• IT-Karriere:
  • Services:

OpenPGP: GnuPG verwirft Signaturen von Keyservern

Nach mehreren Angriffen auf OpenPGP-Schlüssel auf Schlüsselservern zieht GnuPG die Reißleine und akzeptiert keine Signaturen mehr von diesen. Damit dürfte sich auch das Web of Trust erledigt haben.

Artikel veröffentlicht am ,
GnuPG nun ohne Schlüsselsignaturen von Schlüsselservern
GnuPG nun ohne Schlüsselsignaturen von Schlüsselservern (Bild: Capri23auto/Pixabay)

Mit der am 9. Juli veröffentlichten Version 2.2.17 ignoriert die Verschlüsselungssoftware standardmäßig alle von Keyservern erhaltenen Schlüsselsignaturen. Die Entwickler begegnen damit Denial-of-Service-Angriffen (DoS) durch massenhaftes Hinzufügen von Schlüsselsignaturen.

Stellenmarkt
  1. operational services GmbH & Co. KG, verschiedene Standorte
  2. DEHOGA Baden-Württemberg e. V., Stuttgart

Hintergrund der Entscheidung sind vermehrte Angriffe auf die PGP-Keyserver auf Basis der Software SKS. Dort können beliebige Schlüssel hochgeladen werden, die die Server untereinander austauschen. So lassen sich nicht nur Schlüssel für beliebige Mailadressen und Personen hochladen, sondern auch Signaturen zu bestehenden Schlüsseln hinzufügen. Ein Schlüsselserver kann mit bis zu 150.000 solcher Schlüsselsignaturen umgehen, GnuPG allerdings nicht. Wird ein solcher Schlüssel heruntergeladen und importiert, wird die lokale GnuPG-Installation überlastet und stürzt ab. Erst kürzlich wurden auf diese Weise die Schlüssel von zwei aktiven Entwicklern aus der OpenPGP-Community unbrauchbar und schädlich gemacht.

Bye, bye Web of Trust

Die Entscheidung dürfte auch eine Abkehr vom Web of Trust bedeuten. Die Idee dahinter ist, dass die Nutzer ihre Schlüssel gegenseitig signieren und damit indirekt deren Echtheit bestätigen. Diese werden auf die Schlüsselserver hochgeladen und lassen sich - wie der Schlüssel selbst - nie wieder löschen. Bei den Angriffen auf die Schlüssel der beiden Entwickler adressiert ein Kommentar das dahinterliegende Problem für die Privatsphäre: "Sobald SKS-Keyserver geächtet werden, werden PGP-Nutzer mehr Privatsphäre haben."

Seit dem 12. Juni läuft ein neuer Keyserver auf anderer Softwarebasis. Er soll dem Problem begegnen, dass beliebige Daten hochgeladen und verteilt werden können, indem die Mailadressen der Nutzer geprüft werden. Außerdem können sich mit der verifizierten Mailadresse zugehörige Schlüssel löschen lassen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. (reduzierte Überstände, Restposten & Co.)

bw71236196231 12. Jul 2019

Ich bin deiner Meinung bzgl. PGP. Es ist immer wieder zu beobachten, dass das Konzept...

YarYar 11. Jul 2019

Dann musst du halt selbst signieren. Lokal, ohne keyserver.


Folgen Sie uns
       


Eigene Deep Fakes mit DeepFaceLab - Tutorial

Wir zeigen im Video, wie man mit DeepFaceLab arbeitet.

Eigene Deep Fakes mit DeepFaceLab - Tutorial Video aufrufen
Videoüberwachung: Kameras sind überall, aber nicht überall erlaubt
Videoüberwachung
Kameras sind überall, aber nicht überall erlaubt

Dass Überwachungskameras nicht legal eingesetzt werden, ist keine Seltenheit. Ob aus Nichtwissen oder mit Absicht: Werden Privatsphäre oder Datenschutz verletzt, gehören die Kameras weg. Doch dazu müssen sie erst mal entdeckt, als legal oder illegal ausgemacht und gemeldet werden.
Von Harald Büring

  1. Nach Attentat Datenschutzbeauftragter kritisiert Hintertüren in Messengern
  2. Australien IT-Sicherheitskonferenz Cybercon lädt Sprecher aus
  3. Spionagesoftware Staatsanwaltschaft ermittelt nach Anzeige gegen Finfisher

Apex Pro im Test: Tastatur für glückliche Gamer und Vielschreiber
Apex Pro im Test
Tastatur für glückliche Gamer und Vielschreiber

Steelseries bietet seine mechanische Tastatur Apex 7 auch als Pro-Modell mit besonderen Switches an: Zum Einsatz kommen sogenannte Hall-Effekt-Schalter, die ohne mechanische Kontakte auskommen. Besonders praktisch ist der einstellbare Auslösepunkt.
Ein Test von Tobias Költzsch

  1. Bluetooth und Ergonomic Keyboard Microsoft-Tastaturen kommen nach Deutschland
  2. Peripheriegeräte Microsofts neue Tastaturen haben Office- und Emoji-Tasten
  3. G Pro X Gaming Keyboard Logitech lässt E-Sportler auf austauschbare Tasten tippen

Staupilot: Der Zulassungsstau löst sich langsam auf
Staupilot
Der Zulassungsstau löst sich langsam auf

Nach jahrelangen Verhandlungen soll es demnächst internationale Zulassungskriterien für hochautomatisierte Autos geben. Bei höheren Automatisierungsgraden strebt die Bundesregierung aber einen nationalen Alleingang an.
Ein Bericht von Friedhelm Greis

  1. Autonomes Fahren Ermittler geben Testfahrerin Hauptschuld an Uber-Unfall
  2. Ermittlungsberichte Wie die Uber-Software den tödlichen Unfall begünstigte
  3. Firmentochter gegründet VW will in fünf Jahren autonom fahren

    •  /