Abo
  • Services:
Anzeige
Short-IDs für GnuPG sind beliebig berechenbar.
Short-IDs für GnuPG sind beliebig berechenbar. (Bild: gnupg.org)

GnuPG: Schlüssel mit gleicher ID erzeugbar

Short-IDs für GnuPG sind beliebig berechenbar.
Short-IDs für GnuPG sind beliebig berechenbar. (Bild: gnupg.org)

Für 32 Bit lange IDs von GPG-Schlüsseln lassen sich gezielt Kollisionen erzeugen. Die Schlüssel selbst sind jedoch unterschiedlich. Ein schwerwiegendes Sicherheitsproblem besteht somit nicht.

Debian-Entwickler Asheesh Laroia gibt in seinem Blog bekannt, dass es möglich ist, GPG-Schlüssel mit der gleichen Short-ID zu erzeugen. Über die sogenannte Short-ID lassen sich Schlüssel beispielsweise auf Servern finden. Diese Short-IDs sind jedoch nur 32 Bit lang, eine Kollision also vergleichsweise einfach zu erzeugen. Der Entwickler Laroia rät deshalb zu mindestens 64 Bit langen IDs.

Anzeige

Problem bereits bekannt

Selbst mit geringer Rechenleistung ist es einfach, Kollisionen zu erzeugen. So benötigt das von Laroia geschriebene Programm nach eigener Aussage nur etwa drei Stunden auf einem Netbook, um alle möglichen Short-IDs zu durchlaufen und dazugehörige Schlüssel zu erzeugen.

Auf der Mailingliste Full Disclosure wurde dieses Problem mehrfach in diesem Jahr beschrieben. Es wurde auch ein Tool über Full Disclosure veröffentlicht, das GPG-Schlüssel mit einer vorgegebenen Short-ID erzeugen können soll. Darüber hinaus existiert ein Bugreport mit einem Patch für GPG, der dafür sorgt, dass nur noch längere IDs von GPG akzeptiert werden.

Aufmerksamkeit erzeugen

Um Aufmerksamkeit auf die Kollisionen zu ziehen, schlägt Laroia nicht ganz ernst gemeint vor, Schlüssel mit den IDs von PGP-Gründer Phil Zimmermann oder GPG-Maintainer Werner Koch zu erzeugen. Laroia gibt jedoch an: "Wenn ihr mir eine Anfrage schickt, die mit einem Schlüssel unterschrieben ist, werde ich ein 4.096-Bit-RSA-Schlüsselpaar erzeugen, dessen ID genau um 1 größer ist als eure ID."

Das von Laroia beschriebene Problem beeinträchtigt die Sicherheit jedoch eigentlich nicht, da derzeit genutzte Schlüssel eindeutig sind. Das ist auch in der Spezifikation RFC 4480 der Internet Engineering Task Force (IETF) beschrieben, die dem Programm GPG zugrunde liegt. Dort heißt es: "Implementierungen sollten nicht voraussetzen, dass Key-IDs einzigartig sind". Ebenso werden in der Spezifikation bereits mögliche Kollisionen der Schlüssel-Fingerabdrücke beschrieben.


eye home zur Startseite



Anzeige

Stellenmarkt
  1. GK Software AG, Schöneck/Vogtland, Hamburg, Barsbüttel, Sankt Ingbert
  2. Qnit AG, München
  3. Daimler AG, Böblingen
  4. CURA Kurkliniken Seniorenwohn- und Pflegeheime GmbH, Berlin


Anzeige
Hardware-Angebote
  1. 179,99€
  2. 619,00€ + 3,99€ Versand (Vergleichspreis ab 664€)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. NFC

    Neuer Reisepass lässt sich per Handy auslesen

  2. 1 GBit/s überall

    Alternative Netzbetreiber wollen Glasfaser statt 5G

  3. Nintendo Switch im Test

    Klack und los, egal wie und wo

  4. Next EV Nio EP9

    Elektrosportwagen stellt Rekord beim autonomen Fahren auf

  5. Bytecode fürs Web

    Webassembly ist fertig zum Ausliefern

  6. 5G

    Huawei will überall im Mobilfunknetz 100 MBit/s bieten

  7. Meet

    Google arbeitet an Hangouts-Alternative

  8. Autonome Lkw

    Trump-Regierung sorgt sich um Jobs für Trucker

  9. Limux-Rollback

    Was erlauben München?

  10. Ausfall

    O2-Netz durch Ausfall von Netzserver zeitweise gestört



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
P10 und P10 Plus im Hands on: Huaweis neues P10 kostet 600 Euro
P10 und P10 Plus im Hands on
Huaweis neues P10 kostet 600 Euro
  1. iOS SAP bringt Cloud-SDK für mobile Apple-Geräte
  2. TC-7680 Kabelmodem für Gigabit-Datenraten vorgestellt
  3. HTC D4 Cog Systems will das sicherste Smartphone der Welt zeigen

P10 und P10 Plus im Hands on: Huaweis neues P10 kostet 600 Euro
P10 und P10 Plus im Hands on
Huaweis neues P10 kostet 600 Euro
  1. Sandisk iNand 7350 WD rüstet Speicher für Smartphones auf
  2. Lenovo Moto Mod macht Moto Z zum Spiele-Handheld
  3. Alternatives Betriebssystem Jolla will Sailfish OS auf Sony-Smartphones bringen

Arktika 1 Angespielt: Mit postapokalyptischen Grüßen von Stalker und Metro
Arktika 1 Angespielt
Mit postapokalyptischen Grüßen von Stalker und Metro
  1. VR Desktop Oculus Rift mit Mac-Unterstützung
  2. Virtual Reality Oculus forscht an VR-Handschuhen
  3. Oculus Rift Zenimax bekommt 500 Millionen US-Dollar Entschädigung

  1. Korrekturvorschlag

    Pjörn | 18:37

  2. haben die bei AWS gehostet :D :D :D

    User_x | 18:36

  3. Re: nochmal

    /mecki78 | 18:36

  4. Re: Reine Festnetzanschlüsse blieben Mobilfunk...

    wire-less | 18:36

  5. Re: Jetzt drehen die total ab...

    Kleba | 18:35


  1. 15:22

  2. 15:08

  3. 15:00

  4. 14:30

  5. 13:42

  6. 13:22

  7. 12:50

  8. 12:30


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel