credativ.de PGP-Schlüssel über WKD abrufen

PGP gilt auch nach über 20 Jahren immer noch als Standard für sichere und vertrauliche E-Mail Kommunikation. Auch intern und mit Kunden nutzen wir PGP für den Austausch sensibler Daten. Der Schlüsselaustausch erfolgt in der Praxis häufig über sogenannte SKS-Schlüsselserver.

Da dort jede Person Schlüssel für beliebige Adressen hochladen kann, müssen Schlüssel über einen unabhängigen und sicheren Kanal überprüft werden. Leider ist nicht jeder mit dieser Vorgehensweise vertraut, wobei dies nicht der einzige Kritikpunkt an SKS-Keyservern ist. So findet E-Mail Verschlüsselung bis heute kaum Verbreitung abseits von technisch versierten Anwendern.

Was ist WKD?

WKD (Web Key Directory) ist ein weiterer und viel versprechender Ansatz den PGP-Schlüsselaustausch zu vereinfachen bei gleichzeitig solider Sicherheitsgrundlage. Ein standardisierter Pfad sorgt dafür, dass Schlüssel von Clients automatisch gefunden werden.

Um die sichere Übertragung der Schlüssel zu gewährleisten erfolgt die Übertragung via HTTPS und erfordert zwingend eine valide Zertifikatskette. Die Glaubwürdigkeit des Schlüssel beruht auf der Tatsache, dass letztlich nur der Inhaber der Domain und des dahinterliegenden Servers die Kontrolle über das WKD hat.

Einige E-Mail-Anbieter und Open-Source-Projekte unterstützen WKD bereits. Auch wir möchten mit WKD den Schlüsselaustausch für unsere Kunden und Geschäftspartner vereinfachen. Durch die Integration in Desktop-Clients wie Thunderbird erfolgt der verschlüsselte E-Mail Versand vollständig transparent und erschwert MitM Angriffe.

GnuPG betrachtet verschiedene Trust Level. WKD bietet demnach eine höhere Sicherheit gegenüber unüberprüften Schlüsseln von einem SKS-Schlüsselserver, oder jenen, die per E-Mail übersendet wurden. Für hohe Sicherheitsanforderungen gilt weiterhin die Überprüfung des Fingerprint über einen unabhängigen und sicheren Kanal sowie über Web of Trust.

Schlüssel abrufen

Einige Desktop Clients wie Thunderbird (mit Enigmail Erweiterung) können Schlüssel automatisch über das Web Key Directory abrufen. Manuell geht das auch per gpg-Befehl

gpg -v --auto-key-locate clear,wkd,nodefault --locate-key vorname.nachname@credativ.de

Web Key Service

WKS ist ein optionaler Dienst und kann zusätzlich zu WKD eingerichtet werden. Es ermöglicht Anwendern ihre Schlüssel per Mail selbst zu hinterlegen und zu aktualisieren. Enigmail für Thunderbird bietet beispielsweise einen entsprechend Eintrag im Kontextmenü an.

Unterstützung

Bereits wenige Tage nach Live-Schaltung des Dienstes gingen vermehrt verschlüsselte E-Mails bei uns ein. Wir freuen uns, dass das WKD gut angenommen wird. Falls Sie selbst Unterstützung bei der Einrichtung eines WKD, WKS oder einer individuellen Lösung zur automatisierten Bereitstellung von PGP-Schlüsseln via WKD benötigen, steht Ihnen unser Open Source Support Center jederzeit zur Verfügung. Sprechen Sie uns an!