Abo
  • Services:
Anzeige
Adobe hat seine privaten PGP-Schlüssel veröffentlicht.
Adobe hat seine privaten PGP-Schlüssel veröffentlicht. (Bild: Screenshot Golem.de)

E-Mail: Adobe veröffentlicht versehentlich privaten PGP-Key im Blog

Adobe hat seine privaten PGP-Schlüssel veröffentlicht.
Adobe hat seine privaten PGP-Schlüssel veröffentlicht. (Bild: Screenshot Golem.de)

PGP gilt nicht als übertrieben benutzerfreundlich. Warum, musste jetzt auch Adobe feststellen, als ein Mitarbeiter im Sicherheitsblog des Unternehmens den privaten PGP-Schlüssel des Teams veröffentlichte.

Einem Mitarbeiter von Adobe ist ein peinlicher Fehler unterlaufen: Auf dem Blog von Adobes Product Security Incident Response Team (Psirt) waren zwischenzeitlich sowohl der öffentliche als auch der private PGP-Schlüssel für den E-Mail-Account des Teams einsehbar. Zuerst hat der Hacker Juho Nurminen auf den Fehler aufmerksam gemacht.

Die Kombination aus öffentlichem und privatem Schlüssel wurde mit dem Browser-Plugin Mailvelope exportiert. Es ist etwas erstaunlich, dass dieses Programm im professionellen Umfeld eingesetzt wird, da es im Zusammenspiel mit Firefox dokumentierte Sicherheitslücken gibt. Ein neuer Schlüssel mit der ID 0x15ACC7EF wurde mit GPG Tools erstellt.

Der versehentlich veröffentlichte Schlüssel für psirt@adobe.com wurde mittlerweile zurückgezogen. Im Googles Cache ist der entsprechende Blogeintrag mit dem privaten Schlüssel nach wie vor auffindbar. Adobe selbst hat sich zum dem Vorgang bislang nicht geäußert.

Peinlicher Fehler, vermutlich geringe Auswirkungen

Der Vorgang dürfte für Adobe vor allem peinlich sein. Sollte es mit Hilfe des alten Schlüssels gelingen, früher abgefangene Nachrichten zu entschlüsseln, dürfte der Mehrwert gering sein, zumal der Schlüssel erst vor wenigen Tagen generiert wurde und daher nicht lange im Einsatz war. Adobes Produkte wie Flash glänzen zudem zwar nicht durch übertrieben gute Sicherheit, werden aber immerhin regelmäßig gepatcht.

Adobe ist mit dem Fehler auch nicht allein. Immer wieder finden sich private Schlüssel an Stellen, wo sie nicht hingehören. Etwa auf Webservern, auf Embedded-Geräten, oder Code-Signing-Schlüssel auf D-Link-Geräten.


eye home zur Startseite
Hilary Glaps 06. Okt 2017

wenn man im Alltag sieht wie ADOBE mit Datensicherheit und Datenschutz umgeht, wundert es...

Themenstart

Hilary Glaps 26. Sep 2017

Adobe hat seit langem merkwürdige Einstellungen zur Datensicherheit, Datenschutz und...

Themenstart

redwolf 25. Sep 2017

Nur echt mit ROT13

Themenstart

EWCH 24. Sep 2017

##### !!! WARNING WARNING WARNING !!! ##### ### Private key : do NOT export - keep it...

Themenstart

Handle 23. Sep 2017

"[...] zudem der Schlssel erst vor wenigen Tagen generiert wurde [...]" zudem; hier...

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Gerlingen
  2. Adcubum Deutschland GmbH, Stuttgart
  3. AOK - Die Gesundheitskasse für Niedersachsen, Hannover
  4. Daimler AG, Neu-Ulm


Anzeige
Top-Angebote
  1. 299,00€
  2. 47,99€
  3. 29,97€

Folgen Sie uns
       


  1. U-Bahn

    Telefónica baut BTS-Hotels im Berliner Untergrund

  2. Kabelnetz

    Statt auf Docsis 3.1 lieber gleich auf Glasfaser setzen

  3. Virtuelle Güter

    Activision patentiert Förderung von Mikrotransaktionen

  4. Nervana Neural Network Processor

    Intels KI-Chip erscheint Ende 2017

  5. RSA-Sicherheitslücke

    Infineon erzeugt Millionen unsicherer Krypto-Schlüssel

  6. The Evil Within 2 im Test

    Überleben in der Horror-Matrix

  7. S410

    Getacs modulares Outdoor-Notebook bekommt neue CPUs

  8. Smartphone

    Qualcomm zeigt 5G-Referenz-Gerät

  9. Garmin Speak

    Neuer Alexa-Lautsprecher fürs Auto zeigt den Weg an

  10. Datenrate

    Kunden wollen schnelle Internetzugänge



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Elektromobilität: Niederlande beschließen Aus für Verbrennungsautos
Elektromobilität
Niederlande beschließen Aus für Verbrennungsautos
  1. World Solar Challenge Regen in Australien verdirbt Solarrennern den Spaß
  2. Ab 2030 EU-Komission will Elektroauto-Quote
  3. Mit ZF und Nvidia Deutsche Post entwickelt autonome Streetscooter

Verschlüsselung: Niemand hat die Absicht, TLS zu knacken
Verschlüsselung
Niemand hat die Absicht, TLS zu knacken
  1. TLS-Zertifikate Zertifizierungsstellen müssen CAA-Records prüfen
  2. Apache-Lizenz 2.0 OpenSSL-Lizenzwechsel führt zu Code-Entfernungen
  3. Certificate Transparency Webanwendungen hacken, bevor sie installiert sind

Zotac Zbox PI225 im Test: Der Kreditkarten-Rechner
Zotac Zbox PI225 im Test
Der Kreditkarten-Rechner

  1. Re: Activision patentiert Förderung von Krebs

    sofries | 02:17

  2. Re: Kosten ...

    DAUVersteher | 02:11

  3. Re: 50MBps

    bombinho | 02:01

  4. Re: Lustig. Aber Telefonkabel ist super?

    486dx4-160 | 01:27

  5. Re: Wegfall bedeutet kein Recht auf...

    486dx4-160 | 01:21


  1. 19:09

  2. 17:40

  3. 17:02

  4. 16:35

  5. 15:53

  6. 15:00

  7. 14:31

  8. 14:16


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel