Der mailbox.org HKPS-Keyserver

Wenn Nutzer das mailbox.org Web-GUI mit dem Guard verwenden, dann werden die OpenPGP Schlüssel von anderen Guard-Nutzern automatisch gefunden. Für externe E-Mail-Absender und Nutzer von E-Mail-Clients wie Thunderbird stellen wir einen HKPS-Keyserver bereit, der verifizierte OpenPGP-Schlüssel der mailbox.org Nutzer für den Import in das lokale Schlüsselbund anbietet.

Die Adresse unseres Keyservers ist: hkps://pgp.mailbox.org

Im Gegensatz zu anderen Keyservern stellt unser Keyserver nur verifizierte Schlüssel von mailbox.org Nutzern bereit. Es ist nicht möglich, einen Fake-Schlüssel für fremde E-Mail Adressen auf unseren Keyserver hochzuladen.

Verwendung auf der Kommandozeile

Sie können mit dem Programm gnupg2 auf der Kommandozeile auf unserem Keyserver nach OpenPGP-Schlüsseln von mailbox.org Nutzern suchen:

gpg2 --keyserver=hkps://pgp.mailbox.org --search max.mustermann@mailbox.org

Bitte beachten Sie, dass Sie das Programm GnuPG 2.0 ( gpg2) oder ein Neueres verwenden sollten, da unser Keyserver nur SSL-verschlüsselt erreichbar ist. Die Versionen 1.x von GnuPG (gpg) unterstützen SSL-Verschlüsselung für Keyserver nur mit dem Zusatzmodul gnupg-curl.

Es gibt auch Programme für andere Betriebssysteme wie Windows oder Mac OSX (bitte die GnuPG- Download-Seite beachten).

Verwendung mit Enigmail für Thunderbird

Wenn Sie das Add-on Enigmail für den E-Mail-Client Thunderbird zur Verwaltung Ihrer verschlüsselten E-Mails verwenden, dann können Sie in der Konfiguration von Enigmail auf dem Reiter Schlüsselserver den HKPS-Server von mailbox.org hinzufügen.

Keyserver konfigurieren

Wenn Sie zukünftig den Schlüssel von einem mailbox.org Nutzer benötigen, können Sie diesen Keyserver auswählen, um einen verifizierten Schlüssel zu importieren:

enigmail Keyserver auswählen

Bekannte Probleme mit HKPS-Keyservern

Einige Installationen von GnuPG2 können aufgrund der verwendeten SSL-Bibliothek die vom Betriebssystem bereitgestellten CA-Root Zertifikate nicht finden. Deshalb ist es out-of-the-box nicht möglich, das SSL-Zertifikat unseres HPKS-Keyservers zu validieren. Die Suche nach Schlüsseln wird mit einem "Allgemeinen Serverfehler" abgebrochen. Neben GPG4WIN sind auch Ubuntu 16.04 sowie einige andere Linux-Distributionen betroffen.

Um das Problem zu lösen, müssen Sie GnuPG mitteilen, welches CA-Root Zertifikat für die Validierung des Server-Zertifikates verwendet werden soll.

Ubuntu 16.04: Öffnen Sie die Konfigurationsdatei "$HOME/.gnupg/dirmngr.conf" mit einem Texteditor und tragen Sie dort folgende Zeile ein: 

hkp-cacert /etc/ssl/certs/SwissSign_Silver_CA_-_G2.pem

GPG4WIN (u.a. Versionen mit GunPG Version 2.0.x): Laden Sie das CA Zertifikat SwissSign_Silver_CA_-_G2.pem herunter und speichern Sie es auf Ihrem Computer.

In der Konfigurationsdatei "gpg.conf" müssen Sie folgende Zeile hinzufügen:

keyserver-options ca-cert-file=C://...<Path>.../SwissSign_Silver_CA_-_G2.pem

Enigmail: Wenn Sie Enigmail für Mozilla Thunderbird nutzen und keine Konfigurationsdateien mit einem Editor bearbeiten wollen, dann können Sie die Einstellungen auch in der Konfiguration von Enigmail vornehmen.

Laden Sie das CA Zertifikat SwissSign_Silver_CA_-_G2.pem herunter und speichern Sie es auf Ihrem Computer. Öffnen Sie die Einstellungen von Enigmail und gehen zum Reiter Erweitert. In dem Textfeld Zusätzliche Parameter für GnuPG geben Sie folgende Keyserver-Option ein:

--keyserver-options ca-cert-file=<Path to>/SwissSign_Silver_CA_-_G2.pem

Auto-Key-Locate

Sie können GnuPG auch so konfigurieren, dass das Programm automatisch bei fehlenden PGP Schlüsseln auf unserem Keyserver einen passenden Schlüssel sucht. 

Das auto-key-locate Feature können Sie in der Konfigurationsdatei gpg.conf aktivieren, indem Sie folgende Zeile mit einem Texteditor einfügen:

auto-key-locate keyserver keyserver-URL hkps://pgp.mailbox.org

Die Datei gpg.conf finden Sie unter Windows im Verzeichnis "%APPDATA%\GnuPG" und unter Linux in "$HOME/.gnupg". MacOS Nutzer können das Tool GPGPreferences nutzen.

Das auto-key-locate Feature von GnuPG wird in der Privacy Community kontrovers diskutiert. Neben einer Vereinfachung bzw. Automatisierung der Schlüsselsuche hat es prinzipiell einige Privacy Implikationen. Der Betreiber des Keyservers könnte Zugriffe protokollieren und somit Profile erstellen, wer mit wem kommuniziert. GnuPG warnt in der Dokumentation vor diesen Implikationen.

Wenn der Betreiber des Keyservers auch der Betreiber des Mailservers ist (wie bei mailbox.org), dann sind dieses Privacy Implikationen aber gegenstandslos, weil der Mailsever natürlich alle E-Mails kennt und somit durch die Schlüsselsuche keinen neuen Informationen gewinnen kann.

Unseren HKPS-Server für eigene Domains verwenden

Wer seine eigene Domain auf mailbox.org umgelenkt hat kann PGP-Clients ermöglichen, den zuständigen PGP-Server von mailbox.org automatisch finden zu können, um Keys von dort zu beziehen. Dazu muß ein spezieller SRV-DNS-Record werden, hier am Beispiel der Domain example.com:

_hkps._tcp.example.com.  IN SRV 1 1 443 pgp.mailbox.org.
Ist der Artikel hilfreich?