Abo
  • IT-Karriere:

OpenPGP: Entwickler warnen davor, SKS-Keyserver weiter zu nutzen

Dass SKS-Keyserver anfällig für Spam-Angriffe sind, ist seit langem bekannt. Nachdem sie angegriffen wurden, raten zwei OpenPGP-Entwickler nun davon ab, das Netzwerk für PGP-Schlüssel weiter zu nutzen. Das kommt überraschend spät.

Artikel veröffentlicht am , Anna Biselli
Das Schlüsselnetzwerk ist kaputt.
Das Schlüsselnetzwerk ist kaputt. (Bild: cdfman/unsplash.com)

PGP-Keyserver auf der Basis der Software SKS sind kaputt. Neu ist das nicht, denn die Schwäche stammt nicht von einem Bug im Code, sie ist im Design des Netzwerks angelegt. Niemand prüft die Einträge, die auf einen Keyserver hochgeladen und dann mit anderen Servern synchronisiert werden. Löschen kann die Daten niemand. Nun hat ein Spam-Angriff die Schlüssel von zwei aktiven Entwicklern aus der OpenPGP-Community unbrauchbar und schädlich gemacht.

Stellenmarkt
  1. Ober Scharrer Gruppe GmbH, Fürth bei Nürnberg
  2. Eurowings Aviation GmbH, Köln

Jemand fügte eine Vielzahl von Signaturen an die Schlüssel der beiden an. Lädt jemand den Schlüssel von einem der Keyserver herunter und importiert ihn, wird dessen GnuPG-Installation überlastet und hängt sich auf.

Das Keyserver-Netzwerk könne mit bis zu 150.000 Schlüsselsignaturen umgehen, schreibt einer der Betroffenen, Robert J. Hansen, auf Github: "GnuPG dagegen ... nicht". Laut früheren Fehlerberichten machten jedoch auch die Keyserver selbst Probleme und waren teils nicht erreichbar. Nutzer berichteten, dass sie bei Schlüsseln über 30 MByte aufhören, diese zu exportieren.

Wie ein Denkzettel

Es wirkt wie ein Denkzettel an Hansen und Gillmor, wenn man sich die böswilligen Signaturen unter den "vergifteten" Schlüsseln anschaut. Ein vermeintlicher Daniel K. Gillmor - der zweite Betroffene - signierte Hansens Schlüssel mit dem Kommentar: "Sobald SKS-Keyserver geächtet werden, werden PGP-Nutzer mehr Privatsphäre haben."

Das spielt darauf an, dass sich Schlüssel auf den SKS-Keyservern nicht löschen lassen. Sie sind zwar durch den Besitzer des privaten Schlüssels widerrufbar, dennoch bleiben sie auf den Servern auffindbar.

Es gibt eine Alternative zum SKS-Netzwerk

Die massenhaften Signaturen stammen vom 19. Juni 2019. Angesichts des an ihn gerichteten Angriffs empfahl Hansen, das Keyserver-Netzwerk nicht mehr zu nutzen. "Ich glaube nicht, dass das globale Keyserver-Netzwerk noch zu retten ist." Diese Empfehlung wirkt sehr verspätet. Schon 2013 wurde ein Programm auf Github veröffentlicht, um das Web of Trust "zu trollen", indem es eine Vielzahl an Signaturen an PGP-Keys anhängte, die untereinander dargestellt ASCII-Art-Muster ergaben.

Das Problem lässt sich vermeiden, indem bei GnuPG-Installation der Standard-Keyserver geändert wird. Seit dem 12. Juni läuft ein neuer Keyserver auf anderer Softwarebasis. Er soll dem Problem begegnen, dass beliebige Daten hochgeladen und verteilt werden können, indem die Mailadressen der Nutzer geprüft werden. Außerdem können sich mit der verifizierten Mailadresse zugehörige Schlüssel löschen lassen.



Anzeige
Hardware-Angebote
  1. 529,00€
  2. ab 369€ + Versand
  3. täglich neue Deals bei Alternate.de

Folgen Sie uns
       


Wolfenstein Youngblood angespielt

Zwillinge im Kampf gegen das Böse: Im Actionspiel Wolfenstein Youngblood müssen sich Jess und Soph Blazkowicz mit dem Regime anlegen.

Wolfenstein Youngblood angespielt Video aufrufen
Erasure Coding: Das Ende von Raid kommt durch Mathematik
Erasure Coding
Das Ende von Raid kommt durch Mathematik

In vielen Anwendungsszenarien sind Raid-Systeme mittlerweile nicht mehr die optimale Lösung. Zu langsam und starr sind sie. Abhilfe schaffen können mathematische Verfahren wie Erasure Coding. Noch existieren für beide Techniken Anwendungsgebiete. Am Ende wird Raid aber wohl verschwinden.
Eine Analyse von Oliver Nickel

  1. Agentur für Cybersicherheit Cyberwaffen-Entwicklung zieht in den Osten Deutschlands
  2. Yahoo Richterin lässt Vergleich zu Datenleck platzen

Kickstarter: Scheitern in aller Öffentlichkeit
Kickstarter
Scheitern in aller Öffentlichkeit

Kickstarter ermöglicht es kleinen Indie-Teams, die Entwicklung ihres Spiels zu finanzieren. Doch Geld allein ist nicht genug, um alle Probleme der Spieleentwicklung zu lösen. Und was, wenn das Geld ausgeht?
Ein Bericht von Daniel Ziegener

  1. Killerwhale Games Verdacht auf Betrug beim Kickstarter-Erfolgsspiel Raw
  2. The Farm 51 Chernobylite braucht Geld für akkurates Atomkraftwerk
  3. E-Pad Neues Android-Tablet mit E-Paper-Display und Stift

LEDs: Schlimmes Flimmern
LEDs
Schlimmes Flimmern

LED-Licht zu Hause oder im Auto leuchtet nur selten völlig konstant. Je nach Frequenz und Intensität kann das Flimmern der Leuchtmittel problematisch sein, für manche Menschen sogar gesundheitsschädlich.
Von Wolfgang Messer

  1. Wissenschaft Schadet LED-Licht unseren Augen?
  2. Straßenbeleuchtung Detroit kämpft mit LED-Ausfällen und der Hersteller schweigt
  3. ULED Ubiquitis Netzwerkleuchten bieten Wechselstromversorgung

    •  /