Threatmodell für (Easy)GPG
aus Ihrer Antwort auf meine Schwachstellenmeldung CERT-Bund#2023110828002645 schließe ich, dass das BSI ein Threatmodell zu WKD hat und bestimmte Schwachstellen bzw. Angriffsvektoren dabei akzeptiert hat, ohne dass das auf https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Onlinekommunikation/Verschluesselt-kommunizieren/E-Mail-Verschluesselung/EasyGPG/easy-gpg_node.html erkenntlich ist.
Ich darf Sie bitten, mir das Threatmodell zur Verfügung zu stellen oder an der genannten Stelle zu veröffentlichen.
Ergebnis der Anfrage
Man hat kein Threat-Modell, aber kann es "on-the-fly" herleiten. Stimmt, so ging es mir beim Lesen der entsprechenden Dokumente auch, ich musste dauernd den Kopf schütteln. Aber in Konsequenz heißt das auch, das Verfahren ist benutzerfreundlicher aber nicht wirklich sicherer als normale Email mit RFC76272/SMTP-DANE. Sicherer als WKD und Co ist übrigens RFC 7929, aber dafür braucht es sowohl DNSSEC als auch eine Domäne die sowohl Email als auch RFC 7929 umsetzt - die großen Anbieter tun das jedenfalls nicht.
Nachbessern scheint man auch nicht für erforderlich zu halten, denn es liegt ganz bestimmt nicht daran, dass ich irgendeine Guideline nicht erfüllt habe. Das ist nur die formale Ausrede. Ketzerisch darf ich vermuten, dass man als nachgeordnete Behörde des BMIs die Möglichkeiten des Staates mitzulesen nicht einschränken will.
Mehr auf https://blog.lindenberg.one/VergleichRf… und für Einsteiger auf https://blog.lindenberg.one/EmailVideo.
Anfrage teilweise erfolgreich
-
Datum13. November 2023
-
15. Dezember 2023
-
2 Follower:innen
Ein Zeichen für Informationsfreiheit setzen
FragDenStaat ist ein gemeinnütziges Projekt und durch Spenden finanziert. Nur mit Ihrer Unterstützung können wir die Plattform zur Verfügung stellen und für unsere Nutzer:innen weiterentwickeln. Setzen Sie sich mit uns für Informationsfreiheit ein!