From eye-spy at web.de Fri Aug 19 17:12:55 2016 From: eye-spy at web.de (Ralf Vogt) Date: Fri, 19 Aug 2016 17:12:55 +0200 Subject: =?utf-8?Q?Fwd=3A_Bug_in_PGP-Schl=C3=BCssel-Beglaubigung_ANF-1212?= =?utf-8?Q?9-W8B8V1?= References: <54790D25-9682-430A-829C-CA432C0EC79F@web.de> Message-ID: Hallo an die Mailing-Liste, ich habe die Liste neu abonniert und hoffe, dass ich mit dieser E-Mail an die Liste nicht gegen die Etikette verstoße. Ich habe den offiziellen eID Signatur-Service mit der Ausweis-App benutzt, um meinen GnuPG-Key signieren zu lassen. Hat das außer mir schon mal jemand hier getan? Dabei war mir zu spät aufgefallen, dass man die zu signierenden ID’s auswählen muss. Dadurch wurde die älteste ID signiert und an die zugehörige E-Mail-Adresse der signierte öffentliche Schlüssel versandt, obwohl ich die ID schon vor Jahren widerrufen hatte. Ich habe daraufhin eine Bug-Meldung an den support abgesetzt, die Antwort von dort nach Bearbeitung lautete: >> Sehr geehrter Herr Vogt, >> >> wir kommen zurück auf Ihre Anfrage vom 10.08.2016. >> >> Der PGP eID Service prüft den Sperrstatus nicht. Ziel des PGP eID Services ist es, eine natürliche Identität mit einem öffentlichen Schlüssel zu verknüpfen. Die Prüfung, ob ein Schlüssel widerrufen wurde, obliegt dem Sender zum Zeitpunkt des Versendens. >> >> Mit freundlichen Grüßen Darauf habe ich noch einmal erwidert: > An: "IT-Services (Governikus KG)" > > Sehr geehrte Damen und Herren, > > zunächst danke dafür, dass Sie mein Ticket weiter bearbeitet haben. > Ich stelle selbstverständlich nicht Ihr Recht in Abrede, das Lastenheft Ihrer Software selbst zu definieren. Insofern kann es durchaus intendiert sein, auch widerrufene Zertifikate signieren zu können. Allerdings ist der daran anschließende AUTOMATISIERTE Versand an eine E-Mail-Adresse, von der der Inhaber des Zertifikates sich durch den Widerruf ja offenbar willentlich distanziert hat, nach meiner persönlichen Meinung dem in GPG inhärenten Konzept des Web of trust nicht dienlich. > Sicherlich betrifft das Problem nicht alle Anwender, da nicht jeder mehrere Identitäten mit seinem Schlüssel verknüpft haben wird. Andererseits glaube ich, dass gerade Nutzer von PGP oder OpenGPG häufiger mehrere ID’s nutzen und dann auch zum Teil widerrufen. > Angenommen, dass die E-mail-Adresse zwischenzeitlich an einen neuen User vergeben wurde (Sie und ich können uns nicht darauf verlassen, dass dies prinzipiell ausgeschlossen ist), erhält dieser nun ohne seine Veranlassung von Ihnen E-mail, die er nicht angefordert hat. Das wird ihm zunächst als Spam vorkommen. Benutzt auch er/sie PGP oder OpenGPG, wird er womöglich auch in diese Software künftig weniger Vertrauen setzen. Ob sich ein tatsächliches Missbrauchspotential ergibt, kann ich nicht beurteilen. > Wenn auch durch dieses Verhalten die eigentliche Funktion der GPG-Keys nicht kompromittiert werden kann, halte ich es doch -gerade für eine öffentliche Beglaubigungs-Instanz- für nicht optimal. > Mein Vorschlag wäre, dass wenigstens in der Bedienungsanleitung ein prominenter Hinweis erfolgt, dass auch widerrufene Identitäten signiert werden, wenn man nicht bewusst selektiert, welche ID’s signiert werden sollen. Alternativ könnte auch VOR dem Versand noch einmal zur Auswahl gestellt werden, an welche der (idealerweise nicht widerrufenen) ID’s der signierte Schlüssel gesendet werden soll. Immerhin habe ich mich ja zuvor mit meiner eID als der Inhaber des Schlüssels glaubhaft gemacht. > Ich werde die Problematik auch im OpenGPG-Forum einmal zur Debatte stellen, damit sich Berufenere dazu äußern können. > Ic möchte mich noch einmal ausdrücklich für Ihre Aufmerksamkeit bedanken und würde mich freuen, wenn Sie auch auf meine hier aufgeworfenen Fragen noch einmal eingehen könnten. > > Mit freundlichen Grüße, R. Vogt Was ist davon nach Eurer Meinung zu halten? Sollte ich noch jemand auf der Seite der Developer informieren? Sollte die Sache noch anderswo veröffentlicht werden und, wenn ja: wo? Vielen Dank für die Aufmerksamkeit, R. Vogt -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 204 bytes Beschreibung: Message signed with OpenPGP using GPGMail URL : From bernhard at intevation.de Tue Aug 23 13:16:22 2016 From: bernhard at intevation.de (Bernhard Reiter) Date: Tue, 23 Aug 2016 13:16:22 +0200 Subject: contract "gpg4all": studies published (in German) In-Reply-To: <201511111148.36162.bernhard@intevation.de> References: <201504171106.56223.bernhard@intevation.de> <201510120912.47383.bernhard@intevation.de> <201511111148.36162.bernhard@intevation.de> Message-ID: <201608231316.27601.bernhard@intevation.de> Hi! The BSI published two studies about how to technically improve OpenPGP implementations for web and Android. The PDFs are in German, linked from the https://wiki.gnupg.org/Gpg4all2015 contract page. We appreciate your feedback! (Please chose only one mailinglist to reply to this email. :)) Best Regards, Bernhard -- www.intevation.de/~bernhard +49 541 33 508 3-3 Intevation GmbH, Osnabrück, DE; Amtsgericht Osnabrück, HRB 18998 Geschäftsführer Frank Koormann, Bernhard Reiter, Dr. Jan-Oliver Wagner -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : signature.asc Dateityp : application/pgp-signature Dateigröße : 473 bytes Beschreibung: This is a digitally signed message part. URL :