• IT-Karriere:
  • Services:

OpenPGP: Entwickler warnen davor, SKS-Keyserver weiter zu nutzen

Dass SKS-Keyserver anfällig für Spam-Angriffe sind, ist seit langem bekannt. Nachdem sie angegriffen wurden, raten zwei OpenPGP-Entwickler nun davon ab, das Netzwerk für PGP-Schlüssel weiter zu nutzen. Das kommt überraschend spät.

Artikel veröffentlicht am , Anna Biselli
Das Schlüsselnetzwerk ist kaputt.
Das Schlüsselnetzwerk ist kaputt. (Bild: cdfman/unsplash.com)

PGP-Keyserver auf der Basis der Software SKS sind kaputt. Neu ist das nicht, denn die Schwäche stammt nicht von einem Bug im Code, sie ist im Design des Netzwerks angelegt. Niemand prüft die Einträge, die auf einen Keyserver hochgeladen und dann mit anderen Servern synchronisiert werden. Löschen kann die Daten niemand. Nun hat ein Spam-Angriff die Schlüssel von zwei aktiven Entwicklern aus der OpenPGP-Community unbrauchbar und schädlich gemacht.

Stellenmarkt
  1. Evangelisch-Lutherisches Landeskirchenamt Sachsens, Dresden
  2. über duerenhoff GmbH, Mannheim

Jemand fügte eine Vielzahl von Signaturen an die Schlüssel der beiden an. Lädt jemand den Schlüssel von einem der Keyserver herunter und importiert ihn, wird dessen GnuPG-Installation überlastet und hängt sich auf.

Das Keyserver-Netzwerk könne mit bis zu 150.000 Schlüsselsignaturen umgehen, schreibt einer der Betroffenen, Robert J. Hansen, auf Github: "GnuPG dagegen ... nicht". Laut früheren Fehlerberichten machten jedoch auch die Keyserver selbst Probleme und waren teils nicht erreichbar. Nutzer berichteten, dass sie bei Schlüsseln über 30 MByte aufhören, diese zu exportieren.

Wie ein Denkzettel

Es wirkt wie ein Denkzettel an Hansen und Gillmor, wenn man sich die böswilligen Signaturen unter den "vergifteten" Schlüsseln anschaut. Ein vermeintlicher Daniel K. Gillmor - der zweite Betroffene - signierte Hansens Schlüssel mit dem Kommentar: "Sobald SKS-Keyserver geächtet werden, werden PGP-Nutzer mehr Privatsphäre haben."

Das spielt darauf an, dass sich Schlüssel auf den SKS-Keyservern nicht löschen lassen. Sie sind zwar durch den Besitzer des privaten Schlüssels widerrufbar, dennoch bleiben sie auf den Servern auffindbar.

Es gibt eine Alternative zum SKS-Netzwerk

Die massenhaften Signaturen stammen vom 19. Juni 2019. Angesichts des an ihn gerichteten Angriffs empfahl Hansen, das Keyserver-Netzwerk nicht mehr zu nutzen. "Ich glaube nicht, dass das globale Keyserver-Netzwerk noch zu retten ist." Diese Empfehlung wirkt sehr verspätet. Schon 2013 wurde ein Programm auf Github veröffentlicht, um das Web of Trust "zu trollen", indem es eine Vielzahl an Signaturen an PGP-Keys anhängte, die untereinander dargestellt ASCII-Art-Muster ergaben.

Das Problem lässt sich vermeiden, indem bei GnuPG-Installation der Standard-Keyserver geändert wird. Seit dem 12. Juni läuft ein neuer Keyserver auf anderer Softwarebasis. Er soll dem Problem begegnen, dass beliebige Daten hochgeladen und verteilt werden können, indem die Mailadressen der Nutzer geprüft werden. Außerdem können sich mit der verifizierten Mailadresse zugehörige Schlüssel löschen lassen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (u. a. Ryzen 7 5800X 469€)

Folgen Sie uns
       


Honda E Probe gefahren

Der Honda E ist ein Elektro-Kleinwagen, dessen Design an alte Honda-Modelle aus den 1970er Jahren erinnert.

Honda E Probe gefahren Video aufrufen
XPS 13 (9310) im Test: Dells Ultrabook ist besser denn je
XPS 13 (9310) im Test
Dells Ultrabook ist besser denn je

Wir dachten ja, bis auf den Tiger-Lake-Chip habe Dell am XPS 13 nichts geändert. Doch es gibt einige willkommene Änderungen.
Ein Test von Marc Sauter

  1. Dell-Ultrabook XPS 13 mit weniger vertikalen Pixeln
  2. Notebooks Dells XPS 13 mit Intels Tiger Lake kommt
  3. XPS 13 (9300) im Test Dells i-Tüpfelchen

The Legend of Zelda: Das Vorbild für alle Action-Adventures
The Legend of Zelda
Das Vorbild für alle Action-Adventures

The Legend of Zelda von 1986 hat das Genre geprägt. Wir haben den 8-Bit-Klassiker erneut gespielt - und waren hin- und hergerissen.
Von Benedikt Plass-Fleßenkämper


    Android 12: Endlich Android-Updates!
    Android 12
    Endlich Android-Updates!

    Google kann selbst Updates für die Android Runtime verteilen. Damit werden echte Android-Updates greifbar.
    Von Sebastian Grüner

    1. Google Android 12 kommt mit einer Gaming-Toolbar
    2. Smartphones Verstecktes neues Design in Android 12
    3. Android Google präsentiert erste Vorschau von Android 12

      •  /