Abo
  • Services:

Keyserver: Chaos mit doppelten PGP-Key-IDs

Auf den PGP-Keyservern sind massenhaft Kopien von existierenden PGP-Keys mit der identischen Key-ID aufgetaucht. Die stammen von einem Experiment von vor zwei Jahren. Key-IDs dürften damit ausgedient haben, als Ersatz sollte man den gesamten Fingerprint nutzen.

Artikel veröffentlicht am , Hanno Böck
Zwei Keys mit derselben Key-ID - in neueren GnuPG-Versionen wird der Fingerprint angezeigt, der eine Unterscheidung ermöglicht.
Zwei Keys mit derselben Key-ID - in neueren GnuPG-Versionen wird der Fingerprint angezeigt, der eine Unterscheidung ermöglicht. (Bild: Screenshot Hanno Böck)

"Fake-Keys von Linus Torvalds in freier Wildbahn gefunden" heißt es jüngst in einer Mail an die Linux-Kernel-Mailingliste. Darin wird erklärt, dass sich auf den öffentlichen PGP-Keyservern zwei Keys von Linus Torvalds mit derselben Key-ID - 00411886 - befinden. Doch Torvalds ist nicht der einzige Betroffene, offenbar wurden von unzähligen Keys Duplikate hochgeladen.

Key-IDs zu kurz

Stellenmarkt
  1. MTS Group, Landau, Rülzheim
  2. Continental AG, Frankfurt am Main, Wolfsburg

Bei den Key-IDs handelt es sich um eine 32 Bit lange Sequenz, die als Hexadezimalzahl dargestellt wird. Es handelt sich dabei um die letzten Stellen des für jeden Key eindeutigen Fingerprints. Das Problem dabei: Es ist nicht garantiert, dass diese Key-IDs eindeutig sind. Dafür sind sie schlicht zu kurz. Alleine durch Zufall kann es zu doppelten Key-IDs kommen. Ein Angreifer kann jedoch auch gezielt einen Key erzeugen, der dieselbe Key-ID wie ein bestehender Key hat. Dieser Key sieht dann für den Nutzer genauso aus wie das Original, solange der Fingerprint nicht geprüft wird.

Bekannt ist dieses Problem schon lange, auf einer GnuPG-Nutzerliste wurde das Problem beispielsweise bereits ausführlich im Jahr 2002 diskutiert. Vor zwei Jahren wurden auf der Def Con die Webseite Evil32.com und das dazugehörige Tool Scallion präsentiert, mit dem sich innerhalb von Sekunden derartige Schlüsselduplikate erzeugen lassen. Golem.de hatte damals auch darüber berichtet.

Die Autoren von Evil32.com, Eric Swanson und Richard Klafter, hatten damals auch für sämtliche Keys des sogenannten Strong-Set Duplikate erstellt und zum Download bereitgestellt. Offenbar hat nun eine unbekannte Person genau diese Keys auf die öffentlichen PGP-Keyserver hochgeladen.

Zu welchen Verwirrungen solch eine Aktion führen kann, musste auch der Autor dieses Artikels erfahren. Eine an ihn gerichtete Mail ließ sich nicht entschlüsseln. Offenbar hatte der Absender dieser Mail den Schlüssel anhand der kurzen Key-ID auf einem Keyserver gesucht und ist dabei auf die falsche Kopie gestoßen.

Keys wurden zurückgezogen

Inzwischen wurden die Key-Duplikate mit einer sogenannten Revocation-Signatur versehen und sind somit ungültig. Eric Swanson besaß noch eine Kopie der zugehörigen privaten Schlüssel und hat nun für alle diese Keys Revocation-Signaturen erzeugt. Die Keys befinden sich also weiterhin auf den Keyservern, sind jedoch als ungültig markiert.

Das dürfte zwar dafür sorgen, dass die Auswirkungen dieser Aktion begrenzt bleiben, allerdings kann jederzeit jemand anderes erneut Key-Duplikate erzeugen. Swanson und Klafter hatten keine bösen Absichten, sie wollten in erster Linie auf eine Schwäche der Key-IDs hinweisen und versuchten, durch die Revocations den Schaden zu begrenzen. Doch ein bösartiger Angreifer könnte natürlich die privaten Schlüssel dazu nutzen, um unbefugt die Mails anderer mitzulesen.

Generell dürfte damit klar sein, dass die Nutzung der kurzen Key-IDs nicht zu empfehlen ist. Auch die Nutzung von längeren 64-Bit-Key-IDs bietet keinen echten Schutz. Zwar ist es aufwendiger, hier Kollisionen zu erzeugen, möglich ist es aber nach wie vor.

Fingerprints statt kurzer Key-IDs

Statt der Key-ID sollte man den Key immer anhand des gesamten Fingerprints identifizieren. Dieser ist 160 Bit lang und identifiziert Schlüssel eindeutig. Der Fingerprint ist ein SHA-1-Hash. Obwohl SHA-1 als nicht mehr sicher gilt, lassen sich keine Duplikate mit demselben Fingerprint von existierenden Keys erstellen. Dafür wäre ein sogenannter Preimage-Angriff nötig, die Schwächen von SHA-1 beziehen sich jedoch nur auf Kollisionsangriffe.

Die jüngsten Versionen von GnuPG haben bereits auf die Probleme mit Key-IDs reagiert. Standardmäßig wird die Key-ID überhaupt nicht mehr angezeigt, stattdessen wird der Fingerprint verwendet.

Grundsätzlich zeigen sich hier die Probleme des gesamten Konzepts der PGP-Keyserver. Jeder kann dort nach Belieben Keys hochladen, sie werden überhaupt nicht geprüft. Das führt auch sonst gelegentlich zu Verwirrungen, so findet man auf den Keyservern eine ganze Reihe von defekten Keys mit Bitfehlern, die wegen ungültiger Signaturen nicht nutzbar sind. Es gab bereits mehrfach Falschmeldungen, weil diese Keys scheinbar unsicher sind und sich leicht faktorisieren lassen. Das Konzept der Keyserver sieht generell vor, dass ein Nutzer selbst die Echtheit eines Keys prüfen muss, etwa indem der Fingerprint abgeglichen wird. Sonderlich praktikabel ist das natürlich nicht.



Anzeige
Spiele-Angebote
  1. 59,99€ mit Vorbesteller-Preisgarantie
  2. 50,99€ mit Vorbesteller-Preisgarantie
  3. (-60%) 15,99€
  4. (-75%) 9,99€

daniel.ranft 12. Sep 2016

Da du schon freundlicherweise auf die openPGP.conf und Werner Koch's Vortrag verwiesen...

HajoGiegerich 09. Sep 2016

Web of Trust ist immer nur so gut wie die Personen die es nutzen. Das WoT löst letztlich...

EQuatschBob 17. Aug 2016

Ja, es gibt leider noch viele Programme, z.B. ältere Versionen von GnuPG, die an vielen...

Spaghetticode 17. Aug 2016

Sollte also jeder Mensch auf der Erde nur einen einzigen öffentlichen PGP-Schlüssel...

uli42 17. Aug 2016

So ergibt das einen Sinn. Danke!


Folgen Sie uns
       


Das Abschlussgespräch zur E3 2018 (Analyse, Einordnung, Zuschauerfragen) - Live

Im Abschlussgespräch zur E3 2018 berichten die Golem.de-Redakteure Peter Steinlechner und Michael Wieczorek von ihren Eindrücken der Messe, analysieren die Auswirkungen auf die Branche und beantworten die Fragen der Zuschauer.

Das Abschlussgespräch zur E3 2018 (Analyse, Einordnung, Zuschauerfragen) - Live Video aufrufen
IT-Jobs: Achtung! Agiler Coach gesucht?
IT-Jobs
Achtung! Agiler Coach gesucht?

Überall werden sie gesucht, um den digitalen Wandel voranzutreiben: agile Coaches. In den Jobbeschreibungen warten spannende Aufgaben, jedoch müssen Bewerber aufpassen, dass sie die richtigen Fragen stellen, wenn sie etwas bewegen möchten.
Von Marvin Engel

  1. Studitemps Einige Studierende verdienen in der IT unter Mindestlohn
  2. SAP-Berater Der coolste Job nach Tourismusmanager und Bierbrauer
  3. Digital Office Index 2018 Jeder zweite Beschäftigte sitzt am Computer

Russische Agenten angeklagt: Mit Bitcoin und CCleaner gegen Hillary Clinton
Russische Agenten angeklagt
Mit Bitcoin und CCleaner gegen Hillary Clinton

Die US-Justiz hat zwölf russische Agenten wegen des Hacks im US-Präsidentschaftswahlkampf angeklagt. Die Anklageschrift nennt viele technische Details und erhebt auch Vorwürfe gegen das Enthüllungsportal Wikileaks.

  1. Fancy Bear Microsoft verhindert neue Phishing-Angriffe auf US-Politiker
  2. Nach Gipfeltreffen Trump glaubt Putin mehr als US-Geheimdiensten
  3. US Space Force Planlos im Weltraum

Stromversorgung: Das Märchen vom Blackout durch Elektroautos
Stromversorgung
Das Märchen vom Blackout durch Elektroautos

Die massenhafte Verbreitung von Elektroautos stellt das Stromnetz vor neue Herausforderungen. Doch verschiedenen Untersuchungen zufolge sind diese längst nicht so gravierend, wie von Kritikern befürchtet.
Ein Bericht von Friedhelm Greis

  1. Elektromobilität iEV X ist ein Ausziehelektroauto
  2. Elektroautos Bundesrechnungshof hält Kaufprämie für unwirksam
  3. Ladekabel Startup Ubitricity gewinnt Klimaschutzpreis in New York

    •  /