Problem mit PGP Key der für ganze Domäne gilt

Hallo,
ich habe einen öffentlichen PGP Key, den man für die ganze Domain “example.com” nutzen kann.
Leider bietet Kleopatra mir nun nicht den Key an, wenn ich z.B. an eine E-Mail Adresse “test@example.com” senden möchte.
Wie kriege ich gpg4win dazu mir auch diesen Schlüssel anzubieten(Im Schlüssel für dei Domäne steht “everybody@example.com”)?

Habe Outlook 2003 und gpg4win 2.02 im Einsatz

Hallo tobyy doe

haben Sie einen Lösung für das Problem gefunden? Ich habe das gleiche Problem mit OL2007 und dem neuesten gpg.

Vielen Dank

dito.
Habe hier von der Gegenseite (eine Bank) einen domainkey erhalten.
Was muss ich in Outlook/Kleopatra etc. einstellen, damit eMails an unterschiedliche Empfänger dieser Domain verschlüsselt werden?
Vielen Dank.

Hallo,

ein Verschlüsseln sollte gehen, wenn der öffentliche OpenPGP per Hand gesucht wird.
Bitte einmal schauen, ob da überhaupt eine ganze Email-Adresse im Schlüssel steht,
nach der ließe sich dann am besten suchen.

Hintergrund:
Die Email-Programme bieten erstmal nur öffentliche Schlüssel an, welche die genaue Email-Adresse des Empfangenden enthalten, dann bei einer Ende-zu-Ende Verschlüsselung soll eben nicht jeder auf einer Domäne die Email entschlüsseln können, sondern nur die Empänger. Durch eine manuelle Suche, können aber sollten aber trotzdem öffentliche Schlüssel gewählt werden können, die nicht zur Email-Adresse passen.

Mittelfristig:
Ist einer dieser Domänenschlüssel öffentlich verfügbar? Dann ließe sich das besser testen.

Viele Grüße,
Bernhard

Bei unserem Outlook plugin bekommt man einen Dialog wenn kein direkt zur Empfängeradresse passender Schlüssel gefunden wird.

Wenn man in diesem auf das “Filter / -” Icon rechts, das ist so ein Trichtersymbol, klickt kann man dann einen beliebigen Schlüssel aussuchen.

Alternativ:
Einen Addressbucheintrag für den Empfänger anlegen und dann im Adressbuch auf “GpgOL Einstellungen” gehen. Da kann man dann Schlüssel für diesen Empfänger konfiguieren die ab dann immer für den Empfänger verwendet werden, egal welche E-Mail addresse in dem Schlüssel selbst steht.

Das mit der Zuweisung der Schlüssel zum Empfänger im Outlook-Plugin scheint zu funktionieren.
Vielen Dank für den Tipp.

Ja, das funktioniert, ist aber dennoch ziemlich unbefriedigend. Denn nun muss man für jede einzelne Person der Domäne einen einzelnen Kontakt in OL anlegen und dort den öffentlichen Domänen-Key rein kopieren.

So ein Domänen-Key wird ja i.a. von Firmen genutzt. Und für eine Firma müsste doch einige Kontakte anlegen, auch wenn man natürlich nicht mit allen kommunizieren wird. Das ist erst recht lästig, wenn man bei größerer Kommunikationen immer wieder neue Kontakte erhält, die plötzlich von irgendjemanden als Kopie hinzu gefügt werden.

Für private OL-Nutzung reicht das, aber bei professionellem Einsatz leider nicht.

Hallo Thomas,

das Nutzungsmuster, was Du vorschlägst, ist bisher noch nicht so gängig und weniger unterstützt, weil es keine direkte Ende-zu-Ende Absicherung darstellt. Es ist ein wenig, wie Transportverschlüsselung in eine Richtung. Die Auswirkungen auf die Sicherheit sind andere, als bei einer Ende-zu-Ende Verschlüsselung. Wenn wir für jede Email-Adresse in der Domäne den öffentlichen Schlüssel angeben, dann könnte bei der Bedienung der Eindruck entstehen, dass es direkt an die Person geht, obwohl es alle in der Organisation lesen können.

Beispiel: Wenn jemand einer Frau A vom Betriebsrat schreiben möchte, dann würde bei frau.a@domäne
an alle in der Domäne verschlüsselt, die Vertraulichkeit der Personalsache ist reduziert.

Etwas klarer wäre es, von der Organisation, Funktionspostfächer zu nutzen und für die jeweils einen privaten Schlüssel zu erzeugen. Dann wäre es klarer, dass eine Email an
referat2@domäne.de eben alle Nutzenden in referat2 erreicht.

Insofern ist ein extra Schritt nach einem anderen öffentlichen Schlüssel zu suchen, nicht so schlecht, aus unserer Sicht, weil es eine bewusste Entscheidung und mehr Arbeit erfordert. Alternative Verbesserungen sind natürlich denkbar, vielleicht den Domänen-Schlüssel finden und so anbieten, dass es klar wird, dass hier nur ein niedriges Vertrauensniveau erreicht wird. Dazu müsste klar sein, wann es sich um einen Domänen-Schlüssel handelt. Gibt es dazu Muster?

Viele Grüße,
Bernhard

Ich stimme Bernhard zu, aber da hier ja einige schon das Problem hatten denke ich das man tatsächlich sowas in GpgOL konfiguireren können sollte.

Ich hatte da schon einen Fall zu aufgemacht: https://dev.gnupg.org/T4984
aber meine Nachricht im Forum vergessen abzuschicken.

Da denke ich an sowas wie Empfängerregeln bei Thunderbird / Enigmail. Ich könnte da im GpgOL config Dialog einen Tab für machen wo man dann sowas konfigurieren kann.

Für GpgOL wäre es einfach das zu berücksichtigen, da dazu der Code von der Addressbuch integration verwendet werden kann. Aber die GUI für die Konfiguration und das Abspeichern / Laden ist ein bisschen aufwändig.

Hallo Bernhard, (sorry, war im Urlaub)

ja, schon klar, dass mit der Entschlüsselung beim Eintreffen in der Domäne wieder jeder lesen kann, der auf die Mail Zugriff hat (vom Admin über Sekretäre usw.).

Der konkrete Anwendungsfall liegt mir halt vor, darum suche ich nach einer Lösung:

Alle MA einer Firma versenden und empfangen im Hintergrund / automatisch mit einem Company-Domain-Key, sofern die entsprechenden Kommunikationspartner ihre öffentlichen Schlüssel getauscht haben.
Ich wiederum will mit “allen” MA dieser Firma kommunizieren, muss aber derzeit für jeden Kommunikationspartner einen OL-Kontakt erstellen und dort überall den immer gleichen Key hinterlegen. Das ist ziemlich umständlich. Hier wäre ein Domänenschlüssel sinnvoll, der in Kleopatra hinterlegt ist und automatisch gezogen wird.

Kann sollte prinzipiell zweistufig ablaufen: EMail an frau.a@domäne.de

  1. gibt es einen Schlüssel für frau.a@domäne.de?
  2. gibt es einen “generellen” Schlüssel für @domäne.de?

Auf diese Weise könnte eine Mail an referat2@domäne.de immer noch separat verschlüsselt werden, sofern ein eigener Schlüssel vorliegt.

Eigentlich ist damit in PGP4OL gar nichts an der Oberfläche zu programmieren, oder? Die Schlüssel selbst werden in Kleopatra gemanagt und die Auswahl der Schlüssel erfolgt automatisch. Nur in Kleopatra muss irgendwo hinterlegt werden, dass es sich hierbei um einen Domänenschlüssel handelt, dieser Schlüssel also verwendet werden soll, sofern kein Einzelschlüssel existiert.

Gruß,
Thomas

Hallo Thomas,

technischer Hintergrund: Wenn die Zielschlüssel nicht vom Frontend gesetzt werden, sucht das Krypto-Backend GnuPG danach.

Insofern wäre es denkbar dort für eine Domäne eine Rückfallmäglichkeit zu implementieren.
Allerdings müssten wir diese im Frontend kenntlich machen, damit die Änderung der Sicherheitseigenschaften erklärt werden kann. Insofern geht es meiner Ansicht nach nicht
ohne Frontend-Änderungen.

Andre hat in https://dev.gnupg.org/T4984 mal vorgeschlagen und abgeschätzt, wie das gehen könnte, es für Email im Frontend einzubauen. Da fehlten noch Dateien.

Eine Alternative könnte sein alle User-IDs in den Company-Key einzubauen.

Gruß,
Bernhard