Sicherheitslücke in Verschlüsselungssoftware GnuPG

Mit GnuPG erzeugte ElGamal-Schlüssel sind kompromittierbar. Die freie Verschlüsselungssoftware GnuPG enthält eine schwere Sicherheitslücke, die es erlaubt, mit ihr generierte ElGamal-Schlüssel zu kompromittieren. Die Sicherheitslücke ermöglicht es, entsprechende Schlüssel in Sekunden zu knacken, warnt Entwickler Werner Koch, der zugleich einen entsprechenden Patch veröffentlichte.

27. November 2003 um 10:49 Uhr / Jens Ihlenfeld

Kommentare News folgen (öffnet im neuen Fenster)

Nutzer von ElGamal-Schlüsseln sollten diese umgehend zurückrufen, so Koch. Er weist aber darauf hin, dass die standardmäßig mit GnuPG unter Verwendung von DSA und ElGamal sowie RSA generierten Schlüssel nicht betroffen sind. Die gefährdeten Schlüssel lassen sich mit GnuPG nur unter Verwendung einer bestimmten Einstellung und dem Übergehen einer entsprechenden Warnung erzeugen.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

IT-Architekt/in (w/m/d) mit Schwerpunkt Data Engineering IT-Dienstleistungszentrum (ITDZ Berlin), Berlin (öffnet im neuen Fenster)

IT-Business-Architect (m/w/d) naturenergie hochrhein AG, Rheinfelden (Baden) (öffnet im neuen Fenster)

Fachkoordinator Digitale Prozesse (w/m/d) MEG Übach-Palenberg GmbH, Übach-Palenberg (öffnet im neuen Fenster)

Projektleitung Digitalisierungsprojekte (m/w/d) Landeshauptstadt Stuttgart, Stuttgart (öffnet im neuen Fenster)

IT Business Consultant für elektronischen Datenaustausch (EDI) (m/w/d) Schwarz IT, Weinsberg (öffnet im neuen Fenster)

E-Commerce Manager* Ledlenser GmbH & Co. KG, Solingen (öffnet im neuen Fenster)

Business Intelligence Developer (m/w/d) Berlin Recycling GmbH, Berlin (öffnet im neuen Fenster)

Junior Digital Analyst- Feature Performance (m/w/d) Lidl E-Commerce, Berlin (öffnet im neuen Fenster)

Auch wenn er schon länger von der Nutzung von ElGamal-Schlüsseln zum Signieren abrät, würden auch heute noch rund 200 Schlüssel pro Jahr auf Keyserver hochgeladen werden, so Koch. Die Verschlüsselung mit ElGamal-Schlüsseln hingegen ist von den aktuellen Problemen ebenfalls nicht betroffen.

Zur Abhilfe rät Koch wiederholt von der Benutzung von ElGamals-Schlüsseln zum Signieren und Verschlüsseln (Type 20) ab. In kommenden GnuPG-Versionen soll zudem die Möglichkeit, solche Schlüssel zu erzeugen und mit ihnen zu signieren, ganz abgeschaltet werden.

Zur Startseite Kommentare

Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon

GnuPG 1.2.0 erschienen

Neue Version wurde auf bessere Kompatibilität getrimmt. Die vom Bund geförderte Open-Source-PGP-Version GnuPG steht ab sofort als stabile Version 1.2.0 zum Download bereit. Seit der Version 1.0.7 hat sich einiges an dem Produkt getan, so dass zahlreiche Änderungen enthalten sind.

E-Mail-Verschlüsselungsprogramm GnuPP 1.1 vorgestellt

Bundeswirtschaftsministerium stellt GNU Privacy Projekt 1.1 vor. Das erweiterte und verbesserte E-Mail-Verschlüsselungsprogramm GnuPP 1.1 (GNU Privacy Projekt) stellt das Bundeswirtschaftsministerium auf der CeBIT 2002 vor. GnuPP ist eine Open-Source-Kryptografiesoftware für E-Mails und Dateien, vollständig kompatibel zu PGP und seiner Infrastruktur und kann im Gegensatz zu diesem auch kommerziell eingesetzt werden.

MS Outlook-PlugIn für GNU Privacy Guard (GnuPG)

G Data integriert GnuPG in Outlook. G Data kündigte jetzt ein eigenes Softwaremodul für die Verschlüsselungssoftware GNU Privacy Guard an, das es aus Microsoft Outlook heraus erlaubt, E-Mails mit wenigen Mausklicks zu ver- und zu entschlüsseln, zu signieren bzw. Signaturen zu prüfen. Das Open-Source-Projekt GNU Privacy Guard (GnuPG) wird vom Bundesministerium für Wirtschaft und Technologie (BMWi) gefördert.

Relevante Themen