Was ist WKD?
Das Web Key Directory (WKD) ist ein Protokoll, das die Abfrage von öffentlichen OpenPGP-Verschlüsselungs-Chiffres, die mit E-Mail-Adressen verknüpft sind, vereinfacht.
Durch die Nutzung von WKD können Mailfence-Nutzende bequem auf die öffentlichen OpenPGP-Schlüssel zugreifen, um E-Mails zu verschlüsseln und sicherzustellen, dass nur der*die vorgesehene Empfangende die Nachricht entschlüsseln und lesen kann.
Dieses System verbessert die Sicherheit der E-Mail-Kommunikation, indem es den Verschlüsselungsprozess optimiert.
Mailfence - Erhalten Sie Ihre kostenlose, sichere E-Mail.
4.1 basierend auf 177 Benutzerbewertungen
Mailfence - Erhalten Sie Ihre kostenlose, sichere E-Mail.
4.1 basierend auf 177 Benutzerbewertungen
Eine kurze Auffrischung zur Kryptografie mit öffentlichen Schlüsseln
Um die Bedeutung von WKD zu verstehen, lassen Sie uns kurz die Grundlagen der Kryptografie mit öffentlichen Schlüsseln wiederholen.
Die Kryptografie mit öffentlichen Schlüsseln (auch asymmetrische Kryptografie genannt) basiert auf Paaren zusammengehöriger Schlüssel:
- Ein öffentlicher Schlüssel: Dieser Schlüssel wird öffentlich geteilt, um Nachrichten zu verschlüsseln oder Signaturen zu überprüfen.
- Ein privater Schlüssel: Dieser Schlüssel wird vertraulich behandelt und für die Entschlüsselung oder die Erstellung von Signaturen verwendet.
Wer seine Kommunikation mit einer Ende-zu-Ende-Verschlüsselung sichern möchte, muss ein solches Schlüsselpaar erstellen. Das gilt für jede*n Nutzende*n. Diese Schlüssel sind mathematisch miteinander verknüpft, aber ein privater Schlüssel kann nicht aus dem entsprechenden öffentlichen Schlüssel abgeleitet werden, was die Sicherheit gewährleistet.
Wenn sowohl die Absendenden als auch die Empfangenden ihre Schlüsselpaare haben, können die Absendenden eine Nachricht mit dem öffentlichen Schlüssel der Empfangenden verschlüsseln. Auf der anderen Seite entschlüsseln die Empfangenden die Nachricht mit ihrem eigenen privaten Schlüssel.
Das bringt jedoch eine Herausforderung mit sich: Woher kennen Sie den öffentlichen Schlüssel eines*einer Empfangenden? Vor allem, wenn Sie noch nie mit ihm*ihr kommuniziert haben?
Wenn Sie sich als Whistleblower*in an eine Nachrichtenorganisation wenden, hat diese möglicherweise ihre öffentlichen Schlüssel auf ihrer Website veröffentlicht. Dies ist zum Beispiel bei The Guardian der Fall, der die öffentlichen Schlüssel all seiner Autor*innen auf seiner Website veröffentlicht. Auch wir veröffentlichen unseren öffentlichen Schlüssel hier, wenn Sie sicher Kontakt mit uns aufnehmen möchten.
Dies ist jedoch nicht immer der Fall. Wie können Sie also den öffentlichen OpenPGP-Schlüssel einer anderen Person herausfinden? Hier kommt WKD ins Spiel.
Wie WKD funktioniert
WKD arbeitet nahtlos hinter den Kulissen, um die Ermittlung des öffentlichen OpenPGP-Schlüssels zu vereinfachen.
Der erste Schritt besteht darin, dass eine E-Mail-Domain die öffentlichen OpenPGP-Schlüssel für ihre Nutzenden in einem bestimmten Verzeichnis auf ihren Webservern veröffentlicht.
Dies folgt einem Standardprotokoll-Format:
- Schlüssel werden normalerweise im Verzeichnis
.well-known/openpgpkey/gespeichert. - Sie können über eine eindeutige URL auf den Schlüssel aller Nutzenden zugreifen.
Wenn ein E-Mail-Client einen öffentlichen OpenPGP-Schlüssel benötigt, fragt er das WKD-Verzeichnis der Domain des*der Empfangenden ab. Der Client stellt die Abfrage anhand der E-Mail-Adresse zusammen.
Der öffentliche Schlüssel wird dann über eine HTTPS-Verbindung abgerufen, wodurch die Gefahr einer Manipulation während der Übertragung verringert wird.
Der ermittelte OpenPGP-Schlüssel wird zur Verschlüsselung der E-Mail verwendet. Der*Die Empfangende der E-Mail entschlüsselt sie dann mit seinem*ihrem privaten Schlüssel. Wenn WKD keinen Schlüssel findet, gibt es andere Methoden wie traditionelle Schlüsselserver oder das manuelle Teilen.
Wenn Sie mehr darüber erfahren möchten, lesen Sie diesen Leitfaden über unsere Best Practices rund um OpenPGP, in dem es darum geht, wie Sie öffentliche Schlüssel ermitteln können.
Ein kurzes Beispiel
Sehen wir uns ein kurzes Beispiel an: Alice möchte eine verschlüsselte E-Mail an Bob senden, einen Mailfence-Nutzenden mit der E-Mail-Adresse bob@mailfence.com.
Zunächst fragt der E-Mail-Client von Alice mithilfe von WKD mailfence.com nach dem öffentlichen Schlüssel von Bob. Wenn er gefunden wird, lädt der Client den öffentlichen Schlüssel von Bob sicher herunter.
Alice kann die E-Mail dann mit dem OpenPGP-Schlüssel verschlüsseln und versenden. Bob entschlüsselt die E-Mail auf seiner Seite mit seinem privaten OpenPGP-Schlüssel und gewährleistet so eine sichere, Ende-zu-Ende-verschlüsselte Kommunikation.
Warum ist WKD nützlich?
Um es noch einmal zusammenzufassen, sind hier einige der wichtigsten Vorteile von WKD:
- Vereinfachtes Abrufen von Schlüsseln. Vor WKD mussten öffentliche Schlüssel manuell ausgetauscht werden, was über E-Mail-Anhänge, USB-Laufwerke oder Schlüsselserver von Drittanbietern geschehen konnte. Diese Methoden waren umständlich und anfällig für Datenschutz- und Sicherheitsfehler. WKD automatisiert diesen Prozess und ermöglicht es E-Mail-Clients, die Schlüssel direkt von der E-Mail-Domain des*der Empfangenden abzurufen, ohne dass manuelle Eingriffe erforderlich sind.
- Verstärkte Sicherheit. Der Abruf öffentlicher Schlüssel über WKD beruht auf verschlüsselten HTTPS-Verbindungen, die die Wahrscheinlichkeit des Abfangens oder der Manipulation während der Übertragung verringern. Dieser direkte Ansatz minimiert Risiken wie Man-in-the-Middle-Angriffe.
- Fördert die Akzeptanz von Verschlüsselung. Die Komplexität herkömmlicher Verschlüsselungsmethoden hat viele Nutzende abgeschreckt. Indem WKD die Schlüsselermittlung einfach macht, fördert es die breitere Nutzung verschlüsselter E-Mails und macht sie zu einer praktischen Option für die tägliche Kommunikation.
- Hält die Schlüssel auf dem neuesten Stand. WKD ruft die öffentlichen Schlüssel in Echtzeit von der E-Mail-Domain des*der Empfangenden ab und erhöht so die Wahrscheinlichkeit der Verwendung des aktuellsten und gültigen Schlüssels. Dies verringert das Risiko, sich auf abgelaufene oder kompromittierte Schlüssel zu verlassen.
Wie wir bei Mailfence WKD einsetzen
Mailfence unterstützt WKD seit 2021.
Das bedeutet, wenn Sie ein OpenPGP-Schlüsselpaar erzeugen oder in den Schlüsselspeicher Ihres Mailfence-Kontos importieren, ist der entsprechende öffentliche Schlüssel (einschließlich E-Mail-Adresse und Name) öffentlich auf unserem Web-Key-Directory-Server zugänglich.
Die einzigen Bedingungen sind, dass:
- die zugehörige E-Mail-Adresse auf dem Domainnamen „mailfence.com“ basiert
- eine Verknüpfung der E-Mail-Adresse des*der Nutzenden mit der Schlüssel-User-ID verknüpft wird; dies wird durch ein Schlüsselsymbol neben der Von-Adresse im Fenster beim Erstellen einer E-Mail angezeigt
- der Schlüssel mit der Haupt- oder Alias-Adresse des Mailfence-Kontos verknüpft ist
Nutzende können öffentliche OpenPGP-Schlüssel auch von externen Domains (oder Diensten), die WKD unterstützen, in den Schlüsselspeicher ihres Mailfence-Kontos herunterladen. Besitzer benutzerdefinierter Domains müssen dies für ihre eigenen Domains einrichten oder können WKD als Dienst nutzen.
Abschließende Worte zum Thema WKD
Das Web-Key-Directory-Protokoll (WKD) ist ein wichtiger Schritt, um die auf OpenPGP basierende Ende-zu-Ende-Verschlüsselung zugänglicher zu machen.
Durch die Automatisierung der Schlüsselermittlung und die Verringerung der Abhängigkeit von Drittanbietersystemen vereinfacht WKD die Verschlüsselung und ermöglicht es mehr Nutzenden, sicher zu kommunizieren. Wir bei Mailfence setzen uns weiterhin für Innovationen wie WKD ein, um unseren Nutzenden sichere und private Online-Interaktionen zu ermöglichen.
