Unser HKPS-Keyserver
Unser HKPS-Keyserver
Wenn Sie die mailbox Oberfläche mit Guard verwenden, werden die PGP-Schlüssel anderer Guard-Nutzer automatisch gefunden. Für externe Absender und Nutzer von Mail-Clients wie Thunderbird stellen wir einen HKPS-Keyserver bereit. Dieser bietet verifizierte PGP-Schlüssel von mailbox Nutzern zum Import in den lokalen Schlüsselbund an. Im Gegensatz zu anderen Keyservern stellt der Keyserver von mailbox ausschließlich verifizierte Schlüssel bereit: Es ist nicht möglich, einen falschen Schlüssel für eine fremde Mail-Adresse hochzuladen.
Den HKPS-Keyserver über die Kommandozeile verwenden
Unter Linux können Sie mit dem Programm gpg2 über die Kommandozeile auf unserem Keyserver nach PGP-Schlüsseln von mailbox Nutzern suchen. Verwenden Sie dafür folgenden Befehl:
- Adresse des Keyservers:
hkps://pgp.mailbox.org
Ein Beispiel hierfür wäre:
gpg2 --keyserver hkps://pgp.mailbox.org --search max.mustermann@mailbox.org
Bitte beachten Sie, dass Sie mindestens GnuPG 2.0 (gpg2) einsetzen sollten, da unser Keyserver nur über eine SSL-verschlüsselte Verbindung erreichbar ist. Die Versionen 1.x von GnuPG (gpg) unterstützen SSL-Verschlüsselung für Keyserver nur mit dem Zusatzmodul gnupg-curl. Es gibt GnuPG-Implementationen auch für andere Betriebssysteme. Falls Sie beispielsweise Windows oder macOS nutzen, finden Sie auf der GnuPG-Download-Seite einen Link zu einer passenden Version für Ihr Betriebssystem.
Den HKPS-Keyserver mit Enigmail für Thunderbird verwenden
Wenn Sie das Add-on Enigmail für den Mail-Client Thunderbird zur Verwaltung Ihrer verschlüsselten Mails nutzen, können Sie in der Konfiguration von Enigmail im Reiter Schlüsselserver den HKPS-Keyserver von mailbox hinzufügen.
Diesen Reiter sehen Sie, nachdem Sie in den Enigmail-Einstellungen auf Experten-Optionen und Menüs anzeigen geklickt haben.
Benötigen Sie anschließend den Schlüssel eines mailbox Nutzers, können Sie bei der Schlüsselsuche einfach diesen Keyserver auswählen, um den entsprechenden verifizierten Schlüssel zu importieren.
Abbildung 1: Engimail Einstellungen.
Bekannte Probleme mit HKPS-Keyservern
Einige Installationen von GnuPG2 können aufgrund der verwendeten SSL-Bibliothek die vom Betriebssystem bereitgestellten CA-Root-Zertifikate nicht finden. Die Suche nach Schlüsseln wird dann mit einem allgemeinen Serverfehler abgebrochen.
Neben GPG4WIN sind auch Ubuntu 16.04 sowie einige andere Linux-Distributionen betroffen.
Um das Problem zu beheben, müssen Sie GnuPG mitteilen, welches CA-Root-Zertifikat für die Validierung des Server-Zertifikats verwendet werden soll.
Ubuntu 16.04
Öffnen Sie die Konfigurationsdatei:
$HOME/.gnupg/dirmngr.conf
mit einem Texteditor Ihrer Wahl und fügen Sie folgende Zeile hinzu:
hkp-cacert /etc/ssl/certs/ca-certificates.crt
Auto-Key-Locate
Sie können GnuPG so konfigurieren, dass automatisch auf unserem Keyserver ein passender Schlüssel gesucht wird, falls dieser lokal nicht vorhanden ist. Diese Funktion heißt auto-key-locate.
Um sie zu aktivieren, bearbeiten Sie die Konfigurationsdatei gpg.conf mit einem Texteditor Ihrer Wahl. (macOS-Nutzer können dafür auch das Programm GPGPreferences verwenden.)
Die Datei gpg.conf befindet sich:
unter Linux: im Verzeichnis $HOME/.gnupg
unter Windows: im Verzeichnis %APPDATA%\GnuPG
Fügen Sie folgende Zeile hinzu, um auto-key-locate zu aktivieren:
auto-key-locate keyserver keyserver-URL hkps://pgp.mailbox.org
Datenschutz-Hinweis
Die Funktion auto-key-locate wird unter Privatsphäre-Enthusiasten kontrovers diskutiert. Neben der Vereinfachung und Automatisierung der Schlüsselsuche hat sie prinzipiell Auswirkungen auf die Privatsphäre:
Der Betreiber des Keyservers könnte Zugriffe protokollieren und so Rückschlüsse darauf ziehen, wer mit wem kommuniziert. GnuPG weist in der Dokumentation ausdrücklich auf diese möglichen Implikationen hin.
Wenn jedoch der Betreiber des Keyservers zugleich der Betreiber des Mailservers ist (wie bei mailbox), sind diese Bedenken hinfällig: Der Mailserver kennt ohnehin alle aktiven Mail-Kontakte des Nutzers und erhält durch die Schlüsselsuche keine zusätzlichen Informationen.
Unseren HKPS-Keyserver für eine eigene Domain verwenden
Wenn Sie die Mails Ihrer eigenen Domain über mailbox abrufen oder senden, können Sie PGP-Clients ermöglichen, automatisch den zuständigen PGP-Server von mailbox zu finden und die Schlüssel dort abzurufen.
Dazu muss in Ihrer Domain ein spezieller SRV-DNS-Record eingetragen werden, wie im folgenden Beispiel für die Domain example.com:
hkps._tcp.example.com. IN SRV 1 1 443 pgp.mailbox.org