[Suggestion] PGP Unterstützung

[Serraniel]

Huhu,

wollte mal allgemein Vorschlagen eine Unterstützung für PGP in das Forum zu integrieren. Dabei möchte ich die Art der Implementierung bewusst offen gestaltet lassen, nenne verschiedene, mehr oder weniger aufwändige und komplexe Möglichkeiten wie man PGP integrieren könnte.

Ein kurzer Umriss zu PGP für diejenigen, denen das nichts sagt:

 Spoiler

PGP steht für pretty good privacy. Dabei handelt es sich um ein private/public key Verfahren zum verschlüsseln und / oder signieren von Inhalten. Dabei werden zwei Schlüssel kryptografisch erzeugt, von welchen einer Veröffentlicht wird. Durch das Signieren eines öffentlichen Schlüssels einer anderen Person mit dem eigenen privaten Schlüssel kann man die Echtheit der Person hinter dem öffentlichen Schlüssel bestätigen. Öffentliche Schlüssel findet man z. B. im .

Mögliche Arten von Unterstützungen von PGP im Forum wären:

• das Trivialste wäre wohl eine Anbindung eines Links zu einem öffentlichen Zertifikat über die ID und dann im Profil links neben den anderen Social Media / Messenger Badges anzuzeigen. Inhaltlich sieht das z. B. so aus (sorry @ das ich dich als Beispiel genommen habe, aber so habe ich einen Grund dich zu pingen ), wo man dann Signaturen anderer sieht und auch auf den öffentlichen Key im Anschluss zugreifen kann. Alternativ eine Verlinkung (siehe andere URL Parameter beim SKS-Keyserverpool) die direkt zum public key führt:
  https://sks-keyservers.net/pks/lookup?search=<ID_PLACEHOLDER>&fingerprint=on&hash =on&op=vindex
  
   Spoiler

  
  https://sks-keyservers.net/pks/lookup?op=get&search=<ID_PLACEHOLDER>
  
   Spoiler

  
  Alternativ könnte man auch auf ein Profil bei verlinken lassen, wo der Schlüssel z. B. Abrufbar ist.
  
• Weiterführend könnte epvp natürlich auch selber anbieten (vllt gegen eine eg Gebühr?) Schlüssel zu signieren. E-Mails müssen ja glaube ich bestätigt werden im Forum, sodass wenn die E-Mail Adresse übereinstimmt diese signiert werden kann oder alternativ eine Bestätigungsmail für die E-Mail Adresse verschickt wird. Der signierte Key müsste dann auch zugänglich gemacht werden (Push auf den SKS-Keyserverpool, Rückantwort mit Anahng oder Download im Forum wären hier z. B. Möglichkeiten). Usern mit ID Verification könnte zudem ein höheres Level in der Signatur eingestanden werden.
  Kurzer Ausreißer dazu, welche Level es gibt:
  
   Spoiler

  0x10: Generic certification of a User ID and Public-Key packet.
  The issuer of this certification does not make any particular
  assertion as to how well the certifier has checked that the owner
  of the key is in fact the person described by the User ID.
  
  0x11: Persona certification of a User ID and Public-Key packet.
  The issuer of this certification has not done any verification of
  the claim that the owner of this key is the User ID specified.
  
  0x12: Casual certification of a User ID and Public-Key packet.
  The issuer of this certification has done some casual
  verification of the claim of identity.
  
  0x13: Positive certification of a User ID and Public-Key packet.
  The issuer of this certification has done substantial
  verification of the claim of identity.
• Einen eigenen Keyserver zur Verfügung stellen und mit dem SKS-Keyserverpool synchronisieren. Habs nicht gelesen aber der Link scheint nicht ganz falsch dazu zur technischen Umsatzweise:
  
• Die eigenen E-Mails im Forum verschlüsseln / signieren.

Mir ist klar das der Benefit der Features nicht unbedingt ausreichend sein wird um diese zu Implementieren bzw. der Aufwand einiger der Punkte zu groß sein wird, vorschlagen wollte ich es dennoch mal, vielleicht auch das man es bei Interesse für zukünftige Änderungen am Forum womöglich im Hinterkopf behält und dort mit integrieren kann. Dafür meinte ich zu Beginn das ich einfach mal komplett offen ein paar Ideen in den Raum werfen wollte, was für Möglichkeiten man damit hat. Zumindest das Verlinken und Ergänzen bei den Messengern auf der linken Seite im Forum sollte vermutlich aber keinen zu großen Aufwand mit sich bringen denke ich.
Auch ist mir bewusst, dass man als Nutzer dadurch ggf. persönliche Informationen veröffentlicht bzw. eine Verknüpfung zwischen Onlineidentitäten herstellen kann; Personen die sich mit PGP beschäftigen und es nutzen sollten sich darüber aber sowieso im Bilde sein.

Auf Feedback bin gespannt; Korrektur gelesen, ihr kennt mich, habe ich jetzt nicht mehr

VG,
Daniel

[Der-Eddy]

In einem ehemaligen deutschen Deepweb Forum habe ich eine weitere interessante Implementation gesehen
da wurde der öffentliche PGP Key genutzt um einen zufälligen Code zu verschlüsseln, dieser diente als 2FA für das Login

[Serraniel]

Wäre auch eine Alternative für den zweiten Punkt, dass an die E-Mail kein Link geschickt wird sondern ein verschlüsselter Text den man nur lesen kann, wenn man ihn gültig mit dem Zertifikat entschlüsselt, dann proved man nicht nur Ownership der Mail sondern auch das man den privaten Schlüssel hat...

[Michi]

Habe derzeit den Zweck dahinter nicht genau verstanden könntest du mir den genauer erklären? Dann würde ich auch meinen Saft abgegeben haha :-)

[cypher]

Das ist eine sehr gute Idee. Ich wäre 100% dafür.
Auch die 2FA - wie DerEddy auch schrieb - ließe sich damit geschickt umsetzen. Ah ja DIDW

@: Du kannst ein einzigartiges Schlüsselpaar generieren. Ein Schlüssel ist öffentlich - diesen teilst du mit anderen - und eins ist privat - diesen behältst du nur für dich. Mit dem öffentlichen Schlüssel kann jeder, dem du diesen geschickt hast, Klartext verschlüsseln und an dich senden. Nur du kannst diesen verschlüsselten Text entschlüsseln, da nur du den dazu passenden privaten Schlüssel hast.

Zum einen ermöglicht das verschlüsselte Konversation zwischen Kommunikationspartnern.
Zum anderen hast du damit eine digitale Signatur mit der du deine Identität nachweist.
Natürlich ist die sorgfältige Aufbewahrung des Schlüsselpaares notwendig (den du übrigens auch mit einem Passwort belegen kannst).

Ein Nachteil, der mir gerade einfällt ist, dass wenn die 2FA - wie oben von DerEddy gezeigt - umgesetzt wird,
Nutzer ihre Schlüssel auch auf ihrem Mobiltelefon aufbewahren müssten, um elitepvpers mobil nutzen zu können.
Natürlich kann man auch alternativ 2FA auf dem alten Weg anbieten (geht soweit ich weiß über E-Mail).

[Der-Eddy]

Epvp bietet bereits 2FA über TOTP an, für 99% der Nutzer ist das die komfortablere Variante für sicheres 2FA

PGP/GPG ist zwar schon was richtig praktisches, aber der absolute Großteil der Nutzer wird damit nichts anfangen können
eine weitere Idee wäre die privaten Chats mit PGP Ende-zu-Ende zu verschlüsseln (ähnlich wie es WhatsApp eigentlich auch schon macht), würde jedoch dazu führen das bei einem Betrugsfall im Trading wieder kein Admin die Chatverläufe einsehen kann AUẞER er baut explizit einen "Backdoor"-Schlüssel ein
was das Ganze komplett ad-absurdum führen würde

[Serraniel]

Quote:

Originally Posted by 'Dude'

Habe derzeit den Zweck dahinter nicht genau verstanden könntest du mir den genauer erklären? Dann würde ich auch meinen Saft abgegeben haha :-)

@ hat die Idee dahinter schon relativ gut erklärt. Durch die Signatur eines Nutzers weißt du auch, dass auch nur diese Person die Nachricht/Datei/was auch immer authentisch signiert hat, da nur die zugehörige Person Zugriff auf seinen privaten Schlüssel hat. Kompromittierte Schlüssel können über ein Sperrzertifikat zudem zurückgezogen werden. Du hast also zusätzlich eine Zusicherung, dass die Person, mit der du kommunizierst, die Person ist, für die sie sich ausgibt. Verstärkt wird das dadurch, dass man öffentliche Schlüssel bestätigen (signieren) kann. Das heißt du veröffentlichst deinen öffentlichen Schlüssel, und wenn ich weiß das der wirklich zu dir gehört, dann kann ich dies signieren. Dadurch bilden sich ganze Ketten von Vertrauenswürdigen Usern (wobei das Vertrauenswürdig sich auf die Echtheit bezieht, nicht dass dieser User nicht scammt oder sowas, um mal einen Bezug zum Trading herzustellen), das sogenannte Web of trust.

[ZENS!ERT]

c&p
Nun, um ganz ehrlich zu sein, meiner bescheidenen Meinung nach, natürlich ohne irgendjemanden zu beleidigen, der aus meiner Sicht anders denkt, sondern auch, indem ich diese Angelegenheit aus einer anderen Perspektive betrachte, ohne die eigenen Ansichten zu verurteilen und sie objektivieren zu lassen und wenn ich jede gültige Meinung beurteile, glaube ich ehrlich, dass dieser Vorschlag nur eine weitere Spielerei ist, welche man nicht wirklich braucht.

Und um ganz ehrlich zu sein, habe ich ab da nichts mehr verstanden

Quote:

Originally Posted by Serraniel

Huhu,

[nix verstehen]

VG,
Daniel

Aber nach einigen Kommentaren hier habe es doch noch verstanden und finde es so lala hmmm... so joa... kann man haben, muss aber aber nicht unbedingt.

[Serraniel]

Quote:

Originally Posted by ZENS!ERT

c&p
Nun, um ganz ehrlich zu sein, meiner bescheidenen Meinung nach, natürlich ohne irgendjemanden zu beleidigen, der aus meiner Sicht anders denkt, sondern auch, indem ich diese Angelegenheit aus einer anderen Perspektive betrachte, ohne die eigenen Ansichten zu verurteilen und sie objektivieren zu lassen und wenn ich jede gültige Meinung beurteile, glaube ich ehrlich, dass dieser Vorschlag nur eine weitere Spielerei ist, welche man nicht wirklich braucht.

Und um ganz ehrlich zu sein, habe ich ab da nichts mehr verstanden


Aber nach einigen Kommentaren hier habe es doch noch verstanden und finde es so lala hmmm... so joa... kann man haben, muss aber aber nicht unbedingt.

Kann ich voll und ganz nachvollziehen, denke auch es wird sich nur eine Minderheit in dem Forum damit beschäftigen auch oder nutzt es. Allerdings ist zumindest eine Erweiterung dort wo social Media und Messenger links sind ja relativ einfach umgesetzt und kann im Zweifel ja auch als Metrik genutzt werden , wieviele leite im Forum das nutzen und bei Bedarf weiteren Krams machen.

[ZENS!ERT]

Quote:

Originally Posted by Serraniel

Kann ich voll und ganz nachvollziehen, denke auch es wird sich nur eine Minderheit in dem Forum damit beschäftigen auch oder nutzt es. Allerdings ist zumindest eine Erweiterung dort wo social Media und Messenger links sind ja relativ einfach umgesetzt und kann im Zweifel ja auch als Metrik genutzt werden , wieviele leite im Forum das nutzen und bei Bedarf weiteren Krams machen.

Ja ist gut, schrei mich doch nicht gleich so von der Seite an

Nein jetzt real talk, je länger ich mich damit befasse, desto interessanter finde ich Unterstützung für PGP.

Jetzt muss ich meinem ersten comment selbst widersprechen. Jedenfalls bin ich nun auch dafür, sollte die Umsetzung der Erweiterung nicht allzu schwierig und zeitraubend sein.

+1 yes ❤️

[iMostLiked]

Wir finden die Idee ebenfalls klasse, aber es ist wie @ bereits sagte:

Quote:

PGP/GPG ist zwar schon was richtig praktisches, aber der absolute Großteil der Nutzer wird damit nichts anfangen können

Dennoch behalten wir das im Hinterkopf. Danke für den Vorschlag.