Auf dem gEB sind sie jetzt angekündigt. Die wirklich privaten "Privaten Nachrichten". Die Boardsoftware dort ist eine Eigenentwicklung, die lediglich auf einer Vorgängerversion des heutigen vBB basiert. Und weil dort immer fleißig am Boardsystem weiter programmiert wird, wundert es nicht, dass das gEB wieder mal eine Vorreiterrolle im Bereich Datensicherheit einnimmt. Die beiden Administratoren JamesBlast und AA haben am letzten Freitag die Einzelheiten dazu vorgestellt.

In den nächsten Tagen wird also der gesamte private Nachrichtenaustausch verschlüsselt stattfinden. Damit können die privaten Nachrichten in der Datenbank nicht mehr von Unbefugten eingesehen werden, also weder von den Administratoren noch von anderen Personen, die Zugang zur Datenbank haben. Wie die ganze Sache funktioniert erklärt JamesBlast folgendermaßen:
----------------------------------------------------------------
Die Verschlüsselung beruht auf einen Public-/Privatekey-Verfahren. In der Praxis bedeutet das, dass ihr (bzw der Server in eurem Profil) zwei Schlüssel haben werdet.
- Public Key : Der Öffentliche Teil deines Schlüssels. Der kann von allen Mitgliedern "abgefragt" werden und dient dazu, PNs nur für DICH zu verschlüsseln. Jedes Mitglied, dasss also verschlüsselte PNs empfangen will, muss einen öffentlichen Schlüssel haben.
- Private Key : Passend zu dem öffentlichen Schlüssel gibt es einen privaten Schlüssel, der alles, was mit dem dazu passenden Publickey verschlüsselt wurde, wieder entschlüsseln kann. Darauf hast nur DU persönlich Zugriff. Allerdings steht dieser Schlüssel genauso in der DB wie dein Publickey. Um jetzt Missbrauch oder Zweckendfremdung unsererseits auszuschliessen, wird dieser Privatekey mit einem Passwort versehen, dass nur DU kennst.
OHNE dieses Passwort gibt es KEINE Chance, den Key zu öffnen und Nachrichten damit zu entschlüsseln.

Ablauf wäre also wie folgt (für User A und B)

A: PN schreiben
A: Publickey von B holen
A: PN damit verschlüsseln
A: an B senden
A: eigenen Publickey holen
A: PN mit eigenem Publickey verschlüsseln und im Postausgang speichern
B: Privatekey laden
B: Privatekey mit Passwort "freischalten"
B: PN von A mit Privatekey entschlüsseln

Was passiert nach der Einführung ?

Sobald die PNs umgestellt werden und du deine PNs aufrufst, wird für dich ein Privatekey generiert und mit einem Passwort (einzugeben) verschlüsselt gespeichert. Dieses Passwort sehr gut merken, sonst hast du keinen Zugriff auf deine PNs. Dieses Passwort kann NICHT zurückgesetzt werden. PNs sind bei Verlust der Passwort unweigerlich WEG !!!
Damit hast du aber nur die halbe Miete. Jetzt fehlt noch der öffentliche Teil des Schlüssels. Der muss in einer Form generiert (x.509) werden, dass PHP damit was anfangen kann. Das geht nicht automatisch und muss von einem Admin (im Moment nur mir) per Hand gemacht werden. Bis dies geschehen ist, sind eure PNs erst mal deaktiviert (sorry .. geht leider net anders) Ihr könnt zwar noch PNs empfangen, aber keine Versenden. Sobald ich den öffentlichen Teil generiert habe, ist alles für verschlüsselte PNs bereit.
Wenn ihr nun eure PNs nach dem Einloggen aufruft, werdet ihr nach einem Passwort gefragt. Dies ist das Passwort, dass ihr bei der Generierung des Privatekey eingegeben habt. Dieses Passwort wird NICHT auf dem Server gespeichert, sondern nur in der Session gehalten. Sobald ihr den Browser zumacht, isses wech.
Mit dem richtigen Passwort habt ihr dann euer gewohntes Interface für die PNs, ihr merkt (hoffentlich) keinen Unterschied.

Beim PN-Versand wird nun automatisch geprüft, ob der Empfänger einen Publickey hat und falls vorhanden, die PN damit verschlüsselt. Sollte er dies nicht haben, dann wird die PN wie bisher unverschlüsselt geschickt.
----------------------------------------------------------------
Das ganze System hört sich äußerst kompliziert an. Für das einzelne Mitglied ändert sich jedoch kaum etwas. Lediglich beim Aufruf seiner Nachrichten wird ein Passwort abgefragt. Alles anderen Vorgänge laufen im Hintergrund auf dem Server ab und tangieren den Benutzer überhaupt nicht.

Wenn jetzt andere Webmaster solch ein System auch einrichten wollen, dann werden sie warten müssen. Denn die Boardsoftware des gEB ist ja eine Eigenentwicklung. Deshalb können diese Module nicht auf andere Boardsysteme angewandt werden. Außerdem funktioniert im Augenblick das Programm nur dort, wo die neuste Entwicklungsversion von PHP installiert ist. Normalerweise werden von den Hostern eher ältere, stabile Versionen eingesetzt. AA schreibt dazu:
Aber wir brauchen eben die neuen pgp-ähnlichen Funktionen in der neuesten php-Version. Dass wir so ziemlich die Einzigsten sind, die damit arbeiten, beweißt die Tatsache, dass James einen Bug in einer ziemlichen einfachen Anforderung gefunden hat und einer der Entwickler meinte, er hat sich schon gewundert, dass das noch keinem aufgefallen ist.

Die gEB-Mitglieder werden jetzt als Beta-Tester die Verschlüsselung in der Praxis unter die Lupe nehmen. Sicher wird bei solche komplexen Mechanismen noch einige Nacharbeit notwendig werden. Der Autor würde sich wünschen, dass das fertige Resultat dann vielleicht auch in der Version 3.0 des vBB oder in der kommenden Version 2.2 des phpBB zu finden sein wird.