Short-IDs für GnuPG sind beliebig berechenbar.
Short-IDs für GnuPG sind beliebig berechenbar. (Bild: gnupg.org)

GnuPG Schlüssel mit gleicher ID erzeugbar

Für 32 Bit lange IDs von GPG-Schlüsseln lassen sich gezielt Kollisionen erzeugen. Die Schlüssel selbst sind jedoch unterschiedlich. Ein schwerwiegendes Sicherheitsproblem besteht somit nicht.

Anzeige

Debian-Entwickler Asheesh Laroia gibt in seinem Blog bekannt, dass es möglich ist, GPG-Schlüssel mit der gleichen Short-ID zu erzeugen. Über die sogenannte Short-ID lassen sich Schlüssel beispielsweise auf Servern finden. Diese Short-IDs sind jedoch nur 32 Bit lang, eine Kollision also vergleichsweise einfach zu erzeugen. Der Entwickler Laroia rät deshalb zu mindestens 64 Bit langen IDs.

Problem bereits bekannt

Selbst mit geringer Rechenleistung ist es einfach, Kollisionen zu erzeugen. So benötigt das von Laroia geschriebene Programm nach eigener Aussage nur etwa drei Stunden auf einem Netbook, um alle möglichen Short-IDs zu durchlaufen und dazugehörige Schlüssel zu erzeugen.

Auf der Mailingliste Full Disclosure wurde dieses Problem mehrfach in diesem Jahr beschrieben. Es wurde auch ein Tool über Full Disclosure veröffentlicht, das GPG-Schlüssel mit einer vorgegebenen Short-ID erzeugen können soll. Darüber hinaus existiert ein Bugreport mit einem Patch für GPG, der dafür sorgt, dass nur noch längere IDs von GPG akzeptiert werden.

Aufmerksamkeit erzeugen

Um Aufmerksamkeit auf die Kollisionen zu ziehen, schlägt Laroia nicht ganz ernst gemeint vor, Schlüssel mit den IDs von PGP-Gründer Phil Zimmermann oder GPG-Maintainer Werner Koch zu erzeugen. Laroia gibt jedoch an: "Wenn ihr mir eine Anfrage schickt, die mit einem Schlüssel unterschrieben ist, werde ich ein 4.096-Bit-RSA-Schlüsselpaar erzeugen, dessen ID genau um 1 größer ist als eure ID."

Das von Laroia beschriebene Problem beeinträchtigt die Sicherheit jedoch eigentlich nicht, da derzeit genutzte Schlüssel eindeutig sind. Das ist auch in der Spezifikation RFC 4480 der Internet Engineering Task Force (IETF) beschrieben, die dem Programm GPG zugrunde liegt. Dort heißt es: "Implementierungen sollten nicht voraussetzen, dass Key-IDs einzigartig sind". Ebenso werden in der Spezifikation bereits mögliche Kollisionen der Schlüssel-Fingerabdrücke beschrieben.


Kommentieren



Anzeige

  1. EDI-Spezialist (m/w)
    KNV Logistik GmbH, Erfurt
  2. Software-Entwickler (m/w) SAP ABAP / SAP ABAP OO
    AOK Systems GmbH, Frankfurt am Main
  3. Mitarbeiter Support / User Helpdesk (m/w)
    meinestadt.de, Köln
  4. Security Consultant (m/w)
    Microsoft Deutschland GmbH, Berlin, Köln, München

 

Detailsuche


Top-Angebote
  1. TIPP: Die Hobbit Trilogie (3 Steelbooks + Bilbo's Journal) [Blu-ray] [Limited Edition]
    49,99€ Release 23.04.
  2. TIPP: Computer-Special: Notebooks, SSDs, Speicher, Tablets u. Computer-Zubehör heute im Blitzangebot
  3. TIPP: Xbox One Wired Controller für Windows
    43,99€

 

Weitere Angebote


Folgen Sie uns
       


  1. Fahrerdienst

    Uber verschweigt monatelang einen Server-Einbruch

  2. Linux 4.0

    Streit um das Live-Patching entbrennt

  3. Spieldesign

    Spiele sollen sich nicht wie Filme anfühlen

  4. MotionX

    Schweizer Uhrenhersteller gegen Apple

  5. Grafikfehler

    Macbook-Reparaturprogramm jetzt auch in Deutschland

  6. Uber

    Taxi-Dienst wächst in Deutschland nicht weiter

  7. Überwachung

    Apple-Chef Tim Cook fordert mehr Schutz der Privatsphäre

  8. Mountain View

    Google baut neuen Unternehmenssitz

  9. Leonard Nimoys Mr. Spock

    Der außerirdische Nerd

  10. Die Woche im Video

    Abenteurer, Adware und ein fixer Anschluss



Haben wir etwas übersehen?

E-Mail an news@golem.de



Freenet: Das anonyme Netzwerk mit der Schmuddelecke
Freenet
Das anonyme Netzwerk mit der Schmuddelecke
  1. Geheimdienstchef Clapper Cyber-Armageddeon ist nicht zu befürchten
  2. U-Bahn Neue Überwachungskameras können schwenken und zoomen
  3. Matthew Garrett Intel erzwingt Entscheidung zwischen Sicherheit und Freiheit

Technical Preview im Test: So fühlt sich Windows 10 für Smartphones an
Technical Preview im Test
So fühlt sich Windows 10 für Smartphones an
  1. Internet Explorer Windows 10 soll asm.js voll unterstützen
  2. Microsoft Windows 10 erhält Anmeldestandard Fido
  3. Mobiles Betriebssystem Technical Preview von Windows 10 für Smartphones ist da

Lifetab P8912 im Test: Viel Rahmen für wenig Geld
Lifetab P8912 im Test
Viel Rahmen für wenig Geld
  1. Medion Lifetab P8912 9-Zoll-Tablet mit Infrarotsender kostet 180 Euro
  2. Medion Life X5001 5-Zoll-Smartphone mit Full-HD-Display für 220 Euro
  3. Lifetab S8311 8-Zoll-Tablet mit UMTS-Modem im Metallgehäuse für 200 Euro

  1. Re: Privatsphäre bei Apple?

    exxo | 12:01

  2. Re: Schaut euch das Video von Google an!

    plutoniumsulfat | 12:00

  3. Re: Daseinsberechtigung von filmische Spiele.

    exxo | 11:56

  4. Re: Nix geht über eine klassiche Automatikuhr...

    blaub4r | 11:54

  5. Re: Google MoonStation vs Apple Spaceship

    Lasse Bierstrom | 11:52


  1. 11:27

  2. 10:58

  3. 10:13

  4. 15:24

  5. 14:40

  6. 14:33

  7. 13:41

  8. 11:03


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel