Website-Icon .: blog cscholz.io :.

OpenPGPKey mittels DNS

Wie gestern unter PresseBox.de veröffentlicht wurde, bietet der E-Mail Anbieter mail.de jetzt die Möglichkeit, PGP Schlüssel über den Standard OpenPGPKey per DNS zu veröffentlichen. Hierzu wurde von der IETF ein eigener Standard veröffentlicht obwohl es mit PKA bereits eine Option hierzu gab. Das neue Verfahren sieht vor, dass der Besitzer einer DNS-Zone für jede E-Mail-Adresse einen PGP-Schlüssel im DNS veröffentlichen kann. Dazu wurde von der IETG der DNS-Selekter _openpgpkey in Form einer Sub-Domain eingeführt. Um einen PGP-Schlüssel zu veröffentlichen, wird der lokale E-Mail Adressanteil (benutzer@domain.tld) mittels SHA224 gehashed, welchem anschließend der PGP-Zugewiesen wird.

475a43602bcc100c1bb1[...]f14cc4ca6b0b5a34716c02._openpgpkey.blog.cscholz.io
|                                              |           |        |
|                  SHA224 Hash                 | selector  | domain |

Auf diese Weise kann für jede E-Mail Adresse abgefragt werden, ob ein PGP-Key veröffentlicht wurde. Dies geht z.B über die Webseite https://openpgpkey.info/  oder direkt mittels bash ist dies wiefolgt möglich:

dig +short +vc type61 `printf benutzer|sha224sum|cut -f1 -d `._openpgpkey.2nibbles4u.de|sed 's/ [^ ]*//;s/W//g'|xxd -r -p | gpg --import

Diese Verfahren bietet gegenüber Public Key-Servern verschiedene Vorteile sowie Nachteile .

Vorteile sind:

Doch es gibt auch Nachteile:

Das die Veröffentlichung von PGP Schlüssel per DNS kein Hexenwerk ist, zeigen die Beiträge OPENPGPKEY mit Unix Bordmitteln und PGP-Schlüssel einfach und sicher verteilen von sys4.de. Beide Artikel zeigen sehr praxisnah, wie das Verfahren gehandhabt werden kann. Im ersten Artikel wird leider nicht expliziet erwähnt, dass der entsprechende PGP-Schlüssel vorher mittels

pgp --import

imporitert wurden muss.

Die mobile Version verlassen