Web Key Directory: Enigmail verrät IP-Adresse an Empfänger
Der automatische Empfang von öffentlichen OpenPGP- bzw. GnuPG-Schlüsseln über Web Key Directory (WKD) ist im Grunde eine schöne Lösung. Im Beitrag »GnuPG: Web Key Directory (WKD) einrichten« habe ich beschrieben, wie man das einrichten kann.
Allerdings gibt es auch einen Haken – jedenfalls dann, wenn man Enigmail für Thunderbird einsetzt. Enigmail sendet nach der Eingabe einer E-Mail-Adresse in das Empfängerfeld automatisch eine HTTP-Anfrage an die E-Mail-Domain des Empfängers, um zu prüfen, ob ein öffentlicher Schlüssel unter der standardisierten WKD-Adresse bereitsteht:
https://kuketz-blog.de/.well-known/openpgpkey/hu/kd39y8fkyw5j8uubuicshffo9hhodk4j
Gleiches passiert übrigens, wenn man bei einer empfangenen E-Mail auf Antworten klickt. Das bedeutet: Ob man die E-Mail nun absendet oder nicht, versendet man quasi eine Art Empfangsbestätigung an den Absender bzw. Betreiber der E-Mail-Domain, der dies loggen könnte.
Damit verrät Enigmail dem Empfänger die IP-Adresse des Anschlusses. Die Funktion von Enigmail ist zwar gut gemeint, weil dann automatisch nach einem öffentlichen Schlüssel gefragt wird – allerdings wird eben auch die IP-Adresse geleakt, was nicht in jedem Umfeld geeignet sein dürfte. Besser wäre es, wenn sich die Option über die GUI an- bzw. ausschalten ließe bzw. eine Anfrage an die WKD-Gegenstelle auch manuell ausgelöst werden könnte. Der Autor von Enigmail wird dieses Verhalten vermutlich nicht ändern, wie das Issue »#889 WKD privacy issues / information disclosure« verrät.
Wer die automatische Prüfung via WKD abschalten möchte, der sollte den Konfigurationseditor von Thunderbird öffnen und den Parameter
extensions.enigmail.autoWkdLookup
auf 0 stellen.
GnuPG: Web Key Directory (WKD) einrichten
Verschlüsselte E-Mails mit GnuPG als Supergrundrecht
GnuPG-Schlüsselerstellung und Smartcard-Transfer – Nitrokey Teil2
GnuPG: Das Dilemma mit den Schlüsselservern
