GnuPG: Schlüssel mit gleicher ID erzeugbar
Short-IDs für GnuPG sind beliebig berechenbar. (Bild: gnupg.org)

GnuPG Schlüssel mit gleicher ID erzeugbar

Für 32 Bit lange IDs von GPG-Schlüsseln lassen sich gezielt Kollisionen erzeugen. Die Schlüssel selbst sind jedoch unterschiedlich. Ein schwerwiegendes Sicherheitsproblem besteht somit nicht.

Anzeige

Debian-Entwickler Asheesh Laroia gibt in seinem Blog bekannt, dass es möglich ist, GPG-Schlüssel mit der gleichen Short-ID zu erzeugen. Über die sogenannte Short-ID lassen sich Schlüssel beispielsweise auf Servern finden. Diese Short-IDs sind jedoch nur 32 Bit lang, eine Kollision also vergleichsweise einfach zu erzeugen. Der Entwickler Laroia rät deshalb zu mindestens 64 Bit langen IDs.

Problem bereits bekannt

Selbst mit geringer Rechenleistung ist es einfach, Kollisionen zu erzeugen. So benötigt das von Laroia geschriebene Programm nach eigener Aussage nur etwa drei Stunden auf einem Netbook, um alle möglichen Short-IDs zu durchlaufen und dazugehörige Schlüssel zu erzeugen.

Auf der Mailingliste Full Disclosure wurde dieses Problem mehrfach in diesem Jahr beschrieben. Es wurde auch ein Tool über Full Disclosure veröffentlicht, das GPG-Schlüssel mit einer vorgegebenen Short-ID erzeugen können soll. Darüber hinaus existiert ein Bugreport mit einem Patch für GPG, der dafür sorgt, dass nur noch längere IDs von GPG akzeptiert werden.

Aufmerksamkeit erzeugen

Um Aufmerksamkeit auf die Kollisionen zu ziehen, schlägt Laroia nicht ganz ernst gemeint vor, Schlüssel mit den IDs von PGP-Gründer Phil Zimmermann oder GPG-Maintainer Werner Koch zu erzeugen. Laroia gibt jedoch an: "Wenn ihr mir eine Anfrage schickt, die mit einem Schlüssel unterschrieben ist, werde ich ein 4.096-Bit-RSA-Schlüsselpaar erzeugen, dessen ID genau um 1 größer ist als eure ID."

Das von Laroia beschriebene Problem beeinträchtigt die Sicherheit jedoch eigentlich nicht, da derzeit genutzte Schlüssel eindeutig sind. Das ist auch in der Spezifikation RFC 4480 der Internet Engineering Task Force (IETF) beschrieben, die dem Programm GPG zugrunde liegt. Dort heißt es: "Implementierungen sollten nicht voraussetzen, dass Key-IDs einzigartig sind". Ebenso werden in der Spezifikation bereits mögliche Kollisionen der Schlüssel-Fingerabdrücke beschrieben.


Kommentieren



Anzeige

  1. Principal Research Manager (Engineering) (m/w)
    Microsoft Deutschland GmbH, Munich
  2. Field Support Engineer (m/w)
    NetApp Deutschland GmbH, Neu-Isenburg/Frankfurt
  3. Softwareentwickler (m/w) für Testsysteme im Bereich Mobilgeräte
    AMS Software & Elektronik GmbH, Flensburg
  4. PHP Web Entwickler/-in (m/w)
    mediawave internet solutions GmbH, München

 

Detailsuche


Folgen Sie uns
       


  1. Uber und Wundercar

    Deutsche haben großes Interesse an Taxi-Alternativen

  2. Bundesnetzagentur

    In Deutschland sind weiter rund 30 Wimax-Anbieter aktiv

  3. Allview Viva H7

    7-Zoll-Tablet mit UMTS-Modem für 120 Euro

  4. Echtzeit-Überwachung

    BND prüft angeblich Einsatz von SAPs Hana-Datenbank

  5. Xiaomi

    Design des Mi4 von Apple "inspiriert"

  6. Terrorabwehr

    Kriterien für Aufnahme in US-Terrordatenbank enthüllt

  7. Open Name System

    DNS mit Namecoin-Blockchain

  8. In eigener Sache

    Computec Media veröffentlicht Spielevideo-App Games TV 24

  9. Google-Suchergebnisse

    EU-Datenschützer verlangen weltweite Löschung

  10. Dating

    Parship darf Widerruf nicht mit hoher Rechnung verhindern



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Smartphone-Hersteller Xiaomi: Wie Apple, nur anders
Smartphone-Hersteller Xiaomi
Wie Apple, nur anders
  1. Flir One Wärmebildkamera fürs iPhone lieferbar
  2. Per Smartphone Paypal ermöglicht Bezahlen in Restaurants landesweit
  3. Datenübertragung Smartphone-Kompass spielt Musik durch Magnetkraft

Nvidia Shield Tablet ausprobiert: Schnelles Spiele-Tablet für Android mit WLAN-Controller
Nvidia Shield Tablet ausprobiert
Schnelles Spiele-Tablet für Android mit WLAN-Controller
  1. Tegra K1 Start von Nvidias Shield Tablet zeichnet sich ab
  2. GM200 und GM204 Nvidias große Maxwell-GPUs zeigen sich beim Zoll
  3. Dual-GPU-Grafikkarte EVGA macht Titan-Z schmaler und leiser als Nvidia

PC-Spiele mit 4K, 6K, 8K, 15K: "Spielen mit Downsampling schlägt Full-HD immer"
PC-Spiele mit 4K, 6K, 8K, 15K
"Spielen mit Downsampling schlägt Full-HD immer"
  1. Transformers Ära des Untergangs - gefilmt mit Sensoren im Imax-Format
  2. Intel-Partnerschaft mit Samsung 4K-Monitore sollen unter 400 US-Dollar gedrückt werden
  3. Asus ROG Kleine Gaming-PCs im Konsolendesign mit Desktophardware

    •  / 
    Zum Artikel