[Gpg4win-devel] Sicherheit der Downloads von der Website http://www.gpg4win.de/

[CarstenC.Haucke@web.de]

Hallo Entwickler-Team,

ich finde das Projekt GPG4win und insbesondere Eure Arbeit grandios und möchte mich als eifriger Nutzer von GPG4win dafür bei Euch bedanken. Sehr gut finde ich auch, dass Ihr die Möglichkeit gebt, die Integrität der Downloads anhand von Signaturen und Hash-Werten zu prüfen. Da können sich andere OpenSource-Projekte aber vor allem die meisten kommerziellen Anbieter noch eine ganz dicke Scheibe von abschneiden!

Eine Sicherheits-Lücke gibt es aber n.m.M. aber dennoch, auf die ich Euch hiermit gern hinweisen möchte: Ihr vertraut als Basis der Downloads und damit auch der Überprüfungsprozesse auf das leider bislang nicht sichere Domain Name System: Der User gibt (bestenfalls) Eure URL ein oder folgt einem Link unbekannter Quelle und meint dann guten Glaubens, nach Download der Programme und der zugehörigen Prüfmerkmale von Eurer Website und Prüfung der Programm-Downloads mit den von der gleichen Site herunter geladenen Prüfsignaturen auf der sicheren Seite zu sein - kann sich dessen aber meiner Meinung nach nicht sicher sein, solange sich die Website nicht auch erfolgreich authenifiziert, z.B. durch eine entsprechendes SSL-Zertifikat. 

Ohne die mit einem solchen Zertifikat entsprechend verbundene Betreiber-Information und der damit gesicherten Identität des Betreibers der Website kann der User durch seine - ggf. umgeleitete oder anderweitig manipulierte DNS-Abfrage bzw. die entsprechend(e) - gefakte - Antwort darauf im heute noch nicht sicheren DNS durchaus auf eine - zwar nur mit einigem Aufwand auch im DNS entsprechend erreichbar zu installierende, aber dennoch durchaus möglich(e) - gefakte Website geführt worden sein bzw. werden, auf der ihm dann ggf. neben gegenüber Euren Programm-Veröffentlichungen veränderten Programm-Dateien auch die zu den gegenüber den Originalen geänderten Programmen gehörigen anderen Prüfmerkmale angeboten werden.

Euer vermutliches Gegenargument wird nun wohl sein: Aber da ist immer noch die OpenPG/GnuPG-Signatur (ID 0x1CE0C630), die nach Web-of-Trust-Ansatz von so vielen anderen unterschrieben - also Cross-signiert - wurde. Schon richtig, aber solange ich als User keinen - nein, nicht nur einen - sondern nach Vier-Augen-Prinzip nicht wenigstens zwei der Unterzeichner dieses SELFSIGNED ZERTIFICATE persönlich kenne und vertraue - bleibt diesem zu vertrauen immer noch ein Wagnis und Risiko. Da setze ich doch mein Vertrauen lieber in ein SSL-Zertifikat von einer nicht-kommerziellen, aber "öffentlichen" CA wie CAcert. 

Wie denkt Ihr darüber, Euch ein solches SSL-Zertifikat bei CAcert.org zu holen und auf dem Webserver einzusetzen. Positiver Nebeneffekt: Die Downloads könnten per HTTPS (SSL-verschlüsselt) erfolgen und die Prüfprozeduren könnten ggf. entfallen.

Freue ich auf Eure Antwort und wünsche uns gemeinsam weiterhin viel Erfolg beim Sichern jeder Internet-Kommunikation.

Mit freundlichen Grüßen,

Carsten C. Haucke

--
HINWEIS: Seit 1.1.2008 bzw. 2009 wurden und werden in Deutschland trotz eines dieses untersagenden höchstrichterlichen Urteils möglicherweise immer noch sämtliche Kommunikationsverbindungsdaten für 6 Monate auf Vorrat erfasst.
DIESE DATEN W(E/U)RDEN SEIT 1.1.09 - zumindest ab Providergröße 1.000 Postfächer - AUCH WIRKLICH GESPEICHERT!

Try to keep safe, because it is not a crime: KEEP YOUR SECRETS AND PRIVACY -
And remember this: NOT ONLY REALLY BIG BROTHERS ARE WATCHING YOU & ME.

Bitte verstehen Sie meine Vorsicht als Stärke: Nur weil Sie und ich NICHT PARANOID sind, heißt das wirklich nicht, dass - aus welchem nichtigen oder kommerziellen Grund auch immer - nicht doch irgend jemand "hinter Ihnen und/ oder mir bzw. unseren Daten oder dem ggf. nicht trivialem Inhalt unserer Kommunikation her ist".

Deshalb: Signieren und Verschlüsseln Sie Ihre gesamte Internet-Kommunikation - und das möglichst lückenlos!

Dieser E-Mail wurde zu Ihrer und meiner Sicherheit digital signiert und führt den öffentlichen Schlüssel des Signatur-Zertifikats nach X.509 V3 mit, Sie können daher mit nahezu jedem E-Mail-System und -Client bereits verschlüsselt darauf antworten.

Möchten Sie vertraulich - d.h., mittels vor Kenntnisnahme und Veränderung durch Dritte während der Übertragung geschützter Nachrichten mit mir zu kommunizieren, so antworten Sie bitte mit verschlüsselter und von Ihnen ebenfalls möglichst S/MIME-signierter E-Mail. Für die Verschlüsselung Ihrer Antwort hängen dieser E-Mail der öffentliche Schlüssel des von mir zur Signatur verwendeten S/MIME-Zertifikats sowie zur alternativen Benutzung in der Datei 0x1AFE967E.asc auch mein öffentlicher PGP-Schlüssel (ID 0x1AFE967E) an, der durch die Signatur dieser E-Mail vor Veränderung geschützt und authentifiziert wird. 

Das zur Signatur verwendete Zertifikat kann mit seiner Seriennummer auf https://trust.web.de geprüft werden. Bitte benutzen Sie zur Signatur möglichst ebenso ein von einem öffentlichen Trustcenter ausgestelltes und online gegen diese CA prüfbares Zertifikat oder einen mit einer nicht kommerziellen Software wie PGP 2.6.3i bzw. GnuPG mit Versionsstand von mindestens V1.2.2 generierten Keyring und hängen Sie dessen öffentlichen Schlüssel Ihrer E-Mail an. Die Verschlüsselung sollte, wenn wählbar, mit mindestens 168 Bit oder besser, mit 256 Bit, erfolgen. 

Beachten Sie bitte auch: Die Root-/ bzw. Sub-Root-Zertifikate des Trustcenter der WEB.DE AG sind ggf. noch nicht im Zertifikatespeicher Ihres Internet-Browsers hinterlegt. Das führt ggf. zur Anzeige eines vermeindlichen Zertifikatfehlers durch den Mail-Client, da dessen Zertifikatprüfung ggf. ins Leere läuft. Um Dem dauerhaft abzuhelfen, laden Sie bitte die Sub-/ Root-Zertifikate der Mail-CA der WEB.DE AG per HTTPS vom SSL-Server https://trust.web.de herunter und installieren bzw. lassen Sie diese im Zertifikatspeicher Ihres E-Mail-Systems/ -Clients installieren. Vielen Dank für Ihre Unterstützung sicherer Kommunikation über das Internet.
-------------- next part --------------
A non-text attachment was scrubbed...
Name: 0x1AFE967E.asc
Type: application/octet-stream
Size: 1722 bytes
Desc: not available
Url : http://lists.wald.intevation.org/pipermail/gpg4win-devel/attachments/20100414/5e40704b/0x1AFE967E.obj
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/pkcs7-signature
Size: 1763 bytes
Desc: S/MIME Cryptographic Signature
Url : http://lists.wald.intevation.org/pipermail/gpg4win-devel/attachments/20100414/5e40704b/smime.bin