/ OSS / Key Transparency: Google will Schlüsselüberprüfung deutlich vereinfachen

Key Transparency: Google will Schlüsselüberprüfung deutlich vereinfachen

125569-133380-i_rc.jpg
Gerfried Steube an Januar 13, 2017 - 9:24 pm in OSS

Für die Sicherheit kryptographischer Systeme, die mit asymmetrischer Verschlüsselung arbeiten wie etwa PGP, ist es extrem wichtig, die öffentlichen Schlüssel der Kommunikationspartner zu verifizieren. Die praktische Umsetzung davon macht aber seit Jahrzehnten einige Probleme, weshalb Google dies mit dem Projekt Key Transparency zumindest vereinfachen möchte.

Laut Google sei PGP aber nur eines von vielen Beispielen, das diese Nachteile aufzeige. Immerhin seien viele Nutzer immer noch nicht bereit für eine manuelle Verifikation oder seien damit schlicht überfordert. Das gelte auch für moderne Chat-Anwendungen auf Smartphones, die ebenfalls eine Art der Public-Key-Kryptographie einsetzen. Mit Key Transparency soll dieser Prozess vereinfacht und Infrastruktur aufgebaut werden, die eine Verifikation auch Nicht-Experten ermögliche.

Einfach zu nutzen mit öffentlicher Verifikation

„Die Beziehung zwischen Online-Identitäten und öffentlichen Schlüsseln sollte automatisch verifizierbar und öffentlich auditierbar sein. Benutzer sollten in der Lage sein, alle Schlüssel zu sehen, die an ein Konto angehängt worden sind, während alle Versuche, den Datensatz zu manipulieren, öffentlich sichtbar gemacht werden. Dies stellt auch sicher, dass Absender immer die gleichen Schlüssel verwenden, die Kontoinhaber verifizieren.“

Key Transparency sei dementsprechend ein transparentes Verzeichnis für den allgemeinen Einsatz, der es Entwicklern ermögliche, unterschiedliche Systeme mit unabhängig auditierbaren Kontodaten zu erstellen. „Es kann verwendet werden, um Sicherheitsfunktionen zu erstellen, die leicht für die Menschen zu verstehen sind, während die Unterstützung wichtiger Benutzerbedürfnisse wie Kontowiederherstellung unterstützt werden“.

Das System ist in Zusammenarbeit von Google mit dem Yahoo-Security-Team, den Signal-Machern Open Whisper Systems sowie den Entwicklern des Coniks-System der Princeton-Universität entstanden. Der Code von Key Transparency steht auf Github zum Download bereit. Dort finden sich auch weitere Details zur Funktionsweise.

Read more on: Source

Kommentare sind deaktiviert