Follow

Mit Web Key Directory (WKD) wird der Schlüsselaustausch stark vereinfacht und E-Mail-Verschlüsselung erleichtert. Via HTTPS-Verzeichnis wird der öffentliche Schlüssel bereitgestellt.

Wer eine eigene Domain betreibt. Einrichten. Jetzt!

HowTo: kuketz-blog.de/gnupg-web-key-d

@kuketzblog I was thinking of writing a post about exactly this the other day! But I didn't because I thought it'd be too small. Good job on your post! 👍

@kuketzblog Wenn man denn irgendwo eine bleeding-edge GPG Version hat, die "--with-wkd-hash" kennt...

Das kennt weder das gerade noch installierte gpg4win noch eine frisch durchgepatchte (ältere) Debian-VM, die gerade greifbar war.

Ich denke, der Durchschnittsuser hat jetzt (wie auch auch ich) keinen Bock, noch 3 Systeme auszuprobieren, sich dafür extra was zu beschaffen oder sich ein anderes System mit erzwungenen Updates mglw. zu zerschiessen.

*abwart mit WKD*

@dc6jgk Als Alternative kannst du folgende Seite nutzen:

cryptii.com/pipes/z-base-32

Dort dann im ersten Schritt SHA-1 und im zweiten Schritt z-base-32. Der Output ist dann dein Hashwert bzw. die Name der Datei, die du hochladen musst.

@kuketzblog Da kommt aber nicht der Wert aus deinem Beispiel raus sondern id9uywbwif6951j9wfewa7w1ypjkjp7r
für "webmaster@kuketz-blog.de"->SHA1->z-base32->text

@dc6jgk Gib mal nur "webmaster" ein. Nur den Prefix nehmen.

@kuketzblog Okay. Danke.

Dann hat aber irgendwer beim schreiben der Spezifikation gepennt. Das öffnet so einige unschöne Dosen mit Würmern für Webspace, der unter mehr als 1 Domain erreichbar ist.

@kuketzblog Haben dann webmaster@domaina und webmaster@domainb nicht die gleiche well-known URL für den Key obwohl die möglicherweise 2 Personen mit unterschiedlichen Keys sind?

Mir ist klar, daß das ein relativ theoretisches und selten auftretendes Problem ist. Schick ist das aber trotzdem nicht.

@dc6jgk Die Anfrage an Domain A beantwortet ja ein anderer Webserver bzw. andere Config-File als für Domain B. Sehe da das Problem gerade nicht.

@kuketzblog Stell dir den Fall vor, daß das eben aus Gründen (die für das Problem keine Rolle spielen) genau nicht unterschiedliche Server und Verzeichnisse sind.

@dc6jgk Das könnte Probleme geben, die dann spätestens bei der Prüfung ob alles funktioniert zu einem Fehler führen sollte. ;-)

@kuketzblog Das meine ich.

Und hätte man da beim hashen nicht ohne jede Not an der falschen Stelle gespart, wäre das ein non-issue. Die Domain da abzuschneiden ist ja auch kein Privacy- oder Security-Mehrwert in irgendeinem Sinn.

@kuketzblog @dc6jgk Er/Sie meint wohl bei schlecht konfigurierten virtualhosts bei denen dann mehrere Domains auf den gleichen Ordner zeigen.

@sindastra @kuketzblog
Was du schlecht konfiguriert nennst, ist möglicherweise zwecks vereinfachter Verwaltung volle Absicht.

Aber ja - genau das meine ich.

@dc6jgk @kuketzblog Ich würde sagen dass macht Sachen eher komplizierter. 😄

@sindastra @kuketzblog
Wenn du ein konkretes Beispiel brauchst, denk dir ein eine gesharete CDN Datenhalde vor, die mehrere Nutzer über mehrere physische Hosts syncen und die man über mehrere URLs/Domain erreichbar macht. Da gibt es durchaus handfeste praktische Argumente, warum man da eben nicht alles einzeln auf vhosts mit eigenen Configs aufdröseln will.

@dc6jgk @kuketzblog Und es ist ja genau richtig so, wie die Spezifikation funktioniert. Sonnst könnte ja jeder irgend eine Email Addresse auf irgend einer Domain ablegen. 🤔

@sindastra @kuketzblog
Ja und? Wem tut das ablegen von "zuviel" oder unpassenden hashes denn weh? Welches Sicherheitsrisiko stellt das dar? (Spoiler: keins)

Die Frage ist doch, wer da danach suchen würde. In die Richtung funktioniert das aber immer richtig.

@dc6jgk @kuketzblog Du kannst doch nicht erwarten das GPG auf example.com geht um dann den Key für email@anderedomain.de zu holen.

@sindastra @kuketzblog Davon redet auch keiner. Das ist die Falsche Denkrichtung.

Nicht jede Datei, die auf dem Webserver unter der URL erreicht werden könnte, muss ja zwingend unter der URL sinnvoll genutzt werden.

Andersrum ist es aber ein Konfliktfall, wenn man zwei webmaster@ nicht auseinanderhalten kann.

Ist doch eigentlich nicht so schwer zu verstehen, oder?

@dc6jgk @kuketzblog Das verstehe ich ganz gut, und das ist ja der Witz beim ganzen. Es soll diesen Konflikt mit den hashes geben. Sonnst könntest du bei einem schlecht konfigurierten web space evtl. die Keys für eine Email mit anderer domain austauschen oder sonst was. Bei shared hosting z.B.

@sindastra @kuketzblog
Du immer mit "schlecht konfiguriert".

GPG und WKD haben ganz grundsätzlich nicht die Instanz zu sein, die sowas beurteilt oder durch zwangsläufige Konflikte mutwillig kaputt macht. Das ist nicht deren Baustelle. Wenn das tatsächlich Absicht sein sollte, ist der Spec-Schreiber für den Job aus meiner Sicht ungeeignet und die Technik damit fundamental disqualifiziert.

Belassen wir es dabei. Ich denke, die Argumente sind ausgetauscht.

@dc6jgk @kuketzblog Bei Entwicklung muss man immer davon ausgehen dass der Endbenutzer was falsch macht, und das ins Design mit einbeziehen. Desshalb immer mein "schlecht konfiguriert". Du willst keine Sicherheitslücken durch Fehlverhalten erlauben. Ich weiss, dass es trivial ist den Webserver so zu konfigurieren dass WKD genau so funktioniert wie du es magst. Wenn du deinen Web Server nicht in den Griff bekommst, lässt du es halt mit WKD sein. Schönen Tag.

@kuketzblog Vielen Dank für den Beitrag. Nachdem sich bei mir vor ein paar Tagen schon Leute beschwert haben, dass sie meinen Key nicht finden, ist das vielleicht endlich der richtige Weg. Ich muss mal spielen.

@kuketzblog
Wie ist das, wenn man unter einer Domain mehrere E-Mails hat. Kopiert man zu jeder den hash in das Verzeichnis? #pgp #wkd

@JoergSorge @kuketzblog auf dem Server reicht ein Symlink, wenn du extrem begrenzten Speicherplatz hast

@kuketzblog Auf https://wiki.gnupg.org/WKDHosting ist eine methode beschrieben, wie das noch einfacher geht:

gpg --list-options show-only-fpr-mbox --list-public-keys "@example.com" | gpg-wks-client --directory /var/www/example.com/.well-known/openpgpkey --install-key

@kuketzblog
Habe gerade bei mail.de meinen Public Key auf deren WKD Server veröffentlicht. (Ist in der Liste nicht aufgeführt)
👍🏻

@mpt @kuketzblog Echt, mail.de hat WKD? Ich dachte, sie arbeiten mit DANE und damit eig. mit DNS...

@kuketzblog Ich finde das Konzept von WKD richtig cool! Schön, dass es bisschen Aufmerksamkeit bekommt! :)

@kuketzblog
Eine eigene Domain betreiben?

Das übernimmt mein Hoster für mich..

Ich bin kein ISP.

Ich betreibe maximal den Server, auf den die Domain zeigt..

@kuketzblog Gibt es auch eine (einfache) Lösung dafür, dass die User ihre Keys selber hochladen bzw. updaten können?

@kuketzblog Danke für diesen Beitrag, das hat mich schon länger interessiert.

Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!