Abo
  • Services:
Anzeige
Short-IDs für GnuPG sind beliebig berechenbar.
Short-IDs für GnuPG sind beliebig berechenbar. (Bild: gnupg.org)

GnuPG: Schlüssel mit gleicher ID erzeugbar

Short-IDs für GnuPG sind beliebig berechenbar.
Short-IDs für GnuPG sind beliebig berechenbar. (Bild: gnupg.org)

Für 32 Bit lange IDs von GPG-Schlüsseln lassen sich gezielt Kollisionen erzeugen. Die Schlüssel selbst sind jedoch unterschiedlich. Ein schwerwiegendes Sicherheitsproblem besteht somit nicht.

Debian-Entwickler Asheesh Laroia gibt in seinem Blog bekannt, dass es möglich ist, GPG-Schlüssel mit der gleichen Short-ID zu erzeugen. Über die sogenannte Short-ID lassen sich Schlüssel beispielsweise auf Servern finden. Diese Short-IDs sind jedoch nur 32 Bit lang, eine Kollision also vergleichsweise einfach zu erzeugen. Der Entwickler Laroia rät deshalb zu mindestens 64 Bit langen IDs.

Anzeige

Problem bereits bekannt

Selbst mit geringer Rechenleistung ist es einfach, Kollisionen zu erzeugen. So benötigt das von Laroia geschriebene Programm nach eigener Aussage nur etwa drei Stunden auf einem Netbook, um alle möglichen Short-IDs zu durchlaufen und dazugehörige Schlüssel zu erzeugen.

Auf der Mailingliste Full Disclosure wurde dieses Problem mehrfach in diesem Jahr beschrieben. Es wurde auch ein Tool über Full Disclosure veröffentlicht, das GPG-Schlüssel mit einer vorgegebenen Short-ID erzeugen können soll. Darüber hinaus existiert ein Bugreport mit einem Patch für GPG, der dafür sorgt, dass nur noch längere IDs von GPG akzeptiert werden.

Aufmerksamkeit erzeugen

Um Aufmerksamkeit auf die Kollisionen zu ziehen, schlägt Laroia nicht ganz ernst gemeint vor, Schlüssel mit den IDs von PGP-Gründer Phil Zimmermann oder GPG-Maintainer Werner Koch zu erzeugen. Laroia gibt jedoch an: "Wenn ihr mir eine Anfrage schickt, die mit einem Schlüssel unterschrieben ist, werde ich ein 4.096-Bit-RSA-Schlüsselpaar erzeugen, dessen ID genau um 1 größer ist als eure ID."

Das von Laroia beschriebene Problem beeinträchtigt die Sicherheit jedoch eigentlich nicht, da derzeit genutzte Schlüssel eindeutig sind. Das ist auch in der Spezifikation RFC 4480 der Internet Engineering Task Force (IETF) beschrieben, die dem Programm GPG zugrunde liegt. Dort heißt es: "Implementierungen sollten nicht voraussetzen, dass Key-IDs einzigartig sind". Ebenso werden in der Spezifikation bereits mögliche Kollisionen der Schlüssel-Fingerabdrücke beschrieben.


eye home zur Startseite



Anzeige

Stellenmarkt
  1. Dataport, Hamburg, Bremen
  2. flexis AG, Olpe
  3. Giesecke & Devrient 3S GmbH, München
  4. Robert Bosch GmbH, Leonberg


Anzeige
Top-Angebote
  1. (u. a. ASUS ZenWatch 2 Silber/Braun für 79€ statt 142,90€ im Preisvergleich und WD externe 2...
  2. (u. a. SanDisk SSD Plus 240 GB für 69€)
  3. (u. a. NBA 2K18 PS4/XBO 29€)

Folgen Sie uns
       


  1. Facebook

    Nutzer sollen Vertrauenswürdigkeit von Newsquellen bewerten

  2. Notebook-Grafik

    Nvidia hat eine Geforce GTX 1050 (Ti) mit Max-Q

  3. Gemini Lake

    Asrock und Gigabyte bringen Atom-Boards

  4. Eni HPC4

    Italienischer Supercomputer weltweit einer der schnellsten

  5. US-Wahl 2016

    Twitter findet weitere russische Manipulationskonten

  6. Die Woche im Video

    Das muss doch einfach schneller gehen!

  7. Breko

    Waipu TV gibt es jetzt für alle Netzbetreiber

  8. Magento

    Kreditkartendaten von bis zu 40.000 Oneplus-Käufern kopiert

  9. Games

    US-Spielemarkt wächst 2017 zweistellig

  10. Boeing und SpaceX

    ISS bald ohne US-Astronauten?



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Indiegames-Rundschau: Krawall mit Knetmännchen und ein Mann im Fass
Indiegames-Rundschau
Krawall mit Knetmännchen und ein Mann im Fass
  1. Games 2017 Die besten Indiespiele des Jahres
  2. Indiegames-Rundschau Von Weltraumpiraten und dem Wunderdoktor

Matthias Maurer: Ein Astronaut taucht unter
Matthias Maurer
Ein Astronaut taucht unter
  1. Planetologie Forscher finden große Eisvorkommen auf dem Mars
  2. SpaceX Geheimer Satellit der US-Regierung ist startklar
  3. Raumfahrt 2017 Wie SpaceX die Branche in Aufruhr versetzt

Nachbarschaftsnetzwerke: Nebenan statt mittendrin
Nachbarschaftsnetzwerke
Nebenan statt mittendrin
  1. Hasskommentare Soziale Netzwerke löschen freiwillig mehr Inhalte
  2. Nextdoor Das soziale Netzwerk für den Blockwart
  3. Hasskommentare Neuer Eco-Chef Süme will nicht mit AfD reden

  1. Einer der schnellsten

    Rubbelbubbel | 21:57

  2. Re: Funktioniert nicht

    Kakiss | 21:48

  3. Re: 1050 und dann noch langsamer?

    madejackson | 21:42

  4. Re: schön die datenblätter zitiert

    logged_in | 21:37

  5. Re: Anstatt Eisen zu Gold machen sie Pappe zu Gold.

    Tigtor | 21:31


  1. 14:35

  2. 14:00

  3. 13:30

  4. 12:57

  5. 12:26

  6. 09:02

  7. 18:53

  8. 17:28


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel