OpenPGP: Entwickler warnen davor, SKS-Keyserver weiter zu nutzen

Dass SKS-Keyserver anfällig für Spam-Angriffe sind, ist seit langem bekannt. Nachdem sie angegriffen wurden, raten zwei OpenPGP-Entwickler nun davon ab, das Netzwerk für PGP-Schlüssel weiter zu nutzen. Das kommt überraschend spät.

Artikel veröffentlicht am , Anna Biselli
Das Schlüsselnetzwerk ist kaputt.
Das Schlüsselnetzwerk ist kaputt. (Bild: cdfman/unsplash.com)

PGP-Keyserver auf der Basis der Software SKS sind kaputt. Neu ist das nicht, denn die Schwäche stammt nicht von einem Bug im Code, sie ist im Design des Netzwerks angelegt. Niemand prüft die Einträge, die auf einen Keyserver hochgeladen und dann mit anderen Servern synchronisiert werden. Löschen kann die Daten niemand. Nun hat ein Spam-Angriff die Schlüssel von zwei aktiven Entwicklern aus der OpenPGP-Community unbrauchbar und schädlich gemacht.

Stellenmarkt
  1. Softwareentwickler - CAD/PLM (m/w/d)
    Hays AG, Esslingen
  2. Systemadministrator (m/w/d) für UNIX / Oracle
    Bayerische Versorgungskammer, München
Detailsuche

Jemand fügte eine Vielzahl von Signaturen an die Schlüssel der beiden an. Lädt jemand den Schlüssel von einem der Keyserver herunter und importiert ihn, wird dessen GnuPG-Installation überlastet und hängt sich auf.

Das Keyserver-Netzwerk könne mit bis zu 150.000 Schlüsselsignaturen umgehen, schreibt einer der Betroffenen, Robert J. Hansen, auf Github: "GnuPG dagegen ... nicht". Laut früheren Fehlerberichten machten jedoch auch die Keyserver selbst Probleme und waren teils nicht erreichbar. Nutzer berichteten, dass sie bei Schlüsseln über 30 MByte aufhören, diese zu exportieren.

Wie ein Denkzettel

Es wirkt wie ein Denkzettel an Hansen und Gillmor, wenn man sich die böswilligen Signaturen unter den "vergifteten" Schlüsseln anschaut. Ein vermeintlicher Daniel K. Gillmor - der zweite Betroffene - signierte Hansens Schlüssel mit dem Kommentar: "Sobald SKS-Keyserver geächtet werden, werden PGP-Nutzer mehr Privatsphäre haben."

Golem Karrierewelt
  1. Elastic Stack Fundamentals – Elasticsearch, Logstash, Kibana, Beats: virtueller Drei-Tage-Workshop
    26.-28.09.2022, Virtuell
  2. C++ Programmierung Grundlagen (keine Vorkenntnisse benötigt): virtueller Drei-Tage-Workshop
    07.-09.11.2022, virtuell
Weitere IT-Trainings

Das spielt darauf an, dass sich Schlüssel auf den SKS-Keyservern nicht löschen lassen. Sie sind zwar durch den Besitzer des privaten Schlüssels widerrufbar, dennoch bleiben sie auf den Servern auffindbar.

Es gibt eine Alternative zum SKS-Netzwerk

Die massenhaften Signaturen stammen vom 19. Juni 2019. Angesichts des an ihn gerichteten Angriffs empfahl Hansen, das Keyserver-Netzwerk nicht mehr zu nutzen. "Ich glaube nicht, dass das globale Keyserver-Netzwerk noch zu retten ist." Diese Empfehlung wirkt sehr verspätet. Schon 2013 wurde ein Programm auf Github veröffentlicht, um das Web of Trust "zu trollen", indem es eine Vielzahl an Signaturen an PGP-Keys anhängte, die untereinander dargestellt ASCII-Art-Muster ergaben.

Das Problem lässt sich vermeiden, indem bei GnuPG-Installation der Standard-Keyserver geändert wird. Seit dem 12. Juni läuft ein neuer Keyserver auf anderer Softwarebasis. Er soll dem Problem begegnen, dass beliebige Daten hochgeladen und verteilt werden können, indem die Mailadressen der Nutzer geprüft werden. Außerdem können sich mit der verifizierten Mailadresse zugehörige Schlüssel löschen lassen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
25 Jahre Dungeon Keeper
Wir sind wieder richtig böse!

Nicht Held, sondern Monster: Darum geht's in Dungeon Keeper von Peter Molyneux. Golem.de hat neu gespielt - und einen bösen Bug gefunden.
Von Andreas Altenheimer

25 Jahre Dungeon Keeper: Wir sind wieder richtig böse!
Artikel
  1. bZ4X: Toyota bietet Rückkauf seiner zurückgerufenen E-Autos an
    bZ4X
    Toyota bietet Rückkauf seiner zurückgerufenen E-Autos an

    Toyota bietet Kunden den Rückkauf seiner Elektro-SUVs an, nachdem diese im Juni wegen loser Radnabenschrauben zurückgerufen wurden.

  2. Laptops: Vom Bastel-Linux zum heimlichen Liebling der Entwickler
    Laptops
    Vom Bastel-Linux zum heimlichen Liebling der Entwickler

    Noch vor einem Jahrzehnt gab es kaum Laptops mit vorinstalliertem Linux. Inzwischen liefern das aber sogar die drei weltgrößten Hersteller - ein überraschender Siegeszug.

  3. SMS: Lindner bat Porsche-Chef um Argumentationshilfe bei E-Fuels
    SMS
    Lindner bat Porsche-Chef um Argumentationshilfe bei E-Fuels

    Der Bundesfinanzminister hat den Porsche-Chef erst nach der Entscheidung kontaktiert, die Ausnahme für E-Fuels in die EU-Verhandlungen einzubringen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindStar (u. a. Samsung 980 1 TB 77€ und ASRock RX 6800 639€ ) • Alternate (u. a. Corsair Vengeance LPX 8 GB DDR4-3200 34,98€ ) • AOC GM200 6,29€ • be quiet! Deals • SSV bei Saturn (u. a. WD_BLACK SN850 1 TB 119€) • Weekend Sale bei Alternate • PDP Victrix Gambit 63,16€ [Werbung]
    •  /