PGP-Schlüssel einfach und sicher verteilen

Patrick Ben Koetter p at sys4.de
So Mär 1 14:08:24 CET 2015


* Michael Ströder <michael at stroeder.com>:
> Patrick Ben Koetter wrote:
> > * Florian Streibelt <postfix-users at de.postfix.org>:
> >> On Sa, 28 Feb 2015 at 18:11:07 +0100, Robert Schetterer wrote:
> >>
> >>> Hi @ll, weil es grade durch die Medien getrieben wird
> >>>
> >>> https://sys4.de/de/blog/2015/02/26/pgp-schluessel-einfach-und-sicher-verteilen/
> >>
> >> was ich an dem System ein bischen schade finde ist, dass man wieder wunderbar
> >> proben kann ob es eine mailadresse gibt, für spammer sogar mit effizientem
> >> caching ohne eigene Kosten.
> >>
> >> Die hashes kann ich vorberechnen, weil nur der localpart eingeht und ohne
> >> aufwand einfach domains durchprobieren, wenn ich dann für gängige namen einen
> >> hit habe, sende ich die spam zielgenau. Durch den Record weiss ich auch, dass
> >> die Emailadresse wichtig genug für den Anwendeer war, um einen Key zu
> >> hinterlegen.
> > 
> > Aber das bedeutet auch, dass Du die hashes vorberechnen musst und das ist auch
> > teuer und ggf. nicht lohnenswert für Spammer.
> 
> ???
> 
> Spammer probieren auf meinem kleinen Mail-Server alle möglichen local-parts
> durch. Dagegen ist die Hash-Berechnung doch superbillig!

Stimmt. Da kann er aber auch einen HKS-Server 'harvesten' und dann an die
Adressen senden. Ich denke, dass das so oder so keinen grossen Einfluss haben
werden wird.


> Ausserdem kann man an den DNS-Abfragen bereits erkennen, auf welcher
> E-Mail-Adresse jemand sich einen Schlüssel besorgt. Und ich befürchte, dass
> Implementierungen sich später nur noch auf DNSSEC (Root unter reiner
> US-Kontrolle) verlassen so wie's ja jetzt auch schon bei DANE-SMTP passiert.
> 
> Ich persönlich kann der ganzen DNSSEC/DANE-Euphorie nicht so recht was abgewinnen.

Weshalb nicht?

p at rick


-- 
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
 


Mehr Informationen über die Mailingliste postfix-users