutschen Anbieter ironDNS.

OPENPGPKEY hat folgende Vorteile gegenüber den alten PGP Key-Servern:

1)

Bei den Key-Servern findet keine Authorisierung statt:

Das bedeutet, dass jede Person einen PGP-Schlüssel für fremde E-Mail-Adressen hinterlegen kann. Die neue Methode ermöglicht es nun ausschließlich dem Besitzer der E-Mail-Adresse, einen PGP-Schlüssel zu hinterlegen.

2)

PGP Key-Server sind im Normalfall unverschlüsselt abzufragen, sodass die Antwort des PGP Key-Servers auf dem Weg zum Abfragenden zum Beispiel von Geheimdiensten oder Hackern verändert werden kann. Bei der neuen Abfrage über

den OPENPGPKEY-Standard gegen eine DNSSEC-signierte Domain ist diese Manipulation ausgeschlossen. Durch die Prüfung der Signatur kann festgestellt werden, ob die Daten auf dem Weg manipuliert wurden.

3)

Die aktuelle Schlüsselverwaltung lässt kein Entfernen oder

Ersetzen des öffentlichen Schlüssels zu.

Die Veröffentlichung des Public-Key erfolgte „anonym“ und offiziell wurde kein „Besitzer“ festgelegt. Wird der private PGP-Schlüssel oder die dazugehörige Passphrase verloren/vergessen, so kann derjenige kein Widerrufszertifikat

erstellen und den öffentlichen Schlüssel nicht mehr löschen. Mit der neuen Methode OPENPGPKEY können wir als mail.de unserem Kunden die Möglichkeit geben, PGP-Schlüssel zu löschen oder zu ersetzen.

4)

Das Hochladen eines PGP-Schlüssels auf Key-Server kann

zu mehr Spam führen.

Spamversender laden sich die komplette PGP-Schlüssel-Datenbank von den PGP-Key-Servern herunter und haben auf diese Weise alle E-Mail-Adressen in der Hand, an die Spam-E-Mails versendet werden können. Bei OPENPGPKEY gibt es

keine derartige Datenbank, die durch Spamversender missbräuchlich genutzt werden kann.

Der neue Standard OPENPGPKEY steht kurz vor der Verabschiedung. mail.de bietet ab sofort seinen Kunden die Möglichkeit, ihre öffentlichen PGP-Schlüssel auf den sicheren DNS-Servern zu hinterlegen. Dies gilt auch für alle Alias-Domains, die

selbstverständlich vollständig per DNSSEC gesichert sind und in denen ebenfalls PGP-Schlüssel hinterlegt werden können.

„Wir sind davon überzeugt, dass OPENPGPKEY in Zukunft als sichere Methode der Verbreitung von öffentlichem Schlüsselmaterial eingesetzt wird und die Schwachstellen der bisherigen Schlüsselverwaltung beseitigt“, meint Fabian Bock, Geschäftsführer der mail.de GmbH.

Zur Überprüfung der neuen PGP-Schlüsselverwaltung wurde eine Test-Webseite seitens mail.de erstellt. Nach Eingabe der E-Mail-Adresse kann geprüft werden, ob der PGP-Schlüssel via OPENPGPKEY aus dem sicheren DNS-System abrufbar ist. Dies funktioniert in Zukunft selbstverständlich auch für E-Mail-Adressen anderer E-Mail Anbieter. Die Test-Webseite ist unter diesem Link aufzurufen:

https://openpgpkey.info

Sollte es vor der Verabschiedung des neuen Internet-Standards Änderungen geben, werden diese schnellstmöglich umgesetzt.

mail.de hofft, dass möglichst viele andere E-Mail-Anbieter, Domainbetreiber und PGP-Programme dem Beispiel folgen werden und zum Erfolg des neuen, sicheren Internet-Standards beitragen werden.



Firmenkontakt und Herausgeber der Meldung:
mail.de GmbH
Münsterstraße 3
33330 Gütersloh
Telefon: +49 (5241) 7434982
Telefax: +49 (5241) 7434987
http://mail.de

Ansprechpartner:
Fabian Bock
Gründer/ Geschäftsführung
+49 (5241) 7434982

Die mail.de GmbH versteht sich als E-Mail Anbieter, welcher für innovative, sichere und seriöse Kommunikation steht. Mit dem Erwerb der Internet-Domain https://mail.de im Mai 2006 wurde das Fundament für unsere Vision gelegt. Im Jahr 2009 wurde mit der Programmierung eines komplett eigenen E-Mail Systems begonnen. Ein Team, bestehend aus erfahrenen Software-Spezialisten, die Ihre Kompetenz zuvor bei der Lycos-Europe GmbH unter Beweis gestellt haben, ist seither mit der Umsetzung unserer Vision von einem modernen, einfach zu bedienenden Webmaildienst beschäftigt. Nach zweijähriger Entwicklungszeit ist es uns nun gelungen, einen E-Mail Dienst auf dem Markt anzubieten, der heutigen Nutzeransprüchen gerecht wird. Die E-Mail ist eines der meist genutzten Kommunikationsmedien. Die Entwicklung von zeitgemäßen E-Mail Diensten liegt weit hinter den Bedürfnissen der Nutzer. Wir bieten eine neuartige Kommunikationsplattform an, die über eine intuitive Benutzeroberfläche dem Nutzer erlaubt, auf einfache Weise Struktur in die allgegenwärtige E-Mail Flut zu bringen und erfüllt dabei höchste Sicherheitsstandards durch modernste Verschlüsselungstechnologien. mail.de bietet einen zeitgemäßen E-Mail Dienst, der als Zentrum der Online Kommunikation fungiert und sich auf höchstem Sicherheitsniveau bewegt. Weitere Informationen zur mail.de GmbH sowie unseren E-Mail Paketen finden Sie unter https://mail.de.


Weiterführende Links

Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die Huber Verlag für Neue Medien GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die Huber Verlag für Neue Medien GmbH gestattet.