Abo
  • IT-Karriere:

OpenPGP: Entwickler warnen davor, SKS-Keyserver weiter zu nutzen

Dass SKS-Keyserver anfällig für Spam-Angriffe sind, ist seit langem bekannt. Nachdem sie angegriffen wurden, raten zwei OpenPGP-Entwickler nun davon ab, das Netzwerk für PGP-Schlüssel weiter zu nutzen. Das kommt überraschend spät.

Artikel veröffentlicht am , Anna Biselli
Das Schlüsselnetzwerk ist kaputt.
Das Schlüsselnetzwerk ist kaputt. (Bild: cdfman/unsplash.com)

PGP-Keyserver auf der Basis der Software SKS sind kaputt. Neu ist das nicht, denn die Schwäche stammt nicht von einem Bug im Code, sie ist im Design des Netzwerks angelegt. Niemand prüft die Einträge, die auf einen Keyserver hochgeladen und dann mit anderen Servern synchronisiert werden. Löschen kann die Daten niemand. Nun hat ein Spam-Angriff die Schlüssel von zwei aktiven Entwicklern aus der OpenPGP-Community unbrauchbar und schädlich gemacht.

Stellenmarkt
  1. transmed Transport GmbH, Regensburg
  2. ENERCON GmbH, Bremen, Aurich, Magdeburg, Mannheim, Kiel, Mainz, Rostock, Hof, Soest

Jemand fügte eine Vielzahl von Signaturen an die Schlüssel der beiden an. Lädt jemand den Schlüssel von einem der Keyserver herunter und importiert ihn, wird dessen GnuPG-Installation überlastet und hängt sich auf.

Das Keyserver-Netzwerk könne mit bis zu 150.000 Schlüsselsignaturen umgehen, schreibt einer der Betroffenen, Robert J. Hansen, auf Github: "GnuPG dagegen ... nicht". Laut früheren Fehlerberichten machten jedoch auch die Keyserver selbst Probleme und waren teils nicht erreichbar. Nutzer berichteten, dass sie bei Schlüsseln über 30 MByte aufhören, diese zu exportieren.

Wie ein Denkzettel

Es wirkt wie ein Denkzettel an Hansen und Gillmor, wenn man sich die böswilligen Signaturen unter den "vergifteten" Schlüsseln anschaut. Ein vermeintlicher Daniel K. Gillmor - der zweite Betroffene - signierte Hansens Schlüssel mit dem Kommentar: "Sobald SKS-Keyserver geächtet werden, werden PGP-Nutzer mehr Privatsphäre haben."

Das spielt darauf an, dass sich Schlüssel auf den SKS-Keyservern nicht löschen lassen. Sie sind zwar durch den Besitzer des privaten Schlüssels widerrufbar, dennoch bleiben sie auf den Servern auffindbar.

Es gibt eine Alternative zum SKS-Netzwerk

Die massenhaften Signaturen stammen vom 19. Juni 2019. Angesichts des an ihn gerichteten Angriffs empfahl Hansen, das Keyserver-Netzwerk nicht mehr zu nutzen. "Ich glaube nicht, dass das globale Keyserver-Netzwerk noch zu retten ist." Diese Empfehlung wirkt sehr verspätet. Schon 2013 wurde ein Programm auf Github veröffentlicht, um das Web of Trust "zu trollen", indem es eine Vielzahl an Signaturen an PGP-Keys anhängte, die untereinander dargestellt ASCII-Art-Muster ergaben.

Das Problem lässt sich vermeiden, indem bei GnuPG-Installation der Standard-Keyserver geändert wird. Seit dem 12. Juni läuft ein neuer Keyserver auf anderer Softwarebasis. Er soll dem Problem begegnen, dass beliebige Daten hochgeladen und verteilt werden können, indem die Mailadressen der Nutzer geprüft werden. Außerdem können sich mit der verifizierten Mailadresse zugehörige Schlüssel löschen lassen.



Anzeige
Spiele-Angebote
  1. 137,70€
  2. (-72%) 16,99€
  3. 4,31€
  4. (-79%) 12,50€

Folgen Sie uns
       


Golem.de probiert 5G in Berlin aus - Bericht

Wir probieren 5G in Berlin-Adlershof aus.

Golem.de probiert 5G in Berlin aus - Bericht Video aufrufen
IMHO: Porsche prescht beim Preis übers Ziel hinaus
IMHO
Porsche prescht beim Preis übers Ziel hinaus

Die technischen Werte der beiden elektrischen Porsche Taycan-Versionen sind beeindruckend. Viele werden sie als "Tesla-Killer" bezeichnen. Doch preislich peilt Porsche damit eine extrem kleine Zielgruppe an: Ein gut ausgestatteter Turbo S kostet 214.000 Euro.
Ein IMHO von Dirk Kunde

  1. Gaming Konsolenkrieg statt Spielestreaming
  2. IMHO Valve, so geht es nicht weiter!
  3. Onlinehandel Tesla schlägt Kaufinteressenten die Ladentür vor der Nase zu

MX Series im Hands on: Logitechs edle Eingabegeräte
MX Series im Hands on
Logitechs edle Eingabegeräte

Beleuchtet, tolles Tippgefühl und kabellos, dazu eine Maus mit magnetischem Schweizer Präzisionsrad: Logitech hat neue Eingabegeräte für seine Premium-Reihe veröffentlicht - beide unterstützen USB Typ C. Golem.de konnte MX Keys und MX Master 3 unter Windows und MacOS bereits ausprobieren.
Ein Hands on von Peter Steinlechner

  1. Unifying Sicherheitsupdate für Logitech-Tastaturen umgangen
  2. Gaming Logitech bringt mechanische Tastaturen mit flachen Schaltern
  3. Logitacker Kabellose Logitech-Tastaturen leicht zu hacken

IT-Studium: Kein Abitur? Kein Problem!
IT-Studium
Kein Abitur? Kein Problem!

Martin Fricke studiert Informatik, obwohl er kein Abitur hat. Das darf er, weil Universitäten Berufserfahrung für die Zulassung anerkennen. Davon profitieren Menschen wie Unternehmen gleichermaßen.
Von Tarek Barkouni

  1. IT Welches Informatikstudium passt zu mir?
  2. Bitkom Nur jeder siebte Bewerber für IT-Jobs ist weiblich

    •  /