Spam durch Daten auf public key server ???

  • hallo,


    ich habe mal eine Frage zur Verwendung eines oeffentlichen Zertifikates.


    Und zwar ist bei der Beantragung eines Class0 Zertifikates beim Trutcenter https://www.trustcenter.de/cs-bin/MyCert.cgi/de/55 folgender Text zu lesen:
    "Ich bin damit einverstanden, dass mein Zertifikat und die darin enthaltenen personenbezogenen Daten auf dem Public Key Server von TC TrustCenter für jedermann zugänglich aufbewahrt werden"


    Wenn die Daten nun fuer jeden zugaenglich sind, dann heisst es doch auch, dass evtl. Spambots die Mail-Adressen von dort sammeln und an diese Adressen Spam verschicken koennen. Oder nicht?


    Hat jemand schonmal dahingehend Erfahrungen gemacht oder weiss, wie z.B. das Trustcenter das handhabt?

  • Hallo,
    ich lade meine gpg-Schlüssel seit Jahren auf öffentlichen Server, was vom Prinzip vergleichbar sein sollte.
    Ich bin mir ziemlich sicher, darüber noch nicht in die Fänge eines Spammers gekommen zu sein, so habe ich auf eine der Adressen noch keine einzige Spammail bekommen.
    Deine Frage hatte ich mir aber auch schon gestellt und auch mit Freunden das für Spammer oder Malwareversender vermutlich recht erfolgreiche Szenario entworfen, Adressen + public key von den keyservern zu holen und dann verschlüsselte Spammails zu verschicken.
    Wir waren uns recht sicher, daß verschlüsselte Mails beim Empfänger vertrauenswürdiger erscheinen, auch würden Antispamfilter sowie serverseitige Antivirenprogramme öfter ins Leere laufen. Anscheinend ist der Aufwand aber doch zu groß - glücklicherweise.


    Karla

  • Hi gaga3000,


    ich glaube, da kann ich dich beruhigen. (Kann allerdings nur für X.509-Zertifikate sprechen, aber bei GnuPG-Keyservern wird es ähnlich sein.)
    Die Daten werden nicht "einfach so" auf einem Webserver gespeichert, wo die SpamBots einfach nach "irgendwas@orgend.wo" suchen können, sondern in einem so genannten Verzeichnisdienst. Zum Beispiel auf einem ldap-Server. Dort musst du für jede Abfrage konkrete Ausgangsbedingungen stellen und nach einer deutlichen Zeitspanne erhältst du das Ergebnis.
    Dabei verhindert man durch bestimmte Maßnahmen Massenabfragen (Name = A*) und begrenzt auch die Zahl der angezeigten Ergebnisse. Meist musst du auch eine bestimmte Anzahl von Buchstaben eingeben. Und dann kann man auch noch die Zahl der Suchläufe pro IP und Zeiteinheit drastisch einschränken bzw. die Zeitabstände immer größer werden lassen. Damit ist diese Quelle für die Bots nur äußerst schlecht geeignet.


    Ziel muss ja trotzdem sein, dass zum Beispiel ein Mailpartner dein Zertifikat mit dem öffentlichen Schlüssel vom Server holen kann und andererseits eine automatische Zertifikatsprüfung möglich ist. Manche Mailclients sind auch in der Lage, das Zertifikat zur Verschlüsselung automatisch zu holen.


    Ich habe seit vielen Jahren mehrere Zertifikate auf derartigen Servern zu liegen - und ich bekomme auf allen meinen vielen Mailadressen je Woche nur 1-3 Spam-Mails !


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Nun - bezogen auf PGP / GPG - eine meiner dort hochgeladene e-mail Adressen erhält ab & an mal eine spam mail an mich selbst.
    Gefälschte Signierungen ... sind mir bis dato nicht untergekommen; wozu auch dies?
    Erstens liegt es nicht im Tätigkeits-/ Wirkungsbereich des üblichen spammers.
    Zweitens fällt wohl kaum einer darauf herein! [Sicherheitsbewußtsein der Anwender]


    Da unter PGP / GPG noch mehr sicherheitsrelevantes Bewußtsein zum Tragen kommt ~ sei angemerkt: Bei *geschlossenen* Projekten erfolgt der key-Austausch ja eh nicht via öffentlichem Server! ;)


    MfG ... Vic

  • "Vic~" schrieb:

    Bei *geschlossenen* Projekten erfolgt der key-Austausch ja eh nicht via öffentlichem Server! ;)


    Volle Zustimmung.
    Der ldap, wo sich die jeweiligen Anwendungen das Zertifikat (= öffentlicher Schlüssel) holen, befindet sich im Intranet. Für die Signaturprüfung, also die nach SigG geforderte Aussage "gültig", "unbekannt" oder "ungültig" gibt es ocsp-Server, zu denen das zu prüfende Zertifikat geschickt wird, und die dann lediglich eine der drei Antworten zurücksenden. Selbstverständlich wiederum signiert ... . Diese ocsp-Server sind aus dem Intra- und aus dem Internet erreichbar.


    Aber ich denke mal, die Ausgangsfrage des TE haben wir beantwortet.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Ich darf Peter hier mal wieder ausdrücklich danken!
    Er bringt es auf den Punkt und ordnet die Sachlage!

  • Hallo,


    Das Trustcenter hat mir noch nicht geantwortet.
    Ich habe einfach mal nach Zertifikaten/E-Mail-Adressen auf deren Seite https://www.trustcenter.de/fcgi-bin/Search.cgi gesucht, ungefaehr 10 Anfragen, alle innerhalb einer Minute, nach dem Schema "*[Buchstabe]@web.de". Sind zuviele Ergebnisse vorhanden gibs ne Fehglermeldung, aber Ergebnislisten bis vielleicht 100 sind moeglich. Wie gesagt muesste man das ganze noch automatiseren und vielleicht gibts ab 100 Anfragen in der Minute auch ne Sperre. Ich hatte aber keine Lust, das Limit herauszufinden.
    Wenn man aber mit 10 Anfragen in der Minute jeweils 100 Adressen bekommt, dann ist das schon ne Menge.


    Einfach mal ausprobieren...


    Peter : Was meinst du mit

    Zitat

    Der ldap, wo sich die jeweiligen Anwendungen das Zertifikat (= öffentlicher Schlüssel) holen, befindet sich im Intranet.

    ?
    Es geht doch gerade um die oeffentlichen Zertifikate, oder hab ich dich da missverstanden?