PGP Unterstützung

03/19/2019 21:41 Serraniel#1
Huhu,

wollte mal allgemein Vorschlagen eine Unterstützung für PGP in das Forum zu integrieren. Dabei möchte ich die Art der Implementierung bewusst offen gestaltet lassen, nenne verschiedene, mehr oder weniger aufwändige und komplexe Möglichkeiten wie man PGP integrieren könnte.

Ein kurzer Umriss zu PGP für diejenigen, denen das nichts sagt:

Mögliche Arten von Unterstützungen von PGP im Forum wären:
  • das Trivialste wäre wohl eine Anbindung eines Links zu einem öffentlichen Zertifikat über die ID und dann im Profil links neben den anderen Social Media / Messenger Badges anzuzeigen. Inhaltlich sieht das z. B. so aus (sorry @[Only registered and activated users can see links. Click Here To Register...] das ich dich als Beispiel genommen habe, aber so habe ich einen Grund dich zu pingen :heyguys:), wo man dann Signaturen anderer sieht und auch auf den öffentlichen Key im Anschluss zugreifen kann. Alternativ eine Verlinkung (siehe andere URL Parameter beim SKS-Keyserverpool) die direkt zum public key führt:
    https://sks-keyservers.net/pks/lookup?search=<ID_PLACEHOLDER>&fingerprint=on&hash =on&op=vindex
    https://sks-keyservers.net/pks/lookup?op=get&search=<ID_PLACEHOLDER>
    Alternativ könnte man auch auf ein Profil bei [Only registered and activated users can see links. Click Here To Register...] verlinken lassen, wo der Schlüssel z. B. Abrufbar ist.
  • Weiterführend könnte epvp natürlich auch selber anbieten (vllt gegen eine eg Gebühr?) Schlüssel zu signieren. E-Mails müssen ja glaube ich bestätigt werden im Forum, sodass wenn die E-Mail Adresse übereinstimmt diese signiert werden kann oder alternativ eine Bestätigungsmail für die E-Mail Adresse verschickt wird. Der signierte Key müsste dann auch zugänglich gemacht werden (Push auf den SKS-Keyserverpool, Rückantwort mit Anahng oder Download im Forum wären hier z. B. Möglichkeiten). Usern mit ID Verification könnte zudem ein höheres Level in der Signatur eingestanden werden.
    Kurzer Ausreißer dazu, welche Level es gibt:
  • Einen eigenen Keyserver zur Verfügung stellen und mit dem SKS-Keyserverpool synchronisieren. Habs nicht gelesen aber der Link scheint nicht ganz falsch dazu zur technischen Umsatzweise: [Only registered and activated users can see links. Click Here To Register...]
  • Die eigenen E-Mails im Forum verschlüsseln / signieren.

Mir ist klar das der Benefit der Features nicht unbedingt ausreichend sein wird um diese zu Implementieren bzw. der Aufwand einiger der Punkte zu groß sein wird, vorschlagen wollte ich es dennoch mal, vielleicht auch das man es bei Interesse für zukünftige Änderungen am Forum womöglich im Hinterkopf behält und dort mit integrieren kann. Dafür meinte ich zu Beginn das ich einfach mal komplett offen ein paar Ideen in den Raum werfen wollte, was für Möglichkeiten man damit hat. Zumindest das Verlinken und Ergänzen bei den Messengern auf der linken Seite im Forum sollte vermutlich aber keinen zu großen Aufwand mit sich bringen denke ich.
Auch ist mir bewusst, dass man als Nutzer dadurch ggf. persönliche Informationen veröffentlicht bzw. eine Verknüpfung zwischen Onlineidentitäten herstellen kann; Personen die sich mit PGP beschäftigen und es nutzen sollten sich darüber aber sowieso im Bilde sein.

Auf Feedback bin gespannt; Korrektur gelesen, ihr kennt mich, habe ich jetzt nicht mehr :D

VG,
Daniel
03/19/2019 21:48 Der-Eddy#2
In einem ehemaligen deutschen Deepweb Forum habe ich eine weitere interessante Implementation gesehen
da wurde der öffentliche PGP Key genutzt um einen zufälligen Code zu verschlüsseln, dieser diente als 2FA für das Login

[Only registered and activated users can see links. Click Here To Register...]
03/19/2019 22:01 Serraniel#3
Wäre auch eine Alternative für den zweiten Punkt, dass an die E-Mail kein Link geschickt wird sondern ein verschlüsselter Text den man nur lesen kann, wenn man ihn gültig mit dem Zertifikat entschlüsselt, dann proved man nicht nur Ownership der Mail sondern auch das man den privaten Schlüssel hat...
03/19/2019 23:15 Michi#4
Habe derzeit den Zweck dahinter nicht genau verstanden könntest du mir den genauer erklären? Dann würde ich auch meinen Saft abgegeben haha :-)
03/20/2019 10:15 cypher#5
Das ist eine sehr gute Idee. Ich wäre 100% dafür.
Auch die 2FA - wie DerEddy auch schrieb - ließe sich damit geschickt umsetzen. Ah ja DIDW :rolleyes:

@[Only registered and activated users can see links. Click Here To Register...]: Du kannst ein einzigartiges Schlüsselpaar generieren. Ein Schlüssel ist öffentlich - diesen teilst du mit anderen - und eins ist privat - diesen behältst du nur für dich. Mit dem öffentlichen Schlüssel kann jeder, dem du diesen geschickt hast, Klartext verschlüsseln und an dich senden. Nur du kannst diesen verschlüsselten Text entschlüsseln, da nur du den dazu passenden privaten Schlüssel hast.

Zum einen ermöglicht das verschlüsselte Konversation zwischen Kommunikationspartnern.
Zum anderen hast du damit eine digitale Signatur mit der du deine Identität nachweist.
Natürlich ist die sorgfältige Aufbewahrung des Schlüsselpaares notwendig (den du übrigens auch mit einem Passwort belegen kannst).

Ein Nachteil, der mir gerade einfällt ist, dass wenn die 2FA - wie oben von DerEddy gezeigt - umgesetzt wird,
Nutzer ihre Schlüssel auch auf ihrem Mobiltelefon aufbewahren müssten, um elitepvpers mobil nutzen zu können.
Natürlich kann man auch alternativ 2FA auf dem alten Weg anbieten (geht soweit ich weiß über E-Mail).
03/20/2019 16:56 Der-Eddy#6
Epvp bietet bereits 2FA über TOTP an, für 99% der Nutzer ist das die komfortablere Variante für sicheres 2FA

PGP/GPG ist zwar schon was richtig praktisches, aber der absolute Großteil der Nutzer wird damit nichts anfangen können
eine weitere Idee wäre die privaten Chats mit PGP Ende-zu-Ende zu verschlüsseln (ähnlich wie es WhatsApp eigentlich auch schon macht), würde jedoch dazu führen das bei einem Betrugsfall im Trading wieder kein Admin die Chatverläufe einsehen kann AUẞER er baut explizit einen "Backdoor"-Schlüssel ein
was das Ganze komplett ad-absurdum führen würde
03/20/2019 21:46 Serraniel#7
Quote:
Originally Posted by 'Dude' View Post
Habe derzeit den Zweck dahinter nicht genau verstanden könntest du mir den genauer erklären? Dann würde ich auch meinen Saft abgegeben haha :-)
@[Only registered and activated users can see links. Click Here To Register...] hat die Idee dahinter schon relativ gut erklärt. Durch die Signatur eines Nutzers weißt du auch, dass auch nur diese Person die Nachricht/Datei/was auch immer authentisch signiert hat, da nur die zugehörige Person Zugriff auf seinen privaten Schlüssel hat. Kompromittierte Schlüssel können über ein Sperrzertifikat zudem zurückgezogen werden. Du hast also zusätzlich eine Zusicherung, dass die Person, mit der du kommunizierst, die Person ist, für die sie sich ausgibt. Verstärkt wird das dadurch, dass man öffentliche Schlüssel bestätigen (signieren) kann. Das heißt du veröffentlichst deinen öffentlichen Schlüssel, und wenn ich weiß das der wirklich zu dir gehört, dann kann ich dies signieren. Dadurch bilden sich ganze Ketten von Vertrauenswürdigen Usern (wobei das Vertrauenswürdig sich auf die Echtheit bezieht, nicht dass dieser User nicht scammt oder sowas, um mal einen Bezug zum Trading herzustellen), das sogenannte Web of trust.
03/20/2019 22:33 ZENS!ERT#8
c&p
Nun, um ganz ehrlich zu sein, meiner bescheidenen Meinung nach, natürlich ohne irgendjemanden zu beleidigen, der aus meiner Sicht anders denkt, sondern auch, indem ich diese Angelegenheit aus einer anderen Perspektive betrachte, ohne die eigenen Ansichten zu verurteilen und sie objektivieren zu lassen und wenn ich jede gültige Meinung beurteile, glaube ich ehrlich, dass dieser Vorschlag nur eine weitere Spielerei ist, welche man nicht wirklich braucht.

Und um ganz ehrlich zu sein, habe ich ab da nichts mehr verstanden :o
Quote:
Originally Posted by Serraniel View Post
Huhu,

[nix verstehen]

VG,
Daniel
Aber nach einigen Kommentaren hier habe es doch noch verstanden und finde es so lala hmmm... so joa... kann man haben, muss aber aber nicht unbedingt.
03/20/2019 22:49 Serraniel#9
Quote:
Originally Posted by ZENS!ERT View Post
c&p
Nun, um ganz ehrlich zu sein, meiner bescheidenen Meinung nach, natürlich ohne irgendjemanden zu beleidigen, der aus meiner Sicht anders denkt, sondern auch, indem ich diese Angelegenheit aus einer anderen Perspektive betrachte, ohne die eigenen Ansichten zu verurteilen und sie objektivieren zu lassen und wenn ich jede gültige Meinung beurteile, glaube ich ehrlich, dass dieser Vorschlag nur eine weitere Spielerei ist, welche man nicht wirklich braucht.

Und um ganz ehrlich zu sein, habe ich ab da nichts mehr verstanden :o


Aber nach einigen Kommentaren hier habe es doch noch verstanden und finde es so lala hmmm... so joa... kann man haben, muss aber aber nicht unbedingt.
Kann ich voll und ganz nachvollziehen, denke auch es wird sich nur eine Minderheit in dem Forum damit beschäftigen auch oder nutzt es. Allerdings ist zumindest eine Erweiterung dort wo social Media und Messenger links sind ja relativ einfach umgesetzt und kann im Zweifel ja auch als Metrik genutzt werden , wieviele leite im Forum das nutzen und bei Bedarf weiteren Krams machen.
03/20/2019 23:16 ZENS!ERT#10
Quote:
Originally Posted by Serraniel View Post
Kann ich voll und ganz nachvollziehen, denke auch es wird sich nur eine Minderheit in dem Forum damit beschäftigen auch oder nutzt es. Allerdings ist zumindest eine Erweiterung dort wo social Media und Messenger links sind ja relativ einfach umgesetzt und kann im Zweifel ja auch als Metrik genutzt werden , wieviele leite im Forum das nutzen und bei Bedarf weiteren Krams machen.
Ja ist gut, schrei mich doch nicht gleich so von der Seite an :heh:

Nein jetzt real talk, je länger ich mich damit befasse, desto interessanter finde ich Unterstützung für PGP.

Jetzt muss ich meinem ersten comment selbst widersprechen. Jedenfalls bin ich nun auch dafür, sollte die Umsetzung der Erweiterung nicht allzu schwierig und zeitraubend sein.

+1 yes ❤️
05/02/2019 20:04 iMostLiked#11
Wir finden die Idee ebenfalls klasse, aber es ist wie @[Only registered and activated users can see links. Click Here To Register...] bereits sagte:

Quote:
PGP/GPG ist zwar schon was richtig praktisches, aber der absolute Großteil der Nutzer wird damit nichts anfangen können
Dennoch behalten wir das im Hinterkopf. Danke für den Vorschlag. :)