GnuPG: Schlüssel mit gleicher ID erzeugbar
Short-IDs für GnuPG sind beliebig berechenbar. (Bild: gnupg.org)

GnuPG Schlüssel mit gleicher ID erzeugbar

Für 32 Bit lange IDs von GPG-Schlüsseln lassen sich gezielt Kollisionen erzeugen. Die Schlüssel selbst sind jedoch unterschiedlich. Ein schwerwiegendes Sicherheitsproblem besteht somit nicht.

Anzeige

Debian-Entwickler Asheesh Laroia gibt in seinem Blog bekannt, dass es möglich ist, GPG-Schlüssel mit der gleichen Short-ID zu erzeugen. Über die sogenannte Short-ID lassen sich Schlüssel beispielsweise auf Servern finden. Diese Short-IDs sind jedoch nur 32 Bit lang, eine Kollision also vergleichsweise einfach zu erzeugen. Der Entwickler Laroia rät deshalb zu mindestens 64 Bit langen IDs.

Problem bereits bekannt

Selbst mit geringer Rechenleistung ist es einfach, Kollisionen zu erzeugen. So benötigt das von Laroia geschriebene Programm nach eigener Aussage nur etwa drei Stunden auf einem Netbook, um alle möglichen Short-IDs zu durchlaufen und dazugehörige Schlüssel zu erzeugen.

Auf der Mailingliste Full Disclosure wurde dieses Problem mehrfach in diesem Jahr beschrieben. Es wurde auch ein Tool über Full Disclosure veröffentlicht, das GPG-Schlüssel mit einer vorgegebenen Short-ID erzeugen können soll. Darüber hinaus existiert ein Bugreport mit einem Patch für GPG, der dafür sorgt, dass nur noch längere IDs von GPG akzeptiert werden.

Aufmerksamkeit erzeugen

Um Aufmerksamkeit auf die Kollisionen zu ziehen, schlägt Laroia nicht ganz ernst gemeint vor, Schlüssel mit den IDs von PGP-Gründer Phil Zimmermann oder GPG-Maintainer Werner Koch zu erzeugen. Laroia gibt jedoch an: "Wenn ihr mir eine Anfrage schickt, die mit einem Schlüssel unterschrieben ist, werde ich ein 4.096-Bit-RSA-Schlüsselpaar erzeugen, dessen ID genau um 1 größer ist als eure ID."

Das von Laroia beschriebene Problem beeinträchtigt die Sicherheit jedoch eigentlich nicht, da derzeit genutzte Schlüssel eindeutig sind. Das ist auch in der Spezifikation RFC 4480 der Internet Engineering Task Force (IETF) beschrieben, die dem Programm GPG zugrunde liegt. Dort heißt es: "Implementierungen sollten nicht voraussetzen, dass Key-IDs einzigartig sind". Ebenso werden in der Spezifikation bereits mögliche Kollisionen der Schlüssel-Fingerabdrücke beschrieben.


Kommentieren



Anzeige

  1. Senior Consultant (m/w) SAP SuccessFactors
    metafinanz Informationssysteme GmbH, München
  2. Wissenschaftliche Mitarbeiterin / Wissenschaftlicher Mitarbeiter am Lehrstuhl für Wirtschaftsinformatik
    Universität Passau, Passau
  3. IT-Consultant Softwareentwicklung (In-House) (m/w) Systemengineering
    Mediengruppe RTL Deutschland GmbH, Köln
  4. Softwareentwickler GUI, HMI (m/w)
    GS Elektromedizinische Geräte G. Stemple GmbH, Kaufering (Raum München)

 

Detailsuche


Folgen Sie uns
       


  1. Air Food One

    Post liefert online bestelltes Lufthansa-Essen nach Hause

  2. Threshold

    Microsoft China scherzt über Startmenü in Windows 9

  3. Lieferdrohnen

    Nasa entwickelt Leitsystem für Flugroboter

  4. Radeon R9 285

    Die schnellste Grafikkarte mit nur zwei 6-Pol-Anschlüssen

  5. Bitcoin

    Charles Shrem will sich schuldig bekennen

  6. Mozilla

    Firefox 32 verbessert Werkzeuge und Leistung

  7. Shiro Games

    Evoland 2 soll Hommage an Rollenspiel-Genre werden

  8. Gegen Vectoring

    Tele Columbus erhöht auf 150 MBit/s

  9. Libdrm

    Mesa bekommt erste Android-Unterstützung

  10. Die Sims 4

    Erster Patch macht Zäune zu Zäunen



Haben wir etwas übersehen?

E-Mail an news@golem.de



Windows on Devices: Großes Betriebssystem auf kleinem Rechner
Windows on Devices
Großes Betriebssystem auf kleinem Rechner
  1. Entwicklerboard Microsoft verteilt kostenloses Windows für Intels Galileo
  2. Intel Galileo Generation 2 im August
  3. Intel Galileo Gen 2 Verbesserte Version für die Maker-Szene

Benq FHD Wireless Kit im Test: Full-HD bequem drahtlos durchs halbe Haus funken
Benq FHD Wireless Kit im Test
Full-HD bequem drahtlos durchs halbe Haus funken
  1. Project Ara Rockchip und Toshiba in Googles modularem Smartphone
  2. Google und Linaro Android-Fork für Modulsmartphone Ara

Alma und E-ELT: Auf den Spuren der Superteleskope
Alma und E-ELT
Auf den Spuren der Superteleskope
  1. Saturn Mit dem Enterprise-Warpcore Planeten erforschen
  2. Urknall Waren die Spuren des Urknalls nur Staubmuster?
  3. Astronomie Auf der Suche nach außerirdischer Luftverschmutzung

    •  / 
    Zum Artikel