Mit Web Key Directory (WKD) wird der SchlĂŒsselaustausch stark vereinfacht und E-Mail-VerschlĂŒsselung erleichtert. Via HTTPS-Verzeichnis wird der öffentliche SchlĂŒssel bereitgestellt.

Wer eine eigene Domain betreibt. Einrichten. Jetzt!

#WKD #Enigmail #GnuPG #Encryption

HowTo: kuketz-blog.de/gnupg-web-key-d

@kuketzblog Wenn man denn irgendwo eine bleeding-edge GPG Version hat, die "--with-wkd-hash" kennt...

Das kennt weder das gerade noch installierte gpg4win noch eine frisch durchgepatchte (Ă€ltere) Debian-VM, die gerade greifbar war.

Ich denke, der Durchschnittsuser hat jetzt (wie auch auch ich) keinen Bock, noch 3 Systeme auszuprobieren, sich dafĂŒr extra was zu beschaffen oder sich ein anderes System mit erzwungenen Updates mglw. zu zerschiessen.

*abwart mit WKD*

@dc6jgk Als Alternative kannst du folgende Seite nutzen:

cryptii.com/pipes/z-base-32

Dort dann im ersten Schritt SHA-1 und im zweiten Schritt z-base-32. Der Output ist dann dein Hashwert bzw. die Name der Datei, die du hochladen musst.

@kuketzblog Da kommt aber nicht der Wert aus deinem Beispiel raus sondern id9uywbwif6951j9wfewa7w1ypjkjp7r
fĂŒr "webmaster@kuketz-blog.de"->SHA1->z-base32->text

@dc6jgk Gib mal nur "webmaster" ein. Nur den Prefix nehmen.

@kuketzblog Okay. Danke.

Dann hat aber irgendwer beim schreiben der Spezifikation gepennt. Das öffnet so einige unschöne Dosen mit WĂŒrmern fĂŒr Webspace, der unter mehr als 1 Domain erreichbar ist.

@kuketzblog @dc6jgk Er/Sie meint wohl bei schlecht konfigurierten virtualhosts bei denen dann mehrere Domains auf den gleichen Ordner zeigen.

@sindastra @kuketzblog
Was du schlecht konfiguriert nennst, ist möglicherweise zwecks vereinfachter Verwaltung volle Absicht.

Aber ja - genau das meine ich.

@dc6jgk @kuketzblog Und es ist ja genau richtig so, wie die Spezifikation funktioniert. Sonnst könnte ja jeder irgend eine Email Addresse auf irgend einer Domain ablegen. đŸ€”

@sindastra @kuketzblog
Ja und? Wem tut das ablegen von "zuviel" oder unpassenden hashes denn weh? Welches Sicherheitsrisiko stellt das dar? (Spoiler: keins)

Die Frage ist doch, wer da danach suchen wĂŒrde. In die Richtung funktioniert das aber immer richtig.

@dc6jgk @kuketzblog Du kannst doch nicht erwarten das GPG auf example.com geht um dann den Key fĂŒr email@anderedomain.de zu holen.

@sindastra @kuketzblog Davon redet auch keiner. Das ist die Falsche Denkrichtung.

Nicht jede Datei, die auf dem Webserver unter der URL erreicht werden könnte, muss ja zwingend unter der URL sinnvoll genutzt werden.

Andersrum ist es aber ein Konfliktfall, wenn man zwei webmaster@ nicht auseinanderhalten kann.

Ist doch eigentlich nicht so schwer zu verstehen, oder?

Follow

@dc6jgk @kuketzblog Das verstehe ich ganz gut, und das ist ja der Witz beim ganzen. Es soll diesen Konflikt mit den hashes geben. Sonnst könntest du bei einem schlecht konfigurierten web space evtl. die Keys fĂŒr eine Email mit anderer domain austauschen oder sonst was. Bei shared hosting z.B.

· · Tusky · 1 · 0 · 0

@sindastra @kuketzblog
Du immer mit "schlecht konfiguriert".

GPG und WKD haben ganz grundsĂ€tzlich nicht die Instanz zu sein, die sowas beurteilt oder durch zwangslĂ€ufige Konflikte mutwillig kaputt macht. Das ist nicht deren Baustelle. Wenn das tatsĂ€chlich Absicht sein sollte, ist der Spec-Schreiber fĂŒr den Job aus meiner Sicht ungeeignet und die Technik damit fundamental disqualifiziert.

Belassen wir es dabei. Ich denke, die Argumente sind ausgetauscht.

@dc6jgk @kuketzblog Bei Entwicklung muss man immer davon ausgehen dass der Endbenutzer was falsch macht, und das ins Design mit einbeziehen. Desshalb immer mein "schlecht konfiguriert". Du willst keine SicherheitslĂŒcken durch Fehlverhalten erlauben. Ich weiss, dass es trivial ist den Webserver so zu konfigurieren dass WKD genau so funktioniert wie du es magst. Wenn du deinen Web Server nicht in den Griff bekommst, lĂ€sst du es halt mit WKD sein. Schönen Tag.

@sindastra
Überdenk mal deine Überheblichkeit und die entsprechende Wortwahl hier.

Weil ich Dinge (begrĂŒndet) anders sehe, als du "bekomme ich also meinen Webserver nicht in den Griff". Achso. Danke fĂŒr den Hinweis vom Webserverkonfigurationsprofi von jemandem der schon mit TCP/IP gearbeitet hat, als in Deutschland noch flĂ€chendeckend WĂ€hlscheibentelefone gestanden haben.

Die Expertendichte ist hier anscheinend auch schon so hoch wie auf Twitter. *kotz*

@dc6jgk Du scheinst nicht zu verstehen weshalb es so spezifiziert wurde, wie es wurde. Und ich weiss jetzt auch nicht mehr was du willst. Jetzt wirklich, ohne was böses, ich wĂŒnsche dir einen schönen Tag. 🙂

Sign in to participate in the conversation
Mastodon

Server run by the main developers of the project 🐘 It is not focused on any particular niche interest - everyone is welcome as long as you follow our code of conduct!