PGP - pubkey - oneway

    hallo.

    folgender sachverhalt. ich habe von einer behörde einen pgp schlüssel importiert. es scheint ein allgemeiner schlüssel zu sein (security@xxx.de). ich habe auch meinen pubkey an die behörde gesendet und die scheinen den eingelesen zu haben, denn wenn die behörde mir mails sendet dann sind diese pgp-verschlüsselt. wenn ich jedoch an die behörde schreibe (nicht an security@xxx.de sondern an hans.wurst@xxx.de bekomme ich folgende fehlermeldung:

    Code
    gpg: 'Hans.Wurst@xxx.de: übersprungen: Öffentlicher Schlüssel nicht gefunden
gpg: [stdin]: sign+encrypt failed: Öffentlicher Schlüssel nicht gefunden

    ich brauche dazu mal bitte eine einordnung wo nun das problem liegt. danke für euere hilfe im voraus.

    Eigentlich ergibt sich das bereits aus der Fehlermeldung. Der öffentliche Schlüssel (Pubkey), den du hast, umfasst nicht die E-Mail-Adresse, an die du schickst. Er passt also nicht. Daher kann auch nicht verschlüsselt werden.

    Du brauchst für diese bestimmte E-Mail-Adresse also einen eigenen Pubkey, falls überhaupt vorhanden, oder du schickst die verschlüsselte Nachricht an die Adresse, für die du bereits einen Pubkey hast.

    Liquid Soul Für jeden Empfänger, an den du senden willst, musst du einen Öffentlichen Schlüssel (Public Key) haben. Einen Generalschlüssel für alle Mailempfänger einer domain gibt es so nicht.


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

    Meines Wissens arbeiten Behörden meistens mit S/MIME und weniger mit GPG/PGP/GnuPG.

    Meint auch das BSI - Bundesamt für Sicherheit in der Informationstechnik: E-Mail Verschlüsselung in der Praxis -> Gleiche Regeln für den Datenaustausch beachten -> S/MIME.

    Jörg Schiermeier
    Informatiker, Bielefeld

    The Bat! professional v9.x (32bit NAU) mit XMP-, Regula- und Shell-Plugin • wine v9.x • devuan linux (excalibur/ceres)

    Man kann zwar einen Schlüssel auch mit mehrere Adressen verknüpfen, aber offensichtlich ist das hier nicht getan worden. In der Schlüsselverwaltung kann man jedenfalls sehen, für welche Adresse(n) der jeweilige Schlüssel gültig ist.

    Warum allerdings eine Firma nur einen OpenPGP-Key für einen Empfänger hat. liegt wohl daran, dass security@ sich an ein Team richtet; dann muss aber auch der Absender securiy@... lauten, damit weiter verschlüsseltes Mail versandt werden kann.

    S/MIME? Nun ja, für mich nur vertrauenswürdig, wenn deren S/MIME-Schlüssel von denen selbst erzeugt und signiert wurde und nicht von irgendeiner Bundes/Landesbehörde oder sonstiger deren nahestehender/auskunftspflichtiger Firma.


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

    Zitat von sanyok

    Das Zitat

    deutet darauf hin, dass diese Behörde (auch) mit PGP arbeitet.

    Richtig. Sowohl als auch. Die Behörde schreibt (denke das bezieht sich auf PGP) folgendes:

    Zitat

    Eine verschlüsselte E-Mail Kommunikation [...] möglich. Es werden [...] S/Mime (x.509) und PGP (GPG) unterstützt.

    Hinweis: [...] zentrale Domainschlüssel. [...] an einer Stelle entschlüsselt und dem Mitarbeiter zugesendet.

    Klingt bisschen abenteuerlich, oder? S/MIME für Privatpersonen... üblich?

    An einer Stelle entschlüsselt... d.h. ich muss mindestens im Betreff den Namen des Empfängers angeben damit die E-Mail zugeordnet werden kann.

    In dem in dem Behörden PGP-Schlüssel sind keine weiteren Adresse verknüpft. Wenn dem so wäre, müsste im Grunde das Gesamte E-Mail-Verzeichnis der Behörde ja in dem Generalschlüssel gepflegt werden.

    Zitat von GwenDragon

    Warum allerdings eine Firma nur einen OpenPGP-Key für einen Empfänger hat. liegt wohl daran, dass security@ sich an ein Team richtet; dann muss aber auch der Absender securiy@... lauten, damit weiter verschlüsseltes Mail versandt werden kann.

    [...]

    Ich muss also an security@ mailen und die entschlüsseln und stellen Mail intern dem Sachbearbeiter zu. Der Sachbearbeiter schreibt mir jedoch Mails von Hans.Wurst@behörde.xx an meine private E-Mailadresse. Das kommt bei mir verschlüsselt an, da die Behörde meinen öffentliche PGP importiert hat.

    Irgendwie schräge klingt es dennoch, oder?

    Zitat von Liquid Soul

    Wenn dem so wäre, müsste im Grunde das Gesamte E-Mail-Verzeichnis der Behörde ja in dem Generalschlüssel gepflegt werden.

    Normalerweise reicht es aus, wenn man nur die Adressen einbezieht, die unmittelbar mit Kunden kommunizieren, und das sind die wenigen, je nachdem, was das für eine Behörde ist. Untereinander intern brauchen sie jedenfalls keine Verschlüsselung.

    Zitat von Liquid Soul

    Ich muss also an security@ mailen und die entschlüsseln und stellen Mail intern dem Sachbearbeiter zu.

    In diesem Fall sieht es so aus, obwohl das schon etwas unbequem ist. Und außerdem liest da jemand die fremde Korrespondenz mit.

    Zitat von Liquid Soul

    ich muss mindestens im Betreff den Namen des Empfängers angeben damit die E-Mail zugeordnet werden kann.

    Wenn der Name in der Anrede auftaucht, dann müsste das ausreichen, denn die Nachricht wird ja sowieso zuerst entschlüsselt und gelesen oder zumindest überflogen, bevor sie an den richtigen Adressaten weitergeleitet wird.

    Zitat von Liquid Soul

    Der Sachbearbeiter schreibt mir jedoch Mails von Hans.Wurst@behörde.xx an meine private E-Mailadresse. Das kommt bei mir verschlüsselt an, da die Behörde meinen öffentliche PGP importiert hat.

    Entweder geschieht es ebenfalls über security@, d.h. der Beamte verfasst eine unverschlüsselte Nachricht, die anschließend vom Sicherheitsteam verschlüsselt und an dich weitergeschickt wird. Oder der Beamte hat doch einen eigenen PGP-Schlüssel, den er allerdings nur für den Versand verwendet. Du kannst ja ihn nach seinem Pubkey fragen, falls er nicht bereits der Nachricht beigefügt war.

    Behörde? Die haben da Digitalisierung und Datenschutz nicht verstanden, befürchte ich.

    Typisch Deutschland – IT-Entwicklungsland mit wenig Zukunft.


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

    Zitat von Liquid Soul

    Das ist eine (gaaanz) andere Diskussion!

    In Bezug auf deine angesprochen Behörde war das von mir; wenn die Verschlüsselung im elektronischen Schriftverkehr anbieten, dessen Konzept aber nicht versteht, hat eben den Standard Digitalisierung 0.0.

    Eigentlich ist das ein Fall für den Datenschutzbeauftragten der Behörde.


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

    Zitat von GwenDragon

    Eigentlich ist das ein Fall für den Datenschutzbeauftragten der Behörde.

    Es ist anzunehmen, dass es längst geschehen ist und keine Bedenken bestehen. Die Kontaktdaten des zuständigen Datenschutzbeauftragten sind bei jeder Behörde im Impressum oder auf einer eigenständigen Seite vermerkt. Das mit PGP machen sie bestimmt nicht erst seit gestern. Wäre also etwas nicht in Ordnung gewesen, hätte man längst etwas dagegen unternommen.

    Im Übrigen hat jede Behörde eine zentrale Poststelle, wo die gesamte Korrespondenz landet, im Rahmen des Dienstverhältnisses geöffnet, analysiert und erst von dort weitergereicht wird. So geschieht das z.B. mit postalisch zugesandten Briefen von Bürgern. Sie landen auch nie direkt beim zuständigen Beamten und bisher hat das niemand (erfolgreich) beanstandet. Alle Beamten unterliegen zudem der Schweigepflicht.

    Und so hat man bei dieser Behörde eine zentrale Stelle für verschlüsselte E-Mails eingerichtet, über die die Korrespondenz weitergeleitet wird. Was dabei aber viel wichtiger ist, ist der Umstand, dass die Bürger ihre verschlüsselten Nachrichten eben an diese zentrale Stelle adressieren, indem sie ihre E-Mail-Adresse als Empfänger verwenden. Jeder darf doch die Nachrichten öffnen, die an ihn adressiert sind. Bereits deshalb wird man hier keinen Verstoß feststellen können.

    Wenn Antworten der Behörde aber nicht OpenPGP-verschlüsselt sind, ist das doch sinnlos es zu nutzen.

    Ob nämlich Mails wirklich über SSL beim Empfänger anlanden, ist auch heutzutage nur bedingt gewährleistet, in Zeiten von MS-Exchange-Lücken und anderen Angriffen auf Behörden ist das eben schon problematisch, wenn jeder mitlesen kann.

    Nun ja, Vertraulichkeit im E-Mail-Verkehr ist wohl nicht das, was andere brauchen.


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

    Zitat von GwenDragon

    Wenn Antworten der Behörde aber nicht OpenPGP-verschlüsselt sind, ist das doch sinnlos es zu nutzen.

    Bei dieser Behörde sind sie aber verschlüsselt. Die Rede ist doch nur davon, dass es über eine zentrale E-Mail-Stelle der Behörde und nicht unmittelbar zwischen dem Beamten und dem Bürger läuft. Und das scheint noch im Rahmen des Datenschutzrechts zu sein.

    Und nicht verschlüsselt dürfen die Behörden in persönlichen Angelegenheiten gar nicht kommunizieren. So können sie nur allgemeine Infos geben, wie z.B. über die Öffnungszeiten. Aber darum geht's hier nicht.

    So, bevor diese Diskussion ins uferlose abdriftet, mal ein paar Fragen zum Problem des OPs:

    Zitat von Liquid Soul

    von einer behörde

    Von welcher Behörde sprichst Du?

    Zitat von Liquid Soul

    einen pgp schlüssel importiert

    Wo hast Du das denn importiert?

    Zitat von Liquid Soul

    behörde schreibe (nicht an security@xxx.de sondern an hans.wurst@xxx.de

    Das ist so auch völlig korrekt.

    Deshalb meine Frage:

    Hast Du den Herrn Hans Wurst schon mal nach seinem GPG/PGP/GnuPG-Schlüssel gefragt?

    Warum nicht?

    Jörg Schiermeier
    Informatiker, Bielefeld

    The Bat! professional v9.x (32bit NAU) mit XMP-, Regula- und Shell-Plugin • wine v9.x • devuan linux (excalibur/ceres)

    Zitat von GwenDragon

    Wenn Antworten der Behörde aber nicht OpenPGP-verschlüsselt sind, ist das doch sinnlos es zu nutzen.

    Ob nämlich Mails wirklich über SSL beim Empfänger anlanden, ist auch heutzutage nur bedingt gewährleistet, in Zeiten von MS-Exchange-Lücken und anderen Angriffen auf Behörden ist das eben schon problematisch, wenn jeder mitlesen kann.

    Nun ja, Vertraulichkeit im E-Mail-Verkehr ist wohl nicht das, was andere brauchen.

    Wenn mir der Sachbearbeiter schreibt, von seiner vorname.nachname@behörde.de e-mailadresse dann ist die e-mail an mich verschlüsselt. Das System auf behördenseite scheint in Verbindnung mit meinen pukkey zu funktionieren. Einzig der Umweg, dass ich nicht an vorname.nachname@behörde.de direkt mailen kann ist seltsam.

    Konkrete Behörde tut hier nichts zu Sache.

    Pubkey der Behörde habe ich in meiner Schlüsselverwaltung importiert.

    Habe nach Pubkey von Hans Wurst gefragt. Antwort: (nicht von ihm sondern seiner IT-Abteilung) es gibt nur den einen PGP-Key.