Facebook erlaubt das Hinterlegen eures PGP-Schlüssels

Facebook PGP Key

Neues bei Facebook: das Soziale Netzwerk teilte mit, dass man ab jetzt unter den Kontaktinformationen auch seinen öffentlichen PGP-Schlüssel hinterlegen kann, sofern man den Browser am Desktop nutzt. Ist dieser Schlüssel hinterlegt, dann wird Facebook euch mit dem Key des Unternehmens signierte E-Mails schicken. Zwar setzt Facebook schon auf den Weg TLS, will so aber auch sicherstellen, dass die Inhalte verschlüsselt bleiben. Auch andere Leute könnten euren öffentlichen Schlüssel nutzen, um sicher mit euch Kontakt aufzunehmen. Übrigens: es ist einstellbar, ob Facebook euch verschlüsselte Mails schickt, das Ganze ist kein Muss, sondern optional.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

31 Kommentare

  1. Das klingt nach einer guten Entwicklung.

  2. Ist wohl noch nicht bei jedem Account verfügbar, bei mir kann ich das noch nicht eingeben.

  3. Christian says:

    Da stimmt was nicht. Wenn Facebook mir mit dem Key des Unternehmens verschlüsselte Mails schickt sind die entweder nicht verschlüsselt, sondern signiert oder von mir nicht entschlüsselbar. Je nachdem welchen Schlüssel sie nutzen.

  4. @Caschy: Es werden mit dem Key des Unternehmens SIGNIERTE emails verschickt. Bitte korrigieren 😉

  5. Zurücklehnen, Kaffe trinken und drauf warten, bis die ersten Intelligenzbestien auch ihre privaten Schlüsseln hochladen?!?! 😉

  6. Christian says:

    @Jakob: Dafür müsste ich da keinen Public Key hinterlegen. Facebook verschlüsselt die E-Mails mit deinem öffentlichen Key.

  7. Das kann nur bedeuten, dass OpenPGP entgültig für die NSA kein Hindernis mehr darstellt.

  8. Signiert Facebook die Mails nur? Wozu brauchen die dann meinen Schlüssel?

    Wenn Facebook mit meinem Schlüssel verschlüsselt ist das ja ebenfalls Unsinn. Bei Ende-zu-Ende-Verschlüsselung geht es ja darum zwischen Sender und Empfänger zu verschlüsseln. Facebook wäre ja genau einer der Server in der Mitte vor dem ich meine Nachricht schützen möchte…

  9. @TT das dachte ich mir auch gerade. *Schock*

  10. *schnipp*
    these keys can be used to „end-to-end“ encrypt notification emails sent from Facebook to your preferred email accounts
    *schnapp*

  11. Verschlüsselung, wie sie im Buche steht. Ihr habt einen Schlüssel. Dieser besteht aus einem öffentlichen und einem privaten Teil. Der öffentliche kann allseits bekannt gemacht werden. Aber alles was mit dem öffentlichen Teil verschlüsselt wird kann nur mit dem privaten Teil entschlüsselt werden. So stellt Facebook sicher, dass nur ihr diese Nachricht auch wieder lesbar machen könnt. Signieren tut Facebook die Mails sicherlich nicht mit EUREM Key 😉

  12. @Caschy: hast du für dein neues Facebook-Profilfoto Photoshop benutzt oder ist die letzte Statusmeldung zum Gewichtsprojekt an mir vorbeigegangen. Eigentl. hab ich doch caschy.me abonniert 😉

  13. Spascha Knoblauchhausen says:

    Fehlt vielleicht „öffentlichen PGP Schlüssel in der Überschrift. Wobei NSA und co benutzen eh nur die Methden zum Kehle-Durschneiden oder Familiewegsprengen mit JSOC Einheiten oder Drohneroperator ist völlig ausreichend,

  14. So ganz rein theoretisch könnte es ein Schritt in die richtige Richtung sein, denn so sprechen sich öffentliche Schlüssel sicher besser rum, als sie nur in Mail-Signaturen und über Key-Server zu verbreiten. Ich bin mal gespannt…

    Facebook hat mir aber noch nie eine signierte E-Mail geschrieben, was sie ja könnten… Komischer Laden.

  15. Was hat Facebook denn überhaupt wichtiges per E-Mail an mich zu verschicken? Das ich das neuste Katzencontent-Video auf meiner Pinnwand liken soll?
    Die werden doch wohl kaum dazu übergehen, den Mailverkehr zwischen den Nutzern mittels PGP zu verschlüsseln?!

  16. @icancompute
    Sie könnten damit zunächsteinmal die Info-Mails an Dich mit „Nutzer X hat Dir eine neue Nachricht geschickt“ „ganz wichtiger Inhalt“ verschlüsselt schicken. Facebook hat ja ein Interesse daran, dass zwar sie die Nachrichten lesen können, aber Dein E-Mail-Anbieter nicht. Ich finde das nachvollziehbar.

  17. Klapp gut

  18. Christian says:

    Der Artikel macht jetzt übrigens fast noch weniger Sinn als vorher. Das Hinterlegen des öffentlichen Schlüssels des Users ist keine Voraussetzung dafür, dass Facebook seine eigenen E-Mails signiert. Davon abgesehen steht das auch so nicht in der Mitteilung von Facebook. Es geht um die Verschlüsselung der Mails, der ursprüngliche Fehler war nicht das Verfahren, sondern der Schlüssel.

  19. Christian says:

    OK, es steht doch drin, sollte vielleicht auch nach Bildern weiterlesen;) ist aber trotzdem nicht der wesentliche Punkt und der Zusammenhang mit dem Hinterlegen des öffentlichen User Keys ist rein organisatorisch und nicht technischer Natur.

  20. Ich habe mich vor kurzem schon mal mit dem Thema PGP befasst, bzw. befassen wollen und mir auch die App „GPG Keychain“ installiert und für meine eMail-Adresse einen Schlüssel generiert.
    Leider konnte ich das mit niemandem testen, weil das in meinem Bekanntenkreis niemand nutzt…

    Ich dachte eigentlich ich hätte alles richtig gemacht, habe aber jetzt noch eine Frage:

    Was gebe ich da bei Facebook jetzt an?
    Den Fingerprint oder den ganzen Key?

  21. @Malibu
    Der Fingerprint ist sozusagen nur zur Überprüfung da, ob dein Schlüssel richtig ist. Den kannst du auf deine Visitenkarte drucken.

    Facebook könnte mit dem Fingerprint nur überprüfen, ob ein Schlüssel, den sie über einen KeyServer bezogen haben, richtig ist.

    Du musst Facebook deinen öffentlichen Schlüssel geben. Wichtig, nur den öffentlichen, der private muss bei dir bleiben. Damit kann FB dir dann verschlüsselte Nachrichten schicken, die nur du lesen kannst. Wenn andere den Schlüssel auf Facebook auch sehen können, könne sie dir auch private Nachrichten schicken. Damit sie aber sicher gehen können, dass Facebook wirklich deinen öffentlichen Schlüssel hat, und nicht einen falschen, kannst du den Fingerprint deines Schlüssels noch über einen anderen Kanal verbreiten.

  22. @saujung:

    Danke für die Info!

    Ich finde das in dem Tool (GPG Keychain) nicht sehr übersichtlich gemacht.
    Gibt es da keinen einfachen Weg an den eigenen privaten Schlüssel zu kommen?
    Ich sehe da nur die Möglichkeit ihn als Datei per email zu verschicken. Sehen tu ich ihn da nicht wirklich… (Müsste also erst die Datei speichern und dann mit ´nem Texteditor öffnen?)

  23. Habe jetzt nur noch nicht verstanden, in welchem Format ich den Key im Feld eintragen soll?

  24. Sobald ihr euren ÖFFENTLICHEN PGP Key bei Facebook in eurem Profil hinterlegt, erhaltet ihr eine Mail mit verschlüsseltem Anhang. Den gilt es zu entschlüsseln. Darin ist dann ein Link der die Verschlüsselung bestätigt/freischaltet wat ever.

    Habs getestst geht genau so. PROBELM: Wer sein Passwort bei Facebook verbaselt erhält die Reset Mail dann verschlüsselt, was unter Umständen ein Problem sein könnte!

  25. @Patrick
    Nun ja, ist ein Text-Eingabfeld. Ich gehe davon aus, dass du da sowas wie:
    —–BEGIN PGP PUBLIC KEY BLOCK—–
    Version: GnuPG vX.Y.Z (Bla)

    mQGi…
    NG
    =TQ+A
    —–END PGP PUBLIC KEY BLOCK—–
    dort einfügst, und Facebook ist glücklich. Den spuckt dir dein Schlüsselring (Verwaltung der Schlüssel) aus. Enigmail hätte z.B. die Funktion, öffentlichen Schlüssel zu versenden, da steht der dann drin.

  26. Ich habe das gerade mal getestet:

    Den Key eingeben wie saujung geschrieben hat und speichern.
    Daraufhin wandelt FB das in den Fingerabdruck um. (klickt man darauf, wird wieder der komplette Key angezeigt)

    Hat man die Option verschlüsselte eMails von FB zu bekommen aktiviert bekommt man eine (verschlüsselte) eMail in der man das nochmal bestätigen muss, zusammen mit dem Hinweis:

    —–
    This is an email to help you enable encrypted notification emails for your Facebook account.
    If you prefer to not enable encrypted notification emails from Facebook, you may simply ignore this message.
    If you enable encrypted notification emails, Facebook will begin encrypting notification emails to you with your public key. These may include account recovery notification emails.
    BEWARE: If at some time in the future you cannot decrypt your account recovery notification emails and if you also become locked out of Facebook, you may be unable to recover your Facebook account.
    —–

  27. Pseudo-Anonym says:

    Ich habe mir überlegt, was der Grund dafür sein könnte, dass FB dies nun anbietet.
    Dabei liegt es aus meiner Sicht auf der Hand:
    Computer-affine Menschen haben häufig, wenn überhaupt, falsche Facebook- Profile, die möglichst nicht auf deren wahre Person schließen lassen.
    In den Kommentaren sehe ich einige Leute, die das unbedingt ausprobieren müssen. Haben diese Leute auch daran gedacht, dass Facebook nun über das Web of Trust noch mehr aussagekräftige zwischenmenschliche Verknüpfungen erhalten kann, auch wenn diese Leute überhaupt nicht Teil von Facebook sein wollen? Oder viel mehr, dass Facebook sich ziemlich sicher sein kann, dass der Mensch, zu dem der PGP Schlüssel gehört dann auch tatsächlich der ist, für den er sich ausgibt? Immerhin ist doch neben der Verschlüsselung, die Signatur eines der Haupteinsatzszenarien von PGP. Wo wäre da der Sinn einer Fälschung?
    Ich für meinen Teil würde ganz sicher nicht meinen echten GPG- Schlüssel hinterlegen, sondern einen Schrottschlüssel generieren, der sonst nirgends veröffentlicht/verwendet wird.
    Damit taugt Facebook mal überhaupt nicht für die Idee, seinen öffentlichen Schlüssel verbreiten oder sein WOT erweitern zu wollen.

  28. @Pseudo-Anonym
    Warum? Es hindert dich doch niemand daran, einen Schlüssel zu erstellen, und diesen bei FB hoch zu laden, und sonst nirgends. Du kannst diesen Schlüssel ja nur für die Kommunikation mit Facebook und Menschen, die den Schlüssel von Facebook haben, nutzen. Ich nutze schon lange mehrere Schlüssel für mehrere E-Mail-Adressen und Personenkreise, ich sehe da keinen Einschränkung.

    Wie gesagt, die vordergründige Motivation für Facebook liegt darin, dass sie zwar meine Daten lesen können (ich uns meine Kontakte auf Facebook geben die Daten ja Facebook), aber eben mein E-Mail-Anbieter, und wer diesen sonst noch so mitliest, eben nicht. Denn die könnten ohne Schlüssel ja alles, was ich als Notification bekomme, ebenfalls lesen.

  29. Es gibt auch eine gewisse Sicherheit vor Phishing. Ist die email nicht signiert ist das nicht FB, die da gerne irgendwelche Passwortrückstellungen oder anderen Links für mich haben.

    Da ja mittlerweile der normal DAU nicht mehr entscheiden kann was echt und was phishing ist, ist das schon mal ein fortschritt

  30. Aber ich kann die Mails auf dem iPhone nicht mehr so ohne weiteres lesen…
    Apple müsste da auch mal an einer PGP-Implementierung arbeiten.

  31. @Herr Quer
    Leider kann ein DAU sich auch keinen PGP-Schlüssel erstellen oder verstehen, wozu der da ist. DAUs erkennen also die Phishing-Attacke nicht, können sich davor aber auch nicht schützen, da sie die Technik nicht verstehen. Schade eigentlich.

    @Malibu
    Ohne weiteres kann niemand eine PGP-verschlüsselte E-Mail lesen. Selbst auf einem Android muss man dazu Zusatzsoftware installieren. Das ist in meine Augen auch der Hauptgrund, warum sich PGP nicht durchsetzt: Die Hürde, es zu nutzen, ist für Menschen, die ihre Geräte einfach nur nutzen wollen, viel zu hoch. Dennoch finde ich es genial, dass Facebook es anbietet. Ein Schritt in die richtige Richtung!

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.