Einhunderttausend verifizierte E-Mail Adressen!
Vor fünf Jahren haben wir diesen Dienst gestartet. Und genau heute haben wir einen bemerkenswerten Meilenstein erreicht:
Vielen Dank an alle, die diesen Dienst nutzen! Und ganz besonders an die, die uns Rückmeldungen, Übersetzungen und sogar Code-Beiträge gegeben haben!
Ein paar Updates über Dinge an den wir gerade arbeiten:
verfügbar.Wenn Du keys.openpgp.org in Deine Sprache übersetzt haben möchtest, dann komm bitte ins Übersetzungsteam auf Transifex. Wir suchen besonders nach Hilfe für Russich, Italienisch, Polnisch und Niederländisch.
Das war's, in der Kürze liegt die Würze! 👍️
Es sind jetzt drei Monate seit dem Start von keys.openpgp.org. Wir freuen uns sagen zu können: Es ist ein überwältigender Erfolg!
Der Schlüsselserver keys.openpgp.org ist von den Nutzern sehr gut angenommen worden, die Zahlen steigen schnell. Er ist jetzt standardmäßig bei 2GPGTools2, Enigmail, OpenKeychain, GPGSync, Debian, NixOS und anderen voreingestellt. Viele Anleitungen sind ebenfalls auf den neuesten Stand gebracht worden, um Nutzer zu uns zu lenken.
Als diese Zeilen entstehen, sind mehr als 70.000 E-Mail-Adressen verifiziert worden.
Ein ganz besonderer Gruß geht an GPGTools für macOS. Sie haben den Updateprozess so reibungslos umgesetzt, dass nach dem Veröffentlichen ihres Updates die Zahl der verifizierten Adressen förmlich explodierte.
Von der operativen Seite gibt es nicht viel zu berichten, und keine Nachrichten sind in diesem Fall gute Nachrichten! Seit dem Start gab es nahezu keine Ausfallzeiten, nur einen einzigen Bug, der kurzfristig für Probleme beim Upload sorgte, und die Anzahl der Supportanfragen blieb erfreulich niedrig.
Unsere Auslastung liegt momentan bei zehn Anfragen pro Sekunde (tagsüber mehr, weniger am Wochenende) und wir haben ungefähr 100.000 E-Mails im vergangenen Monat verschickt. Kein Streß!
Wir haben einige kleine operative Verbesserungen eingeführt, wie dem Einsatz von DNSSEC, der Implementierung von Begrenzung der Datenrate, Festschreiben der Überschriften unserer Sicherheitsrichtlinie, und dem Einrichten des single-hop Modus in unserem Tor Onion Dienst. Die komplette Liste findet Ihr hier.
Eine Verbesserung, die besondere Erwähnung verdient ist MTA-STS, die die Sicherheit ausgehender E-Mails verbessert.
Während HTTPS heutzutage nahezu überall verbreitet ist, ist das traurigerweise für E-Mails nicht der Fall. Viele Server machen überhaupt keine Verschlüsselung, andere nur mit selbst-signierten Zertifikaten anstelle von richtigen (z. B. von Let's Encrypt). Aber Fehler bei der Zustellung stören die Nutzer mehr als die verminderte Sicherheit, und viele E-Mails werden immer noch ohne Verschlüsselung zugestellt.
Mit MTA-STS können die Betreiber von Domains (über HTTPS) anzeigen, dass ihr E-Mail-Server Verschlüsselung unterstützt. Wenn zu solch einem Server keine sichere Verbindung aufgebaut werden kann, wird die Zustellung dieser Nachricht aufgeschoben oder sogar abgelehnt, anstatt unsicher verarbeitet zu werden.
Das ist für Dienste wie keys.openpgp.org extrem nützlich. Wenn eine Verschüsselung nicht verlässlich ist, dann können Angreifer relativ einfach Verifizieungs-E-Mails abfangen. Aber bei Providern, die MTA-STS nutzen, können wir sicher sein, dass jede Mitteilung sicher und zum richtigen Server übermittelt wird.
Du kannst prüfen ob ein E-Mail-Anbieter MTA-STS anbietet. Macht er das nicht, schreib ihm und bitte ihn an seiner Sicherheit zu arbeiten!
Wir arbeiten an zwei Features:
Das erste ist Lokalisierung. Die meisten Menschen sprechen kein Englisch, es ist aber momentan die einzige Sprache, die wir unterstützen. Um den Zugang zu diesem Dienst zu verbessern, arbeiten wir mit dem Localization Lab des OTF zusammen, um die Website und ausgehende E-Mails in einigen Sprache mehr verfügbar zu machen.
Das zweite ist die Wiedereinführung von Signaturen Dritter. Wie in unseren F&A erwähnt unterstützen wir diese aufgrund von Spam und der Mißbrauchsmögklichkeit momentan nicht. Wir haben die Idee gegenseitige Signaturen zu verlangen, um bei jedem Schlüssel automatisch entscheiden zu können, welche Signaturen anderer veröffentlicht werden sollen. Trotz dieses extra Schrittes, ist das ziemlich kompatibel mit bereits existierender Software. Es bleibt ebenso bei Nutzern, die kein Interesse an Signaturen haben, angenehm unauffällig.
Auch wenn beide Features in Arbeit sind, gibt es für beide noch kein geplantes Veröffentlichungsdatum.
Hinsichtlich des „keine Benutzer ID“ Fehlers mit GnuPG (in unserem letzten Nachrichtenbeitrag erwähnt und unseren FAQ), stellen Debian und GPGTools für macOS nun einen Patch bereit, der dieses Problem behebt. GnuPG hat bisher den Patch noch nicht umgesetzt.
Das war‘s! Vielen Dank für Euer Interesse! 👋
Nach gemeinsamenAnstrengungen von Enigmail, OpenKeychain, und Sequoia PGP, freuen wir uns nun den Start des neuen öffentlichen OpenPGP Schlüsselservers keys.openpgp.org anzukündigen! Hurra!🎉
Wir haben key.openpgpg.org entwickelt, um eine Alternative zum SKS Schlüsselserver Pool bereitzustelle, der in vielen Anwendungen heute Standard ist. Dieses verteilte Netzwerk von Schlüsselservern hatte Schwierigkeiten mit Mißbrauch, Leistungsfähigkeit, sowie Datenschutzverletzungen, aber in jüngerer Zeit auch der Umsetzung der DSGVO. Kristian Fiskerstrand hat herausragende Arbeit geleistet, indem er den Pool für über zehn Jahre betrieben hat, aber zum heutigen Zeitpunkt schein die Weiterentwicklung nahezu gestoppt zu haben.
Wir glauben, dass es an der Zeit ist, einen neuen Weg zur Lösung dieser Probleme in Betracht zu ziehen.
Der Schlüsselserver keys.openpgp.org trennt Informationen mit und ohne Identitätsbezug in Schlüsseln voneinander ab. Mehr Informationen dazu findet Ihr auf unserer Über Seite: Das Wesentliche ist, dass Informationen ohne Identitätsbezug (Schlüssel, Widerrufe usw.) frei verfügbar sind, während Informationen mit Identitätsbezug nur mit einer Einwilligung weitergegeben werden, die auch noch jederzeit widerrufen werden kann.
Wenn ein neuer Schlüssel für eine E-Mailadresse verifiziert wird, dann ersetzt er den vorigen. Auf diese Weise wird jede E-Mail-Adresse höchstens einem Schlüssel zugeordnet. Sie kann auch jederzeit vom Besitzer dieser E-Mail-Adresse von der Auflistung entfernt werden. Das ist für das Finden von Schlüsseln sehr hilfreich: Wenn die Suche nach einer E-Mail-Adresse einen Scchlüssel findet, dann bedeutet das, dass dieser eine Schlüssel der aktuell gültige Schlüssel für diese E-Mail-Adresse ist.
Der Schlüsselserver keys.openpgp.org wird von Beginn an in neuen Releases von Enigmail für Thunderbird sowie OpenKeychain auf Android unterstützt werden. Das bedeutet, dass die Nutzer diese Anwendungen von schnelleren Responsezeiten und verbesserter Schlüsselsuche mittels E-Mail-Adressen profitieren werden. Wir hoffen, dass das uns zusätzlich ein wenig Schwung gibt, um das Projekt in ein größeres gemeinschaftliches Unterfangen umzuwandeln.
Techniken, die die Privatsphäre der Nutzer schützen, sind noch neu bei Schlüsselservern, und leider gibt es auch immer noch ein paar Kompatibilitätsprobleme durch das Abtrennen personenbezogener Informationen.
Besonders, wenn GnuPG (beim Schreiben dieser Zeilen Version 2.2.16) einen OpenPGP-Schlüssel ohne Identitäten findet, gibt es einen Fehler „keine Benutzer ID“ aus und stoppte die Verarbeiteung neuer, nicht nutzerbezogener Informationen (wie Widerrufszertifikate) auch wenn sie kryptographisch gültig sind. Wir suchen aktiv nach Löungen für diese Probleme.
Techniken zum Schutz personenbezogener Daten auf Schüsselserver sind immer noch neu, und wir haben noch mehr Ideen um die Metadaten zu reduzieren. Aber für den Moment planen wir nur keys.openpgp.org verlässlich und schnell 🐇 zu halten, alle auftauchenden Bugs 🐞 zu beseitigen, und auf Feedback aus der Community zu hören. 👂
Für mehr Information geht einfach auf unsere Über Seite und die FAQSeiten. Ihr könnt gleich mit dem Hochladen Eures Schlüssels anfangen! Aber es gibt noch mehr coole Sachen zu entdecken wie unsere API und den Onion Service!
Prost! 🍻