i18n: pull from transifex

This commit is contained in:
Vincent Breitmoser 2019-10-04 13:58:11 +02:00
parent c50b91e6cf
commit 695e4af7e9
No known key found for this signature in database
GPG Key ID: 7BD18320DEADFA11
9 changed files with 466 additions and 8 deletions

View File

@ -0,0 +1,31 @@
{{#> layout }}
<div class="about">
<center><h2>Übersicht | <a href="/about/news">News</a> | <a href="/about/usage">Nutzung</a> | <a href="/about/faq">FAQ</a> | <a href="/about/stats">Statistik</a> | <a href="/about/privacy">Privacy Policy</a>
</h2></center>
<p>Der <tt>keys.openpgp.org</tt> Server ist ein öffentlicher Service für die Verteilung von OpenPGP-Schlüsseln, üblicherweise als "Keyserver" bezeichnet.</p>
<p><strong>Für Details zur Nutzung, siehe <a href="/about/usage">Nutzungshinweise</a></strong></p>
<h3>Funktionsweise</h3>
<p>Ein OpenPGP Schlüssel enthält zwei Arten Information:</p>
<ul>
<li>
<strong>Identitäten</strong> beschreiben die Teile des Schlüssels, welche den Besitzer identifizieren. Sie sind auch bekannt als "User IDs", und enhalten typischerweise einen Namen und eine E-Mail-Adresse.</li>
<li>Die <strong>Nicht-Identitäts-Informationen</strong> enthalten techische Details über den Schlüssel an sich. Dies sind insbesondere die mathematischen Objekte, mit deren Hilfe Signaturen berechnet und Nachrichten verschlüsselt werden. Auch enthält dies Metadaten des Schlüssels wie den Zeitpunkt der Erstellung, ein eventuelles Ablaufdatum, und den Widerrufsstatus.</li>
</ul>
<p>Traditionell wurden diese Bestandteile von Keyservern gemeinsam ausgeliefert. Auf <span class="brand">keys.openpgp.org</span> werden sie jedoch getrennt behandelt: Während Nicht-Identität-Informationen jedes Schlüssels frei hochgeladen werden können, werden Identitäts-Informationen nur unter bestimmten Bedingungen gespeichert und weiter veröffentlicht:</p>
<p>Die <strong>Nicht-Identitäts-Informationen</strong> eines Schlüssels sind rein technischer Natur, und können nicht zur direkten Identifikation von Personen verwendet werden. Sie werden nach Prüfung der kryptografischen Integrität ohne weitere Bestätigung gespeichert und verteilt. Fortgeschrittene OpenPGP-Anwendungen können <span class="brand">keys.openpgp.org</span> verwenden, um diese Informationen in allen bekannten Schlüsseln auf dem neusten Stand zu halten, und eine sichere und zuverlässige Kommunikation sicherzustellen.</p>
<p>Die <strong>Identitäts-Informationen </strong> eines OpenPGP-Schlüssels enthalten persönliche Daten ihres Besitzers. Sie werden ausschließlich mit dessen Zustimmung veröffentlicht, welche mit einer simplen Bestätigung via E-Mail abgefragt wird. Insbesondere kann ein Schlüssel nur mit Zustimmung anhand seiner E-Mail-Adressen in der Suche gefunden werden.</p>
<h3 id="community">Community und Plattform</h3>
<p>Dieser Dienst wird ehrenamtlich unterhalten. Die Betreiber dieses Dienstes kommen aus unterschiedlichen OpenPGP-Projekten, insbesondere Sequoia-PGP, OpenKeychain, und Enigmail. Du kannst uns unter #hagrid im Freenode IRC erreichen, oder #hagrid:stratum0.org auf Matrix. Natürlich sind wir auch per E-Mail verfügbar, unter <tt>support at keys punkt openpgp punkt org</tt>.</p>
<p>Technisch verwendet <tt>keys.openpgp.org</tt> die <a href="https://gitlab.com/hagrid-keyserver/hagrid" target="_blank">Hagrid</a> Keyserver-Software, welche auf <a href="https://sequoia-pgp.org">Sequoia-PGP</a> basiert. Der Dienst wird gehostet auf der <a href="https://eclips.is" target="_blank">eclips.is</a> Plattform, die von <a href="https://greenhost.net/" target="_blank">Greenhost</a> unterhalten wird und sich auf Internet-Freedom-Projekte spezialisiert.</p>
</div>
{{/layout}}

View File

@ -0,0 +1,83 @@
{{#> layout }}
<div class="about">
<center><h2>
<a href="/about">Übersicht</a> | <a href="/about/news">News</a> | <a href="/about/usage">Nutzung</a> | FAQ | <a href="/about/stats">Statistik</a> | <a href="/about/privacy">Privacy Policy</a>
</h2></center>
<h3 id="sks-pool"><a href="#sks-pool">Ist dieser Server Teil des "SKS Pools"?</a></h3>
<p>Nein. Das Föderations-Modell des SKS pools hat mehrere Probleme bezüglich Zuverlässigkeit, Widerstandsfähigkeit gegen Vandalismus, und Nutzbarkeit. Wir werden in Zukunft möglicherweise eine ähnlich verteilte Infrastruktur einführen, aber <span class="brand">keys.openpgp.org</span> wird nie Teil des SKS pools werden.</p>
<h3 id="federation"><a href="#federation">Ist keys.openpgp.org föderiert? Kann ich mit einer eigenen Instanz mithelfen?</a></h3>
<p>Aktuell nein. Wir planen, <span class="brand">keys.openpgp.org</span> zu dezentralisieren. Mit mehreren Servern, die von unabhängigen Administratoren gepflegt werden, wäre es möglich die Zuverlässigkeit des Dienstes noch weiter verbessern.</p>
<p>Einige Leute haben bereits ihre Hilfe angeboten, eine Server-Instanz von Hagrid zu pflegen. Das wissen wir zu schätzen, allerdings würden wir voraussichtlich kein "offenes" Föderations-Modell wie SKS verwenden. Dafür gibt es zwei Gründe:</p>
<ol>
<li>Für eine Föderation mit offener Teilnahme müssen alle Server-Daten ebenfalls öffentlich sein. Dies ist ein signifikantes Privacy-Problem, weil so auch alle E-Mail Adressen unserer Nutzer abrufbar würden.</li>
<li>Server, die als Hobby betrieben werden, können unseren Anspruch an Zuverlässigkeit und Performance nicht erfüllen.</li>
</ol>
<h3 id="non-email-uids"><a href="#non-email-uids">Warum werden Identitäten, die keine E-Mail Adressen sind, nicht unterstützt?</a></h3>
<p>Die Veröffentlichung von Identitäts-Informationen erfordert explizite Zustimmung ihres Besitzers. Für Identitäten die keine E-Mail Adressen sind, beispielsweise Bilder oder Links zu Webseiten, gibt es keine einfache Möglichkeit, diese Zustimmung einzuholen.</p>
<p>Hinweis: Manche OpenPGP Anwendungen generieren E-Mail Adressen mit inkorrekter Formatierung. Diese Adressen werden möglicherweise von <span class="brand">keys.openpgp.org</span> nicht richtig erkannt.</p>
<h3 id="verify-multiple"><a href="#verify-multiple">Ist es möglich, mehr als einen Schlüssel unter der gleichen E-Mail Adresse zu veröffentlichen?</a></h3>
<p>Eine E-Mail Adresse kann zu jedem Zeitpunkt mit nur genau einem Schlüssel veröffentlicht werden. Wenn eine Adresse für einen neuen Schlüssel bestätigt wird, entfernt diese Operation automatisch auch die Assoziation mit dem vorigen Schlüssel. <a href="/about">Nicht-Identitäts Informationen</a> sind davon nicht betroffen, und werden immer für alle Schlüssel verteilt.</p>
<p>Auf diese Weise wird sichergestellt, dass eine Suche per E-Mail Adresse zu jedem Zeitpunkt genau ein oder kein Ergebnis hat, niemals mehrere Kandidaten. Dies vermeidet eine unmögliche Rückfrage an den Nutzer ("Welcher Schlüssel ist der richtige?"), und macht so die Schlüssel-Suche per E-Mail Adresse deutlich nutzbarer.</p>
<h3 id="email-protection"><a href="#email-protection">Wie werden ausgehende Bestätigungs-E-Mails geschützt?</a></h3>
<p>Wir verwenden den modernen <a href="https://www.hardenize.com/blog/mta-sts" target="_blank">MTA-STS</a> Standard in Kombination mit <a href="https://starttls-everywhere.org/" target="_blank">STARTTLS Everywhere</a>, um unerlaubtem Zugriff durch Angreifer während der Zustellung vorzubeugen.</p>
<p>Der MTA-STS-Mechanismus hängt von einer kompatiblen Konfiguration des empfangenden E-Mail-Servers ab. Du kannst <a href="https://www.hardenize.com/">hier überprüfen</a>, ob dein E-Mail-Provider dies unterstützt. Falls der "MTA-STS" Eintrag auf der linken Seite kein grünes Häkchen anzeigt, erkundige dich am Besten bei deinem Provider, ob sie ihre Konfiguration updaten können.</p>
<h3 id="third-party-signatures"><a href="#third-party-signatures">Werden "Signaturen" von fremden Schlüsseln unterstützt?</a></h3>
<p>Kurze Antwort: Nein.</p>
<p>Eine "Drittsignatur" auf einem Schlüssel ist eine Signatur, die von einem Dritten ausgestellt wurde. Diese Signaturen kommen üblicherweise zustande, indem man "den Schlüssel von jemand anders signiert", und sie sind die Basis des sogenannten "<a href="https://en.wikipedia.org/wiki/Web_of_trust" target="_blank">Web of Trust</a>". Derartige Signaturen werden aktuell aus verschiedenen Gründen von <span class="brand">keys.openpgp.org</span> nicht verteilt.</p>
<p>Der mit Abstand wichtigste Grund ist <strong>Spam</strong>. Drittsignaturen ermöglichen es jedem, beliebige Daten an den Schlüssel von jemand anders anzuhängen. Auf diese Weise können so große Datenmengen an einen Schlüssel angehängt werden, dass der Schlüssel effektiv unbrauchbar wird. Schlimmstenfalls kann ein Angreifer anstößige oder illegale Daten anhängen.</p>
<p>Es gibt einige Ideen, dieses Problem zu lösen. Beispielsweise können Drittsignaturen mit dem Aussteller, statt dem Empfänger, ausgeliefert werden. Alternativ können Drittsignaturen erst nach Bestätigung durch den Empfänger ausgeliefert werden. Sollte genug Interesse an einer solchen Lösung bestehen, sind wir gerne bereit mit OpenPGP-Projekten für eine Umsetzung zu kooperieren.</p>
<h3 id="no-sign-verified"><a href="#no-sign-verified">Warum werden Schlüssel nicht nach Bestätigung signiert?</a></h3>
<p>Der Dienst auf <span class="brand">keys.openpgp.org</span> ist designt für die Verteilung und das Auffinden von Schlüsseln, nicht als de-facto "Certificate Authority". OpenPGP-Software, die verifizierte Kommunikation ermöglichen möchte, sollte dafür ein entsprechendes Vertrauens-Modell implementieren.</p>
<h3 id="revoked-uids"><a href="#revoked-uids">Warum werden widerrufene Identitäten nicht als solche verbreitet?</a></h3>
<p>Wenn ein OpenPGP-Schlüssel eine seiner Identitäten als widerrufen markiert, ist diese ab diesem Zeitpunkt nicht mehr gültig. Diese Information sollte dann nach Möglichkeit an alle Clients verteilt werden, die bereits vorher Kenntnis von der Identität hatten.</p>
<p>Leider gibt es keinen guten Weg, eine derart widerrufene Identität zu verteilen, ohne die Identität an sich zu offenbaren. Da widerrufene Identitäten nicht weiter verteilt werden sollten, können wir entsprechende Identitäten (mit oder ohne Widerruf) nicht mehr verteilen.</p>
<p>Es gibt Lösungsansätze für dieses Problem, die eine Verteilung von Widerrufen erlauben, ohne die Identitäten an sich zu offenbaren. Bislang gibt es dafür allerdings keine fertige Spezifikation, oder Unterstützung in verwendeter OpenPGP-Software. Sobald sich hier die Situation verändert, werden wir natürlich auch auf <span class="brand">keys.openpgp.org</span> entsprechende Unterstützung einbauen.</p>
<h3 id="tor"><a href="#tor">Wird Tor untertützt?</a></h3>
<p>Na klar!
Wenn du Tor installiert hast,
kannst du <span class="brand">keys.openpgp.org</span> anonym
als
<a href="https://en.wikipedia.org/wiki/Tor_(anonymity_network)#Onion_services" target="_blank">Onion-Service</a> verwenden:
<br><a href="http://zkaan2xfbuxia2wpf7ofnkbz6r5zdbbvxbunvp5g2iebopbfc4iqmbad.onion">zkaan2xfbuxia2wpf7ofnkbz6r5zdbbvxbunvp5g2iebopbfc4iqmbad.onion</a></p>
<h3 id="encrypt-verification-emails"><a href="#encrypt-verification-emails">Warum werden die ausgehenden Bestätigungs-E-Mails nicht verschlüsselt?</a></h3>
Dafür gibt es mehrere Gründe:
<ol>
<li>Es ist komplizierter, sowohl für den Empfänger als auch für uns.</li>
<li>Es hilft gegen kein Angriffs-Szenario - ein Angreifer hat keinen Vorteil davon, einen Schlüssel hochzuladen, zu dem er selbst keine Zugriff hat.</li>
<li>Das Löschen von Identitäten muss auch dann möglich sein, wenn der entsprechende Schlüssel verloren gegangen ist.</li>
<li>Das Bestätigen von Schlüsseln, die nur für Signaturen verwendet werden, würde einen weiteren (und komplizierten) Mechanismus erfordern.</li>
</ol>
<h3 id="older-gnupg"><a href="#older-gnupg">Ich erhalte beim Aktualisieren von Schlüsseln mittels GnuPG eine Fehlermeldung. Handelt es sich um einen Bug?</a></h3>
<p>Dies ist ein Problem in aktuellen Versionen von GnuPG. Bei dem Versuch einen Schlüssel von <span class="brand">keys.openpgp.org</span> zu aktualisieren, der keine <a href="/about">Identitäts-Informationen</a>beinhaltet, bricht GnuPG den Import mit der folgenden Fehlermeldung ab:</p>
<blockquote>$ gpg --receive-keys A2604867523C7ED8<br>
gpg: key A2604867523C7ED8: no user ID</blockquote>
<p>Wir arbeiten mit dem GnuPG-Team an einer Lösung.</p>
</div>
{{/layout}}

View File

@ -0,0 +1,33 @@
{{#> layout }}
<div class="about">
<center><h2>
<a href="/about">Übersicht</a> | <a href="/about/news">News</a> | <a href="/about/usage">Nutzung</a> | <a href="/about/faq">FAQ</a> | Statistik | <a href="/about/privacy">Privacy Policy</a>
</h2></center>
<h3>Bestätigte E-Mail Adressen</h3>
<p>Eine simple Statistik über die Gesamtzahl E-Mail Adressen, die aktuell bestätigt sind. 📈</p>
<p>
</p>
<center><img src="/about/stats/week.png"></center>
<p>
</p>
<center><img src="/about/stats/month.png"></center>
<h3>Server-Auslastung</h3>
<p>Dies ist eine Statistik, wie ausgelastet der Server ist:</p>
<ul>
<li>0.0 bedeutet, dass der <span class="brand">keys.openpgp.org</span> Host nichts zu tun hat</li>
<li>1.0 bedeutet einigermaßen viel Last</li>
<li>ab 4.0 ist der Server überlastet 🔥</li>
</ul>
<p>
</p>
<center><img src="/about/stats/load_week.png"></center>
</div>
{{/layout}}

View File

@ -0,0 +1,85 @@
{{#> layout }}
<div class="about usage">
<center><h2>
<a href="/about">Übersicht</a> | <a href="/about/news">News</a> | Nutzung | <a href="/about/faq">FAQ</a> | <a href="/about/stats">Statistik</a> | <a href="/about/privacy">Privacy Policy</a>
</h2></center>
<p>Auf dieser Seite sammeln wir Anleitungen zur Nutzung von <span class="brand">keys.openpgp.org</span> mit unterschiedlichen OpenPGP-Anwendungen. Wir sind noch dabei, weitere Anleitungen hinzuzufügen - falls du eine bestimmte vermisst, lass es uns einfach wissen.</p>
<h2>
<div><img src="/assets/img/enigmail.svg"></div>
Enigmail
</h2>
<p><a href="https://enigmail.net" target="_blank">Enigmail</a> für Thunderbird verwendet <span class="brand">keys.openpgp.org</span> als voreingestellten Keyserver seit Version 2.0.12.</p>
<p>Alle Features sind verfügbar ab Enigmail 2.1 (für <a href="https://www.thunderbird.net/en-US/thunderbird/68.0beta/releasenotes/" target="_blank">Thunderbird 68</a> und neuer):</p>
<ul>
<li>Schlüssel werden automatisch aktualisiert</li>
<li>Schlüssel können während der Generierung hochgeladen werden, inkl. Adress-Bestätigung.</li>
<li>Schlüssel können anhand von Adressen gefunden werden.</li>
</ul>
<h2>
<div><img src="/assets/img/gpgtools.png"></div>
GPG Suite
</h2>
<p><a href="https://gpgtools.org/">GPG Suite</a> für macOS verwendet <span class="brand">keys.openpgp.org</span> voreingestellt seit August 2019.</p>
<h2>
<div><img src="/assets/img/openkeychain.svg"></div>
OpenKeychain
</h2>
<p><a href="https://www.openkeychain.org/">OpenKeychain</a> für Android verwendet <span class="brand">keys.openpgp.org</span> voreingestellt seit Juli 2019.</p>
<ul>
<li>Schlüssel werden automatisch aktualisiert</li>
<li>Schlüssel können anhand von Adressen gefunden werden.</li>
</ul>
<p>Bislang gibt es allerdings keine integrierte Unterstützung für das Bestätigen von E-Mail-Adressen.</p>
<h2>
<div><img src="/assets/img/gnupg.svg"></div>
GnuPG
</h2>
<p>Um <a href="https://gnupg.org">GnuPG</a> mit <span class="brand">keys.openpgp.org</span> zu konfigurieren, füge diese Zeile in der <tt>gpg.conf</tt> Datei hinzu:</p>
<blockquote>keyserver hkps://keys.openpgp.org</blockquote>
<h4 id="gnupg-retrieve"><a href="#gnupg-retrieve">Schlüssel abrufen</a></h4>
<ul>
<li>Um Schlüssel anhand ihrer E-Mail-Adresse zu suchen:<blockquote>gpg --auto-key-locate keyserver --locate-keys user@example.net</blockquote>
</li>
<li>Um alle Schlüssel zu aktualisieren (inkl. Widerrufszertifikate und neue Unterschlüssel): <blockquote>gpg --refresh-keys</blockquote>
</li>
</ul>
<h4 id="gnupg-upload"><a href="#gnupg-upload">Schlüssel hochladen</a></h4>
<p>Schlüssel können mit GnuPG's <tt>--send-keys</tt> Befehl hochgeladen werden, allerdings können auf diese Weise keine Identitäts-Informationen (<a href="/about">was ist das?</a>) bestätigt werden für die Suche per E-Mail-Adresse.</p>
<ul>
<li>Du kannst versuchen deinen Schlüssel mittels dieses Shortcuts hochzuladen. Du solltest in der Ausgabe einen Direktlink zur Bestätigungs-Seite erhalten:<blockquote>gpg --export deine_adresse@example.net | curl -T - {{ base_uri }}</blockquote>
</li>
<li>Alternativ kannst du den Schlüssel exportieren und die Datei auf der <a href="/upload" target="_blank">Upload-Seite</a> hochladen:<blockquote>gpg --export deine_adresse@example.net &gt; my_key.pub</blockquote>
</li>
</ul>
<h4 id="gnupg-troubleshooting"><a href="#gnupg-troubleshooting">Bekannte Probleme</a></h4>
<ul>
<li>Manche ältere <tt>~/.gnupg/dirmngr.conf</tt> Dateien enthalten die folgende Zeile:<blockquote>hkp-cacert ~/.gnupg/sks-keyservers.netCA.pem</blockquote>
<p>Diese Konfiguration ist nicht mehr notwendig, kann aber Probleme mit Keyserver-Zertifikaten verursachen. Die Zeile kann in aktuellen Versionen gefahrlos entfernt werden.</p>
</li>
<li>Beim Aktualisieren von Schlüsseln kann der folgende Fehler auftreten:<blockquote>gpg: key A2604867523C7ED8: no user ID</blockquote>
Es handelt sich um ein <a href="https://dev.gnupg.org/T4393" target="_blank">bekanntes Problem in GnuPG</a>. Wir arbeiten mit dem GnuPG team an einer Lösung.
</li>
</ul>
<h4 id="gnupg-tor"><a href="#gnupg-tor">Nutzung über Tor</a></h4>
<p>Nutzer mit erhöhten Anonymitäts-Anforderungen können <span class="brand">keys.openpgp.org</span>anonym als <a href="https://en.wikipedia.org/wiki/Tor_(anonymity_network)#Onion_services" target="_blank">Onion Service</a> verwenden. Wenn <a href="https://www.torproject.org/" target="_blank">Tor</a> installiert ist, verwende die folgende Konfiguration:</p>
<blockquote>keyserver hkp://zkaan2xfbuxia2wpf7ofnkbz6r5zdbbvxbunvp5g2iebopbfc4iqmbad.onion</blockquote>
<h2 style="margin-left: 3%;">API</h2>
<p>Es gibt eine Schnittstelle (API) für integrierte Unterstützung in OpenPGP-Anwendungen. Siehe dazu unsere <a href="/about/api">API-Dokumentation</a>.</p>
<h2 style="margin-left: 3%;">Andere Client-Software</h2>
<p>Fehlt eine Anleitung für die Anwendung, die du verwendest? Schick eine E-Mail an <span class="email">support at keys punkt openpgp punkt org</span>, und wir werden versuchen eine entsprechende Anleitung hinzuzufügen.</p>
</div>
{{/layout}}

View File

@ -50,7 +50,7 @@ msgid ""
"our <a href=\"/about/usage\">usage guide</a> for details."
msgstr ""
"<strong>Tip:</strong> Es ist bequemer, <span class=\"brand\">keys.openpgp."
"org</span> aus OpenPGP software zu verwenden. <br />\n"
"org</span> aus OpenPGP-Software heraus zu verwenden. <br />\n"
"Mehr dazu findest du in den <a href=\"/about/usage\">Nutzungshinweisen</a>."
#: src/gettext_strings.rs:9
@ -86,6 +86,8 @@ msgid ""
"<a href=\"/about/news#2019-09-12-three-months-later\">Three months after "
"launch ✨</a> (2019-09-12)"
msgstr ""
"<a href=\"/about/news#2019-09-12-three-months-later\">Drei Monate nach dem "
"Start ✨</a> (12.09.2019)"
#: src/gettext_strings.rs:16
msgid "v{{ version }} built from"
@ -141,7 +143,7 @@ msgstr "Dieser Schlüssel ist veröffentlicht mit diesen Identitäten:"
#: src/gettext_strings.rs:26
msgid "Delete"
msgstr ""
msgstr "Entfernen"
#: src/gettext_strings.rs:27
msgid ""
@ -455,9 +457,9 @@ msgid ""
"href=\"#\" style=\"text-decoration:none; color: #333\">{{userid}}</a>\", "
"please click the link below:"
msgstr ""
"Um diesen Schlüssel unter der Adresse \"<a rel=\"nofollow\" href=\"#\" style="
"\"text-decoration:none; color: #333\">{{userid}}</a>\" verfügbar zu machen, "
"klicke diesen Link:"
"Damit der Schlüssel über die E-Mail Adresse \"<a rel=\"nofollow\" href=\"#\" "
"style=\"text-decoration:none; color: #333\">{{userid}}</a>\" gefunden werden "
"kann, klicke den folgenden Link:"
#: src/gettext_strings.rs:82
msgid ""
@ -480,9 +482,9 @@ msgid ""
"To let others find this key from your email address \"{{userid}}\",\n"
"please follow the link below:"
msgstr ""
"Um diesen OpenPGP-Schlüssel unter der Adresse \"{{userid}}\" auffindbar zu "
"machen,\n"
"klicke diesen Link:"
"Damit der Schlüssel über die E-Mail Adresse \"{{userid}}\" gefunden werden "
"kann,\n"
"klicke den folgenden Link:"
#: src/gettext_strings.rs:92
msgid "Your key upload on {{domain}}"

View File

@ -0,0 +1,29 @@
<div class="about">
<center><h2>Übersicht | <a href="/about/news">News</a> | <a href="/about/usage">Nutzung</a> | <a href="/about/faq">FAQ</a> | <a href="/about/stats">Statistik</a> | <a href="/about/privacy">Privacy Policy</a>
</h2></center>
<p>Der <tt>keys.openpgp.org</tt> Server ist ein öffentlicher Service für die Verteilung von OpenPGP-Schlüsseln, üblicherweise als "Keyserver" bezeichnet.</p>
<p><strong>Für Details zur Nutzung, siehe <a href="/about/usage">Nutzungshinweise</a></strong></p>
<h3>Funktionsweise</h3>
<p>Ein OpenPGP Schlüssel enthält zwei Arten Information:</p>
<ul>
<li>
<strong>Identitäten</strong> beschreiben die Teile des Schlüssels, welche den Besitzer identifizieren. Sie sind auch bekannt als "User IDs", und enhalten typischerweise einen Namen und eine E-Mail-Adresse.</li>
<li>Die <strong>Nicht-Identitäts-Informationen</strong> enthalten techische Details über den Schlüssel an sich. Dies sind insbesondere die mathematischen Objekte, mit deren Hilfe Signaturen berechnet und Nachrichten verschlüsselt werden. Auch enthält dies Metadaten des Schlüssels wie den Zeitpunkt der Erstellung, ein eventuelles Ablaufdatum, und den Widerrufsstatus.</li>
</ul>
<p>Traditionell wurden diese Bestandteile von Keyservern gemeinsam ausgeliefert. Auf <span class="brand">keys.openpgp.org</span> werden sie jedoch getrennt behandelt: Während Nicht-Identität-Informationen jedes Schlüssels frei hochgeladen werden können, werden Identitäts-Informationen nur unter bestimmten Bedingungen gespeichert und weiter veröffentlicht:</p>
<p>Die <strong>Nicht-Identitäts-Informationen</strong> eines Schlüssels sind rein technischer Natur, und können nicht zur direkten Identifikation von Personen verwendet werden. Sie werden nach Prüfung der kryptografischen Integrität ohne weitere Bestätigung gespeichert und verteilt. Fortgeschrittene OpenPGP-Anwendungen können <span class="brand">keys.openpgp.org</span> verwenden, um diese Informationen in allen bekannten Schlüsseln auf dem neusten Stand zu halten, und eine sichere und zuverlässige Kommunikation sicherzustellen.</p>
<p>Die <strong>Identitäts-Informationen </strong> eines OpenPGP-Schlüssels enthalten persönliche Daten ihres Besitzers. Sie werden ausschließlich mit dessen Zustimmung veröffentlicht, welche mit einer simplen Bestätigung via E-Mail abgefragt wird. Insbesondere kann ein Schlüssel nur mit Zustimmung anhand seiner E-Mail-Adressen in der Suche gefunden werden.</p>
<h3 id="community">Community und Plattform</h3>
<p>Dieser Dienst wird ehrenamtlich unterhalten. Die Betreiber dieses Dienstes kommen aus unterschiedlichen OpenPGP-Projekten, insbesondere Sequoia-PGP, OpenKeychain, und Enigmail. Du kannst uns unter #hagrid im Freenode IRC erreichen, oder #hagrid:stratum0.org auf Matrix. Natürlich sind wir auch per E-Mail verfügbar, unter <tt>support at keys punkt openpgp punkt org</tt>.</p>
<p>Technisch verwendet <tt>keys.openpgp.org</tt> die <a href="https://gitlab.com/hagrid-keyserver/hagrid" target="_blank">Hagrid</a> Keyserver-Software, welche auf <a href="https://sequoia-pgp.org">Sequoia-PGP</a> basiert. Der Dienst wird gehostet auf der <a href="https://eclips.is" target="_blank">eclips.is</a> Plattform, die von <a href="https://greenhost.net/" target="_blank">Greenhost</a> unterhalten wird und sich auf Internet-Freedom-Projekte spezialisiert.</p>
</div>

View File

@ -0,0 +1,81 @@
<div class="about">
<center><h2>
<a href="/about">Übersicht</a> | <a href="/about/news">News</a> | <a href="/about/usage">Nutzung</a> | FAQ | <a href="/about/stats">Statistik</a> | <a href="/about/privacy">Privacy Policy</a>
</h2></center>
<h3 id="sks-pool"><a href="#sks-pool">Ist dieser Server Teil des "SKS Pools"?</a></h3>
<p>Nein. Das Föderations-Modell des SKS pools hat mehrere Probleme bezüglich Zuverlässigkeit, Widerstandsfähigkeit gegen Vandalismus, und Nutzbarkeit. Wir werden in Zukunft möglicherweise eine ähnlich verteilte Infrastruktur einführen, aber <span class="brand">keys.openpgp.org</span> wird nie Teil des SKS pools werden.</p>
<h3 id="federation"><a href="#federation">Ist keys.openpgp.org föderiert? Kann ich mit einer eigenen Instanz mithelfen?</a></h3>
<p>Aktuell nein. Wir planen, <span class="brand">keys.openpgp.org</span> zu dezentralisieren. Mit mehreren Servern, die von unabhängigen Administratoren gepflegt werden, wäre es möglich die Zuverlässigkeit des Dienstes noch weiter verbessern.</p>
<p>Einige Leute haben bereits ihre Hilfe angeboten, eine Server-Instanz von Hagrid zu pflegen. Das wissen wir zu schätzen, allerdings würden wir voraussichtlich kein "offenes" Föderations-Modell wie SKS verwenden. Dafür gibt es zwei Gründe:</p>
<ol>
<li>Für eine Föderation mit offener Teilnahme müssen alle Server-Daten ebenfalls öffentlich sein. Dies ist ein signifikantes Privacy-Problem, weil so auch alle E-Mail Adressen unserer Nutzer abrufbar würden.</li>
<li>Server, die als Hobby betrieben werden, können unseren Anspruch an Zuverlässigkeit und Performance nicht erfüllen.</li>
</ol>
<h3 id="non-email-uids"><a href="#non-email-uids">Warum werden Identitäten, die keine E-Mail Adressen sind, nicht unterstützt?</a></h3>
<p>Die Veröffentlichung von Identitäts-Informationen erfordert explizite Zustimmung ihres Besitzers. Für Identitäten die keine E-Mail Adressen sind, beispielsweise Bilder oder Links zu Webseiten, gibt es keine einfache Möglichkeit, diese Zustimmung einzuholen.</p>
<p>Hinweis: Manche OpenPGP Anwendungen generieren E-Mail Adressen mit inkorrekter Formatierung. Diese Adressen werden möglicherweise von <span class="brand">keys.openpgp.org</span> nicht richtig erkannt.</p>
<h3 id="verify-multiple"><a href="#verify-multiple">Ist es möglich, mehr als einen Schlüssel unter der gleichen E-Mail Adresse zu veröffentlichen?</a></h3>
<p>Eine E-Mail Adresse kann zu jedem Zeitpunkt mit nur genau einem Schlüssel veröffentlicht werden. Wenn eine Adresse für einen neuen Schlüssel bestätigt wird, entfernt diese Operation automatisch auch die Assoziation mit dem vorigen Schlüssel. <a href="/about">Nicht-Identitäts Informationen</a> sind davon nicht betroffen, und werden immer für alle Schlüssel verteilt.</p>
<p>Auf diese Weise wird sichergestellt, dass eine Suche per E-Mail Adresse zu jedem Zeitpunkt genau ein oder kein Ergebnis hat, niemals mehrere Kandidaten. Dies vermeidet eine unmögliche Rückfrage an den Nutzer ("Welcher Schlüssel ist der richtige?"), und macht so die Schlüssel-Suche per E-Mail Adresse deutlich nutzbarer.</p>
<h3 id="email-protection"><a href="#email-protection">Wie werden ausgehende Bestätigungs-E-Mails geschützt?</a></h3>
<p>Wir verwenden den modernen <a href="https://www.hardenize.com/blog/mta-sts" target="_blank">MTA-STS</a> Standard in Kombination mit <a href="https://starttls-everywhere.org/" target="_blank">STARTTLS Everywhere</a>, um unerlaubtem Zugriff durch Angreifer während der Zustellung vorzubeugen.</p>
<p>Der MTA-STS-Mechanismus hängt von einer kompatiblen Konfiguration des empfangenden E-Mail-Servers ab. Du kannst <a href="https://www.hardenize.com/">hier überprüfen</a>, ob dein E-Mail-Provider dies unterstützt. Falls der "MTA-STS" Eintrag auf der linken Seite kein grünes Häkchen anzeigt, erkundige dich am Besten bei deinem Provider, ob sie ihre Konfiguration updaten können.</p>
<h3 id="third-party-signatures"><a href="#third-party-signatures">Werden "Signaturen" von fremden Schlüsseln unterstützt?</a></h3>
<p>Kurze Antwort: Nein.</p>
<p>Eine "Drittsignatur" auf einem Schlüssel ist eine Signatur, die von einem Dritten ausgestellt wurde. Diese Signaturen kommen üblicherweise zustande, indem man "den Schlüssel von jemand anders signiert", und sie sind die Basis des sogenannten "<a href="https://en.wikipedia.org/wiki/Web_of_trust" target="_blank">Web of Trust</a>". Derartige Signaturen werden aktuell aus verschiedenen Gründen von <span class="brand">keys.openpgp.org</span> nicht verteilt.</p>
<p>Der mit Abstand wichtigste Grund ist <strong>Spam</strong>. Drittsignaturen ermöglichen es jedem, beliebige Daten an den Schlüssel von jemand anders anzuhängen. Auf diese Weise können so große Datenmengen an einen Schlüssel angehängt werden, dass der Schlüssel effektiv unbrauchbar wird. Schlimmstenfalls kann ein Angreifer anstößige oder illegale Daten anhängen.</p>
<p>Es gibt einige Ideen, dieses Problem zu lösen. Beispielsweise können Drittsignaturen mit dem Aussteller, statt dem Empfänger, ausgeliefert werden. Alternativ können Drittsignaturen erst nach Bestätigung durch den Empfänger ausgeliefert werden. Sollte genug Interesse an einer solchen Lösung bestehen, sind wir gerne bereit mit OpenPGP-Projekten für eine Umsetzung zu kooperieren.</p>
<h3 id="no-sign-verified"><a href="#no-sign-verified">Warum werden Schlüssel nicht nach Bestätigung signiert?</a></h3>
<p>Der Dienst auf <span class="brand">keys.openpgp.org</span> ist designt für die Verteilung und das Auffinden von Schlüsseln, nicht als de-facto "Certificate Authority". OpenPGP-Software, die verifizierte Kommunikation ermöglichen möchte, sollte dafür ein entsprechendes Vertrauens-Modell implementieren.</p>
<h3 id="revoked-uids"><a href="#revoked-uids">Warum werden widerrufene Identitäten nicht als solche verbreitet?</a></h3>
<p>Wenn ein OpenPGP-Schlüssel eine seiner Identitäten als widerrufen markiert, ist diese ab diesem Zeitpunkt nicht mehr gültig. Diese Information sollte dann nach Möglichkeit an alle Clients verteilt werden, die bereits vorher Kenntnis von der Identität hatten.</p>
<p>Leider gibt es keinen guten Weg, eine derart widerrufene Identität zu verteilen, ohne die Identität an sich zu offenbaren. Da widerrufene Identitäten nicht weiter verteilt werden sollten, können wir entsprechende Identitäten (mit oder ohne Widerruf) nicht mehr verteilen.</p>
<p>Es gibt Lösungsansätze für dieses Problem, die eine Verteilung von Widerrufen erlauben, ohne die Identitäten an sich zu offenbaren. Bislang gibt es dafür allerdings keine fertige Spezifikation, oder Unterstützung in verwendeter OpenPGP-Software. Sobald sich hier die Situation verändert, werden wir natürlich auch auf <span class="brand">keys.openpgp.org</span> entsprechende Unterstützung einbauen.</p>
<h3 id="tor"><a href="#tor">Wird Tor untertützt?</a></h3>
<p>Na klar!
Wenn du Tor installiert hast,
kannst du <span class="brand">keys.openpgp.org</span> anonym
als
<a href="https://en.wikipedia.org/wiki/Tor_(anonymity_network)#Onion_services" target="_blank">Onion-Service</a> verwenden:
<br><a href="http://zkaan2xfbuxia2wpf7ofnkbz6r5zdbbvxbunvp5g2iebopbfc4iqmbad.onion">zkaan2xfbuxia2wpf7ofnkbz6r5zdbbvxbunvp5g2iebopbfc4iqmbad.onion</a></p>
<h3 id="encrypt-verification-emails"><a href="#encrypt-verification-emails">Warum werden die ausgehenden Bestätigungs-E-Mails nicht verschlüsselt?</a></h3>
Dafür gibt es mehrere Gründe:
<ol>
<li>Es ist komplizierter, sowohl für den Empfänger als auch für uns.</li>
<li>Es hilft gegen kein Angriffs-Szenario - ein Angreifer hat keinen Vorteil davon, einen Schlüssel hochzuladen, zu dem er selbst keine Zugriff hat.</li>
<li>Das Löschen von Identitäten muss auch dann möglich sein, wenn der entsprechende Schlüssel verloren gegangen ist.</li>
<li>Das Bestätigen von Schlüsseln, die nur für Signaturen verwendet werden, würde einen weiteren (und komplizierten) Mechanismus erfordern.</li>
</ol>
<h3 id="older-gnupg"><a href="#older-gnupg">Ich erhalte beim Aktualisieren von Schlüsseln mittels GnuPG eine Fehlermeldung. Handelt es sich um einen Bug?</a></h3>
<p>Dies ist ein Problem in aktuellen Versionen von GnuPG. Bei dem Versuch einen Schlüssel von <span class="brand">keys.openpgp.org</span> zu aktualisieren, der keine <a href="/about">Identitäts-Informationen</a>beinhaltet, bricht GnuPG den Import mit der folgenden Fehlermeldung ab:</p>
<blockquote>$ gpg --receive-keys A2604867523C7ED8<br>
gpg: key A2604867523C7ED8: no user ID</blockquote>
<p>Wir arbeiten mit dem GnuPG-Team an einer Lösung.</p>
</div>

View File

@ -0,0 +1,31 @@
<div class="about">
<center><h2>
<a href="/about">Übersicht</a> | <a href="/about/news">News</a> | <a href="/about/usage">Nutzung</a> | <a href="/about/faq">FAQ</a> | Statistik | <a href="/about/privacy">Privacy Policy</a>
</h2></center>
<h3>Bestätigte E-Mail Adressen</h3>
<p>Eine simple Statistik über die Gesamtzahl E-Mail Adressen, die aktuell bestätigt sind. 📈</p>
<p>
</p>
<center><img src="/about/stats/week.png"></center>
<p>
</p>
<center><img src="/about/stats/month.png"></center>
<h3>Server-Auslastung</h3>
<p>Dies ist eine Statistik, wie ausgelastet der Server ist:</p>
<ul>
<li>0.0 bedeutet, dass der <span class="brand">keys.openpgp.org</span> Host nichts zu tun hat</li>
<li>1.0 bedeutet einigermaßen viel Last</li>
<li>ab 4.0 ist der Server überlastet 🔥</li>
</ul>
<p>
</p>
<center><img src="/about/stats/load_week.png"></center>
</div>

View File

@ -0,0 +1,83 @@
<div class="about usage">
<center><h2>
<a href="/about">Übersicht</a> | <a href="/about/news">News</a> | Nutzung | <a href="/about/faq">FAQ</a> | <a href="/about/stats">Statistik</a> | <a href="/about/privacy">Privacy Policy</a>
</h2></center>
<p>Auf dieser Seite sammeln wir Anleitungen zur Nutzung von <span class="brand">keys.openpgp.org</span> mit unterschiedlichen OpenPGP-Anwendungen. Wir sind noch dabei, weitere Anleitungen hinzuzufügen - falls du eine bestimmte vermisst, lass es uns einfach wissen.</p>
<h2>
<div><img src="/assets/img/enigmail.svg"></div>
Enigmail
</h2>
<p><a href="https://enigmail.net" target="_blank">Enigmail</a> für Thunderbird verwendet <span class="brand">keys.openpgp.org</span> als voreingestellten Keyserver seit Version 2.0.12.</p>
<p>Alle Features sind verfügbar ab Enigmail 2.1 (für <a href="https://www.thunderbird.net/en-US/thunderbird/68.0beta/releasenotes/" target="_blank">Thunderbird 68</a> und neuer):</p>
<ul>
<li>Schlüssel werden automatisch aktualisiert</li>
<li>Schlüssel können während der Generierung hochgeladen werden, inkl. Adress-Bestätigung.</li>
<li>Schlüssel können anhand von Adressen gefunden werden.</li>
</ul>
<h2>
<div><img src="/assets/img/gpgtools.png"></div>
GPG Suite
</h2>
<p><a href="https://gpgtools.org/">GPG Suite</a> für macOS verwendet <span class="brand">keys.openpgp.org</span> voreingestellt seit August 2019.</p>
<h2>
<div><img src="/assets/img/openkeychain.svg"></div>
OpenKeychain
</h2>
<p><a href="https://www.openkeychain.org/">OpenKeychain</a> für Android verwendet <span class="brand">keys.openpgp.org</span> voreingestellt seit Juli 2019.</p>
<ul>
<li>Schlüssel werden automatisch aktualisiert</li>
<li>Schlüssel können anhand von Adressen gefunden werden.</li>
</ul>
<p>Bislang gibt es allerdings keine integrierte Unterstützung für das Bestätigen von E-Mail-Adressen.</p>
<h2>
<div><img src="/assets/img/gnupg.svg"></div>
GnuPG
</h2>
<p>Um <a href="https://gnupg.org">GnuPG</a> mit <span class="brand">keys.openpgp.org</span> zu konfigurieren, füge diese Zeile in der <tt>gpg.conf</tt> Datei hinzu:</p>
<blockquote>keyserver hkps://keys.openpgp.org</blockquote>
<h4 id="gnupg-retrieve"><a href="#gnupg-retrieve">Schlüssel abrufen</a></h4>
<ul>
<li>Um Schlüssel anhand ihrer E-Mail-Adresse zu suchen:<blockquote>gpg --auto-key-locate keyserver --locate-keys user@example.net</blockquote>
</li>
<li>Um alle Schlüssel zu aktualisieren (inkl. Widerrufszertifikate und neue Unterschlüssel): <blockquote>gpg --refresh-keys</blockquote>
</li>
</ul>
<h4 id="gnupg-upload"><a href="#gnupg-upload">Schlüssel hochladen</a></h4>
<p>Schlüssel können mit GnuPG's <tt>--send-keys</tt> Befehl hochgeladen werden, allerdings können auf diese Weise keine Identitäts-Informationen (<a href="/about">was ist das?</a>) bestätigt werden für die Suche per E-Mail-Adresse.</p>
<ul>
<li>Du kannst versuchen deinen Schlüssel mittels dieses Shortcuts hochzuladen. Du solltest in der Ausgabe einen Direktlink zur Bestätigungs-Seite erhalten:<blockquote>gpg --export deine_adresse@example.net | curl -T - {{ base_uri }}</blockquote>
</li>
<li>Alternativ kannst du den Schlüssel exportieren und die Datei auf der <a href="/upload" target="_blank">Upload-Seite</a> hochladen:<blockquote>gpg --export deine_adresse@example.net &gt; my_key.pub</blockquote>
</li>
</ul>
<h4 id="gnupg-troubleshooting"><a href="#gnupg-troubleshooting">Bekannte Probleme</a></h4>
<ul>
<li>Manche ältere <tt>~/.gnupg/dirmngr.conf</tt> Dateien enthalten die folgende Zeile:<blockquote>hkp-cacert ~/.gnupg/sks-keyservers.netCA.pem</blockquote>
<p>Diese Konfiguration ist nicht mehr notwendig, kann aber Probleme mit Keyserver-Zertifikaten verursachen. Die Zeile kann in aktuellen Versionen gefahrlos entfernt werden.</p>
</li>
<li>Beim Aktualisieren von Schlüsseln kann der folgende Fehler auftreten:<blockquote>gpg: key A2604867523C7ED8: no user ID</blockquote>
Es handelt sich um ein <a href="https://dev.gnupg.org/T4393" target="_blank">bekanntes Problem in GnuPG</a>. Wir arbeiten mit dem GnuPG team an einer Lösung.
</li>
</ul>
<h4 id="gnupg-tor"><a href="#gnupg-tor">Nutzung über Tor</a></h4>
<p>Nutzer mit erhöhten Anonymitäts-Anforderungen können <span class="brand">keys.openpgp.org</span>anonym als <a href="https://en.wikipedia.org/wiki/Tor_(anonymity_network)#Onion_services" target="_blank">Onion Service</a> verwenden. Wenn <a href="https://www.torproject.org/" target="_blank">Tor</a> installiert ist, verwende die folgende Konfiguration:</p>
<blockquote>keyserver hkp://zkaan2xfbuxia2wpf7ofnkbz6r5zdbbvxbunvp5g2iebopbfc4iqmbad.onion</blockquote>
<h2 style="margin-left: 3%;">API</h2>
<p>Es gibt eine Schnittstelle (API) für integrierte Unterstützung in OpenPGP-Anwendungen. Siehe dazu unsere <a href="/about/api">API-Dokumentation</a>.</p>
<h2 style="margin-left: 3%;">Andere Client-Software</h2>
<p>Fehlt eine Anleitung für die Anwendung, die du verwendest? Schick eine E-Mail an <span class="email">support at keys punkt openpgp punkt org</span>, und wir werden versuchen eine entsprechende Anleitung hinzuzufügen.</p>
</div>