Auf Mastodon teilen

Antrag nach dem IFG/UIG/VIG Guten Tag, bitte senden Sie mir Folgendes zu:

Sehr geehrter Herr Lindenberg, anbei übersende ich Ihnen meinen Bescheid zu Ihrer Anfrage nach dem Informationsfreiheitsgesetz (IFG). Mit freundlichen Grüßen

Sehr geehrter Herr Lindenberg, vielen Dank für Ihre E-Mail an das Bundesamt für Sicherheit in der Informationstechnik (BSI). Die durch Sie zitierte Antwort des CERT-Bund stammt aus Ihrem Versuch, eine Liste von Sicherheitsbedenken als Schwachstelle an das BSI zu melden. Dabei wurden die Hinweise der CVD-Richtlinie des BSI [1] nicht beachtet. Bei der Meldung gaben Sie als betroffenes Produkt "GnuPG Web Key Directory" an. Dementsprechend betrifft die Antwort des CERT-Bund WKD und die Implementierung in GnuPG. Es kann insofern abweichend von Ihrer Anfrage nur in diesem Kontext Auskunft über das in der Antwort von CERT-Bund referenzierte Threat-Modell gegeben werden. Web Key Directory beschreibt ein Verfahren, das einem Client den Abruf unbekannter Schlüssel ermöglicht, wobei aus dem WKD abgerufenen Schlüsseln eine gewisse Vertrauensstellung innerhalb des Trust-Modells von GnuPG zugewiesen wird, um eine automatisierte Verschlüsselung unter Verzicht auf Vertrauensmanagement zu ermöglichen. (vgl. [2]) Ein Threat-Modell beschreibt grundsätzlich die Sicherheitseigenschaften eines Produkts oder Systems in Relation zu den Fähigkeiten Angreifender sowie die Voraussetzungen, die für diese Sicherheitseigenschaften gelten. Ein explizites Threat-Modell für WKD liegt CERT-Bund nicht vor. Für die von Ihnen referenzierten Referenzen auf das Threat-Modell von WKD liegen allerdings ausreichend Informationen durch den Hersteller vor, die betreffenden Teile des Threat-Modells abzuleiten. ad 1: WKD als Methode, unbekannte Schlüssel abzurufen, macht Sicherheitszusagen wie in [2] beschrieben, wenn ein Schlüssel abgerufen werden konnte. Hierbei werden keine Aussagen zur Validierung der Nichtexistenz eines bislang unbekannten Schlüssels getroffen. Von Ihnen in Ihrer Darstellung implizt angenommene Angreifende mit Kontrolle über Layer 3 oder 4 des ISO-OSI-Referenzmodells können grundsätzlich die Verfügbarkeit von Layer 7 Applikationen stören; ein Threat-Modell, das Verfügbarkeitszusagen auf Layer 7 trifft, ohne hierbei korrekte Verarbeitung auf den unteren Layern zur Vorbedingung zu machen, kann nicht korrekt sein. Insofern ist der Rückschluss darauf, dass das Threat-Modell von WKD dies nicht abdeckt, möglich und es kann eine Aussage über das Threat-Modell getroffen werden, ohne eine explizte Version vorliegen zu haben. ad 5: Das Vertrauen in den E-Mail-Dienstleister und TLS-Zertifizierungsstellen ist Voraussetzung für die Sicherheitszusagen für WKD-abgerufene Schlüssel. (vgl. [2]) Entsprechend kann kein legitimes Threat-Modell existieren, das diese Zusagen ohne diese Bedingungen macht. Insofern kann eine Aussage über das Threat-Modell getroffen werden, ohne eine explizite Version vorliegen zu haben. Zusätzlich wird Ihre Äußerung an dieser Stelle derart interpretiert, dass hier nicht WKD betroffen ist, da Sie von "Schlüsseltausch per Email" sprechen, E-Mail aber nicht als Transportoption für WKD spezifiziert ist. Es muss sich hier also um eine Bedenkensäußerung abseits des oben genannten, durch Sie angegebenen Produktes handeln, mutmaßlich zu WKS. (vgl. [3]). ad 6: Das von Ihnen beschriebene Szenario wird explizit in [2] behandelt. Entsprechend kann kein legitimes Threat-Modell existieren, das diese Zusagen ohne diese Bedingungen macht. Insofern kann eine Aussage über das Threat-Modell getroffen werden, ohne eine explizite Version vorliegen zu haben. 1: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/CVD/CVD-Leitlinie.html 2: https://wiki.gnupg.org/AutomatedEncryption 3: https://wiki.gnupg.org/WKD?highlight=%28wkd%29#Web_Key_Directory_.28WKD.29_.2F_Web_Key_Service_.28WKS.29_what_is_the_difference.3F Kommen Sie bei weiteren Fragen gerne wieder auf uns zu. Mit freundlichen Grüßen