Fwd: Bug in PGP-Schlüssel-Beglaubigung ANF-12129-W8B8V1

[Ralf Vogt]

Hallo an die Mailing-Liste,

ich habe die Liste neu abonniert und hoffe, dass ich mit dieser E-Mail an die Liste nicht gegen die Etikette verstoße.
Ich habe den  offiziellen eID Signatur-Service mit der Ausweis-App benutzt, um meinen GnuPG-Key signieren zu lassen. Hat das außer mir schon mal jemand hier getan?
Dabei war mir zu spät aufgefallen, dass man die zu signierenden ID’s auswählen muss. Dadurch wurde die älteste ID signiert und an die zugehörige E-Mail-Adresse der signierte öffentliche Schlüssel versandt, obwohl ich die ID schon vor Jahren widerrufen hatte. Ich habe daraufhin eine Bug-Meldung an den support abgesetzt, die Antwort von dort nach Bearbeitung lautete:

>> Sehr geehrter Herr Vogt,
>> 
>> wir kommen zurück auf Ihre Anfrage vom 10.08.2016.
>> 
>> Der PGP eID Service prüft den Sperrstatus nicht. Ziel des PGP eID Services ist es, eine natürliche Identität mit einem öffentlichen Schlüssel zu verknüpfen. Die Prüfung, ob ein Schlüssel widerrufen wurde, obliegt dem Sender zum Zeitpunkt des Versendens.
>> 
>> Mit freundlichen Grüßen

Darauf habe ich noch einmal erwidert:
> An: "IT-Services (Governikus KG)" <support.ausweisapp2 at governikus.de>
> 
> Sehr geehrte Damen und Herren,
> 
> zunächst danke dafür, dass Sie mein Ticket weiter bearbeitet haben.
> Ich stelle selbstverständlich nicht Ihr Recht in Abrede, das Lastenheft Ihrer Software selbst zu definieren. Insofern kann es durchaus intendiert sein, auch widerrufene Zertifikate signieren zu können. Allerdings ist der daran anschließende AUTOMATISIERTE Versand an eine E-Mail-Adresse, von der der Inhaber des Zertifikates sich durch den Widerruf ja offenbar willentlich distanziert hat, nach meiner persönlichen Meinung dem in GPG inhärenten Konzept des Web of trust nicht dienlich.
> Sicherlich betrifft das Problem nicht alle Anwender, da nicht jeder mehrere Identitäten mit seinem Schlüssel verknüpft haben wird. Andererseits glaube ich, dass gerade Nutzer von PGP oder OpenGPG häufiger mehrere ID’s nutzen und dann auch zum Teil widerrufen.
> Angenommen, dass die E-mail-Adresse zwischenzeitlich an einen neuen User vergeben wurde (Sie und ich können uns nicht darauf verlassen, dass dies prinzipiell ausgeschlossen ist), erhält dieser nun ohne seine Veranlassung von Ihnen E-mail, die er nicht angefordert hat. Das wird ihm zunächst als Spam vorkommen. Benutzt auch er/sie PGP oder OpenGPG, wird er womöglich auch in diese Software künftig weniger Vertrauen setzen. Ob sich ein tatsächliches Missbrauchspotential ergibt, kann ich nicht beurteilen.
> Wenn auch durch dieses Verhalten die eigentliche Funktion der GPG-Keys nicht kompromittiert werden kann, halte ich es doch -gerade für eine öffentliche Beglaubigungs-Instanz- für nicht optimal.
> Mein Vorschlag wäre, dass wenigstens in der Bedienungsanleitung ein prominenter Hinweis erfolgt, dass auch widerrufene Identitäten signiert werden, wenn man nicht bewusst selektiert, welche ID’s signiert werden sollen. Alternativ könnte auch VOR dem Versand noch einmal zur Auswahl gestellt werden, an welche der (idealerweise nicht widerrufenen) ID’s der signierte Schlüssel gesendet werden soll. Immerhin habe ich mich ja zuvor mit meiner eID als der Inhaber des Schlüssels glaubhaft gemacht.
> Ich werde die Problematik auch im OpenGPG-Forum einmal zur Debatte stellen, damit sich Berufenere dazu äußern können.
> Ic möchte mich noch einmal ausdrücklich für Ihre Aufmerksamkeit bedanken und würde mich freuen, wenn Sie auch auf meine hier aufgeworfenen Fragen noch einmal eingehen könnten.
> 
> Mit freundlichen Grüße, R. Vogt

Was ist davon nach Eurer Meinung zu halten? Sollte ich noch jemand auf der Seite der Developer informieren? Sollte die Sache noch anderswo veröffentlicht werden und, wenn ja: wo?

Vielen Dank für die Aufmerksamkeit,
R. Vogt
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: </pipermail/attachments/20160819/67837c0b/attachment.html>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 204 bytes
Beschreibung: Message signed with OpenPGP using GPGMail
URL         : </pipermail/attachments/20160819/67837c0b/attachment.sig>