Article note: #hmmm

Der automatische Empfang von öffentlichen OpenPGP- bzw. GnuPG-Schlüsseln über Web Key Directory (WKD) ist im Grunde eine schöne Lösung. Im Beitrag »GnuPG: Web Key Directory (WKD) einrichten« habe ich beschrieben, wie man das einrichten kann.

Allerdings gibt es auch einen Haken – jedenfalls dann, wenn man Enigmail für Thunderbird einsetzt. Enigmail sendet nach der Eingabe einer E-Mail-Adresse in das Empfängerfeld automatisch eine HTTP-Anfrage an die E-Mail-Domain des Empfängers, um zu prüfen, ob ein öffentlicher Schlüssel unter der standardisierten WKD-Adresse bereitsteht:

https://kuketz-blog.de/.well-known/openpgpkey/hu/kd39y8fkyw5j8uubuicshffo9hhodk4j

Gleiches passiert übrigens, wenn man bei einer empfangenen E-Mail auf Antworten klickt. Das bedeutet: Ob man die E-Mail nun absendet oder nicht, versendet man quasi eine Art Empfangsbestätigung an den Absender bzw. Betreiber der E-Mail-Domain, der dies loggen könnte.

Damit verrät Enigmail dem Empfänger die IP-Adresse des Anschlusses. Die Funktion von Enigmail ist zwar gut gemeint, weil dann automatisch nach einem öffentlichen Schlüssel gefragt wird – allerdings wird eben auch die IP-Adresse geleakt, was nicht in jedem Umfeld geeignet sein dürfte. Besser wäre es, wenn sich die Option über die GUI an- bzw. ausschalten ließe bzw. eine Anfrage an die WKD-Gegenstelle auch manuell ausgelöst werden könnte. Der Autor von Enigmail wird dieses Verhalten vermutlich nicht ändern, wie das Issue »#889 WKD privacy issues / information disclosure« verrät.

Wer die automatische Prüfung via WKD abschalten möchte, der sollte den Konfigurationseditor von Thunderbird öffnen und den Parameter

extensions.enigmail.autoWkdLookup

auf 0 stellen.

Mitmachen: Du kannst den Blog aktiv unterstützen!