E-Mail: Adobe veröffentlicht versehentlich privaten PGP-Key im Blog

PGP gilt nicht als übertrieben benutzerfreundlich. Warum, musste jetzt auch Adobe feststellen, als ein Mitarbeiter im Sicherheitsblog des Unternehmens den privaten PGP-Schlüssel des Teams veröffentlichte.

Artikel veröffentlicht am ,
Adobe hat seine privaten PGP-Schlüssel veröffentlicht.
Adobe hat seine privaten PGP-Schlüssel veröffentlicht. (Bild: Screenshot Golem.de)

Einem Mitarbeiter von Adobe ist ein peinlicher Fehler unterlaufen: Auf dem Blog von Adobes Product Security Incident Response Team (Psirt) waren zwischenzeitlich sowohl der öffentliche als auch der private PGP-Schlüssel für den E-Mail-Account des Teams einsehbar. Zuerst hat der Hacker Juho Nurminen auf den Fehler aufmerksam gemacht.

Stellenmarkt
  1. Softwareentwickler (m/w/d) für den Energiemarkt
    PSI Energy Markets GmbH, Aschaffenburg, Berlin, Hannover
  2. IT Security & Compliance Manager* (m/w/d)
    SCHOTT AG, Mainz
Detailsuche

Die Kombination aus öffentlichem und privatem Schlüssel wurde mit dem Browser-Plugin Mailvelope exportiert. Es ist etwas erstaunlich, dass dieses Programm im professionellen Umfeld eingesetzt wird, da es im Zusammenspiel mit Firefox dokumentierte Sicherheitslücken gibt. Ein neuer Schlüssel mit der ID 0x15ACC7EF wurde mit GPG Tools erstellt.

Der versehentlich veröffentlichte Schlüssel für psirt@adobe.com wurde mittlerweile zurückgezogen. Im Googles Cache ist der entsprechende Blogeintrag mit dem privaten Schlüssel nach wie vor auffindbar. Adobe selbst hat sich zum dem Vorgang bislang nicht geäußert.

Peinlicher Fehler, vermutlich geringe Auswirkungen

Der Vorgang dürfte für Adobe vor allem peinlich sein. Sollte es mit Hilfe des alten Schlüssels gelingen, früher abgefangene Nachrichten zu entschlüsseln, dürfte der Mehrwert gering sein, zumal der Schlüssel erst vor wenigen Tagen generiert wurde und daher nicht lange im Einsatz war. Adobes Produkte wie Flash glänzen zudem zwar nicht durch übertrieben gute Sicherheit, werden aber immerhin regelmäßig gepatcht.

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    2.-3. November 2021, online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
  3. Linux-Systeme absichern und härten
    8.-10. November 2021, online
Weitere IT-Trainings

Adobe ist mit dem Fehler auch nicht allein. Immer wieder finden sich private Schlüssel an Stellen, wo sie nicht hingehören. Etwa auf Webservern, auf Embedded-Geräten, oder Code-Signing-Schlüssel auf D-Link-Geräten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Hilary Glaps 06. Okt 2017

wenn man im Alltag sieht wie ADOBE mit Datensicherheit und Datenschutz umgeht, wundert es...

Hilary Glaps 26. Sep 2017

Adobe hat seit langem merkwürdige Einstellungen zur Datensicherheit, Datenschutz und...

redwolf 25. Sep 2017

Nur echt mit ROT13

EWCH 24. Sep 2017

##### !!! WARNING WARNING WARNING !!! ##### ### Private key : do NOT export - keep it...

Handle 23. Sep 2017

"[...] zudem der Schlssel erst vor wenigen Tagen generiert wurde [...]" zudem; hier...



Aktuell auf der Startseite von Golem.de
Von Cubesats zu Disksats
Satelliten als fliegende Scheiben

Leichte und billige Satelliten, die auch zu Mond und Mars fliegen können: Aerospace Corp hat den neuen Standardformfaktor Disksats entwickelt.
Von Frank Wunderlich-Pfeiffer

Von Cubesats zu Disksats: Satelliten als fliegende Scheiben
Artikel
  1. Umweltfreundlicher Sattelschlepper: Iveco und Nikola starten E-Lastwagen-Produktion in Ulm
    Umweltfreundlicher Sattelschlepper
    Iveco und Nikola starten E-Lastwagen-Produktion in Ulm

    Die Nikola-Zugmaschine Tre mit Elektroantrieb soll zunächst für den US-Markt gefertigt werden, später auch für Europa.

  2. Code-Hoster: Gitlab will offiziell an die Börse
    Code-Hoster
    Gitlab will offiziell an die Börse

    Der Betreiber und Ersteller der Code-Hosting-Plattform Gitlab zeigt in seinem Börsenprospekt ein massives Wachstum.

  3. Full Self Driving: Tesla-Fahrer dürfen Beta nur bei Wohlverhalten nutzen
    Full Self Driving
    Tesla-Fahrer dürfen Beta nur bei Wohlverhalten nutzen

    Die Testversion des Full-Self-Driving-Pakets sollen nur Tesla-Fahrer nutzen dürfen, deren Fahrverhalten einwandfrei ist.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Corsair Vengeance LPX DDR4-3200 16 GB 63,74€ und 32 GB 108,79€ • Alternate (u. a. Creative SB Z SE 71,98€, Kingston KC2500 2 TB 181,89€ und Recaro Exo Platinum 855,99€) • Breaking Deals mit Club-Rabatten • ASUS ROG Crosshair VIII Hero WiFi 269,99€ • iPhone 13 vorbestellbar [Werbung]
    •  /