OpenPGP: Entwickler warnen davor, SKS-Keyserver weiter zu nutzen

Dass SKS-Keyserver anfällig für Spam-Angriffe sind, ist seit langem bekannt. Nachdem sie angegriffen wurden, raten zwei OpenPGP-Entwickler nun davon ab, das Netzwerk für PGP-Schlüssel weiter zu nutzen. Das kommt überraschend spät.

Artikel veröffentlicht am , Anna Biselli
Das Schlüsselnetzwerk ist kaputt.
Das Schlüsselnetzwerk ist kaputt. (Bild: cdfman/unsplash.com)

PGP-Keyserver auf der Basis der Software SKS sind kaputt. Neu ist das nicht, denn die Schwäche stammt nicht von einem Bug im Code, sie ist im Design des Netzwerks angelegt. Niemand prüft die Einträge, die auf einen Keyserver hochgeladen und dann mit anderen Servern synchronisiert werden. Löschen kann die Daten niemand. Nun hat ein Spam-Angriff die Schlüssel von zwei aktiven Entwicklern aus der OpenPGP-Community unbrauchbar und schädlich gemacht.

Stellenmarkt
  1. Informatikerin / Informatiker (w/m/d) für Data Center Infrastruktur am Zentrum für Informationstechnologie ... (m/w/d)
    Universität Passau, Passau
  2. Client-Hardware - Konzeption, IT-Asset-Lifecycle-Management und Support
    Universität Hamburg, Hamburg
Detailsuche

Jemand fügte eine Vielzahl von Signaturen an die Schlüssel der beiden an. Lädt jemand den Schlüssel von einem der Keyserver herunter und importiert ihn, wird dessen GnuPG-Installation überlastet und hängt sich auf.

Das Keyserver-Netzwerk könne mit bis zu 150.000 Schlüsselsignaturen umgehen, schreibt einer der Betroffenen, Robert J. Hansen, auf Github: "GnuPG dagegen ... nicht". Laut früheren Fehlerberichten machten jedoch auch die Keyserver selbst Probleme und waren teils nicht erreichbar. Nutzer berichteten, dass sie bei Schlüsseln über 30 MByte aufhören, diese zu exportieren.

Wie ein Denkzettel

Es wirkt wie ein Denkzettel an Hansen und Gillmor, wenn man sich die böswilligen Signaturen unter den "vergifteten" Schlüsseln anschaut. Ein vermeintlicher Daniel K. Gillmor - der zweite Betroffene - signierte Hansens Schlüssel mit dem Kommentar: "Sobald SKS-Keyserver geächtet werden, werden PGP-Nutzer mehr Privatsphäre haben."

Golem Akademie
  1. Penetration Testing Fundamentals
    17.-18. Januar 2022, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, online
  3. Linux-Systeme absichern und härten
    8.-10. November 2021, online
Weitere IT-Trainings

Das spielt darauf an, dass sich Schlüssel auf den SKS-Keyservern nicht löschen lassen. Sie sind zwar durch den Besitzer des privaten Schlüssels widerrufbar, dennoch bleiben sie auf den Servern auffindbar.

Es gibt eine Alternative zum SKS-Netzwerk

Die massenhaften Signaturen stammen vom 19. Juni 2019. Angesichts des an ihn gerichteten Angriffs empfahl Hansen, das Keyserver-Netzwerk nicht mehr zu nutzen. "Ich glaube nicht, dass das globale Keyserver-Netzwerk noch zu retten ist." Diese Empfehlung wirkt sehr verspätet. Schon 2013 wurde ein Programm auf Github veröffentlicht, um das Web of Trust "zu trollen", indem es eine Vielzahl an Signaturen an PGP-Keys anhängte, die untereinander dargestellt ASCII-Art-Muster ergaben.

Das Problem lässt sich vermeiden, indem bei GnuPG-Installation der Standard-Keyserver geändert wird. Seit dem 12. Juni läuft ein neuer Keyserver auf anderer Softwarebasis. Er soll dem Problem begegnen, dass beliebige Daten hochgeladen und verteilt werden können, indem die Mailadressen der Nutzer geprüft werden. Außerdem können sich mit der verifizierten Mailadresse zugehörige Schlüssel löschen lassen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
New World im Test
Amazon liefert ordentlich Abenteuer

Konkurrenz für World of Warcraft und Final Fantasy 14: Amazon Games macht mit dem PC-MMORPG New World momentan vor allem Sammler glücklich.
Von Peter Steinlechner

New World im Test: Amazon liefert ordentlich Abenteuer
Artikel
  1. Nasa: Sonde Lucy erfolgreich zu Jupiter-Asteroiden gestartet
    Nasa
    Sonde Lucy erfolgreich zu Jupiter-Asteroiden gestartet

    Erstmals sollen Asteroiden in der Umlaufbahn des Jupiter untersucht werden. Der Start der Raumsonde Lucy ist laut Nasa geglückt.

  2. Pornoplattform: Journalisten wollen Xhamster-Eigentümer gefunden haben
    Pornoplattform
    Journalisten wollen Xhamster-Eigentümer gefunden haben

    Xhamster ist und bleibt Heimat für zahlreiche rechtswidrige Inhalte. Doch ohne zu wissen, wer profitiert, wusste man bisher auch nicht, wer verantwortlich ist.

  3. Whatsapp: Vater bekommt wegen eines Nacktfotos Ärger mit Polizei
    Whatsapp
    Vater bekommt wegen eines Nacktfotos Ärger mit Polizei

    Ein Vater nutzte ein 15 Jahre altes Nacktfoto seines Sohnes als Statusfoto bei Whatsapp. Nun läuft ein Kinderpornografie-Verfahren.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 40€ Rabatt auf Samsung-SSDs • ADATA XPG Spectrix D55 16-GB-Kit 3200 56,61€ • Crucial P5 Plus 1 TB 129,99€ • Kingston NV1 500 GB 35,99€ • Creative Sound BlasterX G5 89,99€ • Alternate (u. a. AKRacing Core SX 248,99€) • Gamesplanet Anniv. Sale Classic & Retro [Werbung]
    •  /