• IT-Karriere:
  • Services:

BSI: OpenPGP? Ja, nein, vielleicht

Im Mai hat das BSI verkündet, OpenPGP für den Dienstgebrauch freigegeben zu haben. Etwas später sind Pressemitteilung und Zulassung kommentarlos von der Webseite verschwunden. Golem.de hat die Zulassungsdokumente eingesehen und zeigt den holprigen Weg des BSI vom Ja über das Nein zum Vielleicht.

Artikel von veröffentlicht am
Zulassung failed in Germany
Zulassung failed in Germany (Bild: Pixabay/Montage Golem.de)

"Behörden dürfen ab sofort auch mit der Geheimhaltungsstufe VS-NfD eingestufte vertrauliche Inhalte unter Verwendung des OpenPGP-Standards verschlüsseln und austauschen", teilte das Bundesamt für Sicherheit in der Informationstechnik (BSI) am 7. Mai 2019 mit. Kurze Zeit später verschwand die Pressemitteilung wieder von der Webseite der Behörde - kommentarlos.

Inhalt:
  1. BSI: OpenPGP? Ja, nein, vielleicht
  2. OpenPGP per Freigabeempfehlung

Marcus Brinkmann, wissenschaftlicher Mitarbeiter an der Ruhr-Universität Bochum und ehemaliger GnuPG-Entwickler, wollte wissen, was passiert ist, und stellte eine Anfrage nach dem Informationsfreiheitsgesetz (IFG). Aus den nach einigen Monaten vom BSI veröffentlichten Dokumenten geht hervor, dass OpenPGP bereits seit dem 31. Januar 2019 zum Austausch von eingestuften Informationen verwendet werden durfte - und nicht wie in der Pressemitteilung angegeben seit Mai. Kurz darauf nahm das BSI die Zulassung von OpenPGP jedoch komplett zurück.

Unzulänglichkeiten bei der Zulassung

Die Sicherheitsfirma Cryptovision wies das BSI Ende April - noch vor der Veröffentlichung der Pressemitteilung - auf "Auffälligkeiten" in dem Zulassungsdokument "Einsatz- und Betriebsbedingungen Gpg4 VS-NfD (Gpg4win und Gpg4KDE) Version 3.X" (BSI-VSA-10187) hin. Gpg4 unterstützt sowohl SMIME als auch OpenPGP. Beides erlaubte das BSI im Januar für die Übertragung von eingestuften Dokumenten und legte die Einsatzbedingungen fest, darunter die Mindestlänge der eingesetzten Schlüssel oder die Verwendung von Smartcards. Diese waren jedoch zum Teil widersprüchlich, wie die Sicherheitsfirma gegenüber dem BSI anmerkte.

Beispielsweise verweise das Zulassungsdokument einerseits darauf, dass die privaten Schlüssel auf einer Smartcard gespeichert werden müssten, andererseits beschreibe es den Einsatz von Smartcards als optional. Ohnehin dürfen nur vom BSI zugelassene Smartcards eingesetzt werden, die es bis dato nur für SMIME, nicht jedoch für OpenPGP gibt. Dabei wird auf der Smartcard sowieso nur der RSA-Schlüssel gespeichert, der sich bei SMIME und OpenPGP nicht unterscheidet. Warum es nur zugelassene Smartcards für SMIME gibt, bleibt daher unklar.

Stellenmarkt
  1. LORENZ Life Sciences Group, Frankfurt am Main
  2. Landkreis Stade, Stade

Die für SMIME aufgeführte Smartcard Telesec Netkey 3.0 unterstützt zudem nur Schlüssellängen bis 2.048 Bit, obwohl das BSI eine RSA-Schlüssellänge von 3.072 Bit fordert. Wir fragten das BSI, wie es dazu kommen konnte. Nach mehrmaligem Nachhaken erklärte uns Pressesprecher Tim Griese, dass die Zulassung "aufgrund eines Bürofehlers leider einige widersprüchliche Aussagen enthielt, die zu Irritationen bei den Bedarfsträgern geführt haben. Daher wurde auch die Pressemitteilung des BSI zurückgezogen".

Kein OpenPGP mehr

Im August erschien eine aktualisierte Fassung der Zulassung (BSI-VSA-10400). Diese schloss die Verwendung von OpenPGP für eingestufte Dokumente explizit aus. Zudem durfte SMIME nur noch mit Smartcards verwendet werden. Die Mindestlänge für RSA-Schlüssel ist aus dem Dokument verschwunden, wodurch die Smartcard von Telesec mit 2.048 Bit verwendet werden darf. Hintergrund des Verschwindens seien Probleme mit den SMIME-Zertifikaten der Bundesverwaltung gewesen, die standardmäßig eine Länge von 2.048 Bit verwendeten, teilte das BSI dem GnuPG-Entwickler Werner Koch mit.

"Technisch halte ich das auch für kein Problem, wenn man bedenkt, dass der weiterhin zugelassene Chiasmus ein sehr alter (symmetrischer) Algorithmus mit einer 64-Bit-Blocklänge ist (wie 3DES, Blowfish, CAST5)", erklärte Koch. Bereits 2013 war die Forderung laut geworden, die BSI-Entwicklung Chiasmus durch GnuPG zu ersetzen. Auch damals machte das BSI keine gute Figur und bedrohte einen Sicherheitsforscher, dem es gelungen war, eine Chiasmus-Implementierung im GSTool zu knacken.

Im Unterschied zu OpenPGP ist Chiasmus jedoch weiterhin für eingestufte Dokumente zugelassen. Doch die OpenPGP-Geschichte ist noch nicht zu Ende erzählt, wir erhielten Ende Dezember ein weiteres Dokument. Der Einsatz von OpenPGP wurde teilweise wieder erlaubt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
OpenPGP per Freigabeempfehlung 
  1. 1
  2. 2
  3.  


Anzeige
Top-Angebote
  1. 69,99€ (Vergleichspreis 105,98€)
  2. 34,90€ (Vergleichspreis 44,85€)
  3. 25€ (ohne Prime oder unter 29€ zzgl. Versand) - Bestpreis mit Saturn, Vergleichspreis 40€
  4. 18€ (ohne Prime oder unter 29€ zzgl. Versand) - Vergleichspreis 35,99€

FreiGeistler 28. Dez 2019 / Themenstart

Ist die genrelle Aussage von Leuten, die von der entsprechenden Materie keinen Plan...

gadthrawn 28. Dez 2019 / Themenstart

Das bei arbeitet halt mit vielen Behörden zusammen, kann denen aber nichts vorschreiben...

gadthrawn 28. Dez 2019 / Themenstart

No. Der Grund für Bewerbungen per Webseite ist viel einfacher. Das Mainz des...

robinx999 27. Dez 2019 / Themenstart

Zumindest bei Firmen oder Behörden wäre es natürlich auch noch möglich PGP Keys im DNS zu...

Kommentieren


Folgen Sie uns
       


Blackmagic Pocket Cinema Camera 6k im Test

Die neue Pocket Cinema Camera 6k von Blackmagicdesign hat nur wenig mit DSLR-Kameras gemein. Die Kamera liefert Highend-Qualität, erfordert aber entsprechendes Profiwissen - und wir vermissen einige Funktionen.

Blackmagic Pocket Cinema Camera 6k im Test Video aufrufen
Arbeit: Warum anderswo mehr Frauen IT-Berufe ergreifen
Arbeit
Warum anderswo mehr Frauen IT-Berufe ergreifen

In Deutschland ist die Zahl der Frauen in IT-Studiengängen und -Berufen viel niedriger als die der Männer. Doch in anderen Ländern sieht es ganz anders aus, etwa im arabischen Raum. Warum?
Von Valerie Lux

  1. Arbeit Was IT-Recruiting von der Bundesliga lernen kann
  2. Arbeit Wer ein Helfersyndrom hat, ist im IT-Support richtig
  3. Bewerber für IT-Jobs Unzureichend qualifiziert, zu wenig erfahren oder zu teuer

Sicherheitslücken: Microsoft-Parkhäuser ungeschützt im Internet
Sicherheitslücken
Microsoft-Parkhäuser ungeschützt im Internet

Eigentlich sollte die Parkhaussteuerung nicht aus dem Internet erreichbar sein. Doch auf die Parkhäuser am Microsoft-Hauptsitz in Redmond konnten wir problemlos zugreifen. Nicht das einzige Sicherheitsproblem auf dem Parkhaus-Server.
Von Moritz Tremmel

  1. Datenleck Microsoft-Datenbank mit 250 Millionen Support-Fällen im Netz
  2. Office 365 Microsoft testet Werbebanner in Wordpad für Windows 10
  3. Application Inspector Microsoft legt Werkzeug zur Code-Analyse offen

Europäische Netzpolitik: Die Rückkehr des Axel Voss
Europäische Netzpolitik
Die Rückkehr des Axel Voss

Elektronische Beweismittel, Nutzertracking, Terrorinhalte: In der EU stehen in diesem Jahr wichtige netzpolitische Entscheidungen an. Auch Axel Voss will wieder mitmischen. Und wird Ursula von der Leyen mit dem "Digitale-Dienste-Gesetz" wieder zu "Zensursula"?
Eine Analyse von Friedhelm Greis

  1. Mitgliederentscheid Netzpolitikerin Esken wird SPD-Chefin
  2. Nach schwerer Krankheit FDP-Netzpolitiker Jimmy Schulz gestorben

    •  /