[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
HTTP mit RfC 3156 (MIME/OpenPGP)?
[Thread Prev] | [Thread Next]
- Subject: HTTP mit RfC 3156 (MIME/OpenPGP)?
- From: Raphael Eiselstein <rabe@xxxxxxxxx>
- Date: Fri, 9 May 2014 22:28:26 +0200
- To: uugrn@xxxxxxxxxxxxxxx
Hallo zusammen, SSL ist ja bekanntermassen kaputt. Was gibt es denn an Alternativen? Ich bin sicher nicht der erste, der auf die Idee kommt, HTTP mit MIME+OpenPGP (zB nach RfC 3156) zusammen zu werfen. Jedenfalls bin ich nach einigem Suchen nach bereits existierenden Implementierungen bei RfC 3156 gelandet, was das ganze immerhin fuer MIME beschreibt. Im Grunde ist ein HTTP-Response-Body nichs anderes als Daten, deren Typ und Eigenschaft im Response-Header deklariert sind. Daten koennen hier zum Beispiel ein HTML-Dokument oder etwas aehnliches sein. Man koennte den Response-Body serverseitig "einfach" zB signieren oder verschluesseln, indem man ihn vor dem Versand an den Client nochmal durch "gpg --clearsign" oder meinetwegen "gpg --encrypt ..." nachbehandelt. Klar ist, wenn man sowas tut, sollte man diesen Umstand per Header mitteilen bzw. nur einem Client sowas vorwerfen, der es auch (via Request) auch akzeptiert (Accept...). Clientseitig muesste dann (sofern der Client grundsaetzlich OpenPGP unterstuetzt) letztlich nur noch zB eine Signatur verifiziert und/oder die Message decryptet werden. Clientseitig koennte dann pro Dokument (Seitenaufruf) die Integritaet und Vertrauenswuerdigkeit der Daten verifiziert (und dargestellt) werden, sofern man dem Seitenanbieter direkt oder indirekt (via WoT) bereits vertaut. Im Grunde so, wie man es von Thunderbird/Enigmail her kennt, nur eben fuer HTTP basierte Kommunikation. Da ich nicht der erste Mensch bin, der diese Idee hat, gibt es dazu bereits (funktionierende) Implementierungen die nah am HTTP orientiert sind, d.h. also nicht applikationsseitige Inselloesungen sondern protokollnahe/generische Loesungen? Verschluesselung und Signatur waere grundsaetzlich auch requestseitig sinnvoll, damit liesse sich sicher einiges Implementieren, zB vertrauenswuerdige Formulare, verschluesselte / signierte Uploads, Authentifizierung, ... Gibt es in dieser Richtung ernsthafte Entwicklungen oder Ansaetze? Oder gar Standards? Gruss Raphael -- Raphael Eiselstein <rabe@xxxxxxxxx> http://rabe.uugrn.org/ PGP (neu): 4E63 5307 6F6A 036D 518D 3C4F 75EE EA14 F625 DB4E .........|.........|.........|.........|.........|.........|.........|.. -- UUGRN e.V. http://www.uugrn.org/ http://mailman.uugrn.org/mailman/listinfo/uugrn Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste Archiv: http://lists.uugrn.org/