OpenPGP Keyserver als Spameinfallstor?
Dieser Text ist im Cache von metaowl.de - das Original ist hier zu finden.
Lemming spricht in Eklatantes Spamproblem bei GPG und PGP ein Problem an, das auch auf allen GnuPG und PGP Mailinglisten alle Jubeljahre besprochen wird.
Dort hieß es bisher immer: Die Spammer sind eh zu blöd dazu, den Keyring zu nutzen. Die Spammer haben Besseres zu tun. Die Spammer haben auch so genug Quellen und Adressmaterial. Das ist für die Spammer viel zu rechenintensiv. Für die Spammer ist es einfacher, über Trojaner bzw. Scripte automatisch den Namen vor dem @ generieren zu lassen und einfach zu probieren.
Trotzdem wäre das, was Lemming anspricht, theoretisch möglich und praktisch auch umzusetzen. Tja, wat nu?
Keyserver abschaffen - eine Möglichkeit. Die Keyserveradmins könnten Blacklists anlegen, in die bekannte Spammer eingetragen und die bei jeder Abfrage des Keyservers oder Anfrage zum Download des Keyrings gegengeprüft werden. Oder anders herum: Jeder User muss sich gegenüber dem Keyserver identifizieren, einen Account haben, so etwas in der Art. Nun ja, kann ich mir nicht vorstellen, dass die Admins davon begeistert wären und ob das praktikabel wäre. Außerdem gibt es dann keine Möglichkeit mehr, Keyserver anonym abzufragen.
Letzte Möglichkeit, die mir auf Anhieb einfällt: Die User generieren nur noch Schlüssel ohne Angabe der E-Mail Adresse, der Schlüssel wäre nur noch über die Angabe eines Text- bzw. Namensstring als Benutzer-ID und der Schlüssel-ID zu identifizieren. Ob ein Schlüssel echt ist, prüft man ja eh entweder persönlich oder über das Web-of-Trust.
Aber gottlob sind die Spammer ja bis jetzt dumm und/oder desinteressiert :)
Dort hieß es bisher immer: Die Spammer sind eh zu blöd dazu, den Keyring zu nutzen. Die Spammer haben Besseres zu tun. Die Spammer haben auch so genug Quellen und Adressmaterial. Das ist für die Spammer viel zu rechenintensiv. Für die Spammer ist es einfacher, über Trojaner bzw. Scripte automatisch den Namen vor dem @ generieren zu lassen und einfach zu probieren.
Trotzdem wäre das, was Lemming anspricht, theoretisch möglich und praktisch auch umzusetzen. Tja, wat nu?
Keyserver abschaffen - eine Möglichkeit. Die Keyserveradmins könnten Blacklists anlegen, in die bekannte Spammer eingetragen und die bei jeder Abfrage des Keyservers oder Anfrage zum Download des Keyrings gegengeprüft werden. Oder anders herum: Jeder User muss sich gegenüber dem Keyserver identifizieren, einen Account haben, so etwas in der Art. Nun ja, kann ich mir nicht vorstellen, dass die Admins davon begeistert wären und ob das praktikabel wäre. Außerdem gibt es dann keine Möglichkeit mehr, Keyserver anonym abzufragen.
Letzte Möglichkeit, die mir auf Anhieb einfällt: Die User generieren nur noch Schlüssel ohne Angabe der E-Mail Adresse, der Schlüssel wäre nur noch über die Angabe eines Text- bzw. Namensstring als Benutzer-ID und der Schlüssel-ID zu identifizieren. Ob ein Schlüssel echt ist, prüft man ja eh entweder persönlich oder über das Web-of-Trust.
Aber gottlob sind die Spammer ja bis jetzt dumm und/oder desinteressiert :)
von rabenhorst - Anti Big Brother,
gepostet am Mittwoch, 21. Dezember 2005 um 17:13
