HTTP mit RfC 3156 (MIME/OpenPGP)?

Autor: Raphael Eiselstein <rabe_at_uugrn.org>
Datum: Fri, 9 May 2014 22:28:26 +0200
Hallo zusammen,

SSL ist ja bekanntermaßen kaputt. Was gibt es denn an Alternativen?

Ich bin sicher nicht der erste, der auf die Idee kommt,
HTTP mit MIME+OpenPGP (zB nach RfC 3156) zusammen zu werfen.

Jedenfalls bin ich nach einigem Suchen nach bereits existierenden 
Implementierungen bei RfC 3156 gelandet, was das ganze immerhin für 
MIME beschreibt. 

Im Grunde ist ein HTTP-Response-Body nichs anderes als Daten, deren Typ
und Eigenschaft im Response-Header deklariert sind. Daten können hier
zum Beispiel ein HTML-Dokument oder etwas ähnliches sein.

Man könnte den Response-Body serverseitig "einfach" zB signieren oder
verschlüsseln, indem man ihn vor dem Versand an den Client nochmal durch
"gpg --clearsign" oder meinetwegen "gpg --encrypt ..." nachbehandelt.

Klar ist, wenn man sowas tut, sollte man diesen Umstand per Header
mitteilen bzw. nur einem Client sowas vorwerfen, der es auch (via
Request) auch akzeptiert (Accept...).

Clientseitig müsste dann (sofern der Client grundsätzlich OpenPGP
unterstützt) letztlich nur noch zB eine Signatur verifiziert und/oder 
die Message decryptet werden.

Clientseitig könnte dann pro Dokument (Seitenaufruf) die Integrität und
Vertrauenswürdigkeit der Daten verifiziert (und dargestellt) werden, 
sofern man dem Seitenanbieter direkt oder indirekt (via WoT) bereits 
vertaut. Im Grunde so, wie man es von Thunderbird/Enigmail her kennt,
nur eben für HTTP basierte Kommunikation.

Da ich nicht der erste Mensch bin, der diese Idee hat, gibt es dazu
bereits (funktionierende) Implementierungen die nah am HTTP orientiert
sind, d.h. also nicht applikationsseitige Insellösungen sondern
protokollnahe/generische Lösungen?

Verschlüsselung und Signatur wäre grundsätzlich auch requestseitig
sinnvoll, damit ließe sich sicher einiges Implementieren, zB
vertrauenswürdige Formulare, verschlüsselte / signierte Uploads,
Authentifizierung, ...

Gibt es in dieser Richtung ernsthafte Entwicklungen oder Ansätze? Oder
gar Standards?

Gruß
Raphael

-- 
Raphael Eiselstein <rabe@uugrn.org>               http://rabe.uugrn.org/
PGP (neu):            4E63 5307 6F6A 036D 518D  3C4F 75EE EA14 F625 DB4E
.........|.........|.........|.........|.........|.........|.........|..



-- 
UUGRN e.V. http://www.uugrn.org/
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/

Empfangen am 09.05.2014

Dieses Archiv wurde generiert von hypermail 2.2.0 : 09.05.2014 CEST