OpenPGP: GnuPG verwirft Signaturen von Keyservern

Nach mehreren Angriffen auf OpenPGP-Schlüssel auf Schlüsselservern zieht GnuPG die Reißleine und akzeptiert keine Signaturen mehr von diesen. Damit dürfte sich auch das Web of Trust erledigt haben.

Artikel veröffentlicht am ,
GnuPG nun ohne Schlüsselsignaturen von Schlüsselservern
GnuPG nun ohne Schlüsselsignaturen von Schlüsselservern (Bild: Capri23auto/Pixabay)

Mit der am 9. Juli veröffentlichten Version 2.2.17 ignoriert die Verschlüsselungssoftware standardmäßig alle von Keyservern erhaltenen Schlüsselsignaturen. Die Entwickler begegnen damit Denial-of-Service-Angriffen (DoS) durch massenhaftes Hinzufügen von Schlüsselsignaturen.

Stellenmarkt
  1. Product Owner (m/w/d) Digitale Plattform - Business Processes
    EPLAN GmbH & Co. KG, Langenfeld
  2. Software-Entwickler*in (m/w/d)
    Universitätsklinikum Würzburg, Würzburg
Detailsuche

Hintergrund der Entscheidung sind vermehrte Angriffe auf die PGP-Keyserver auf Basis der Software SKS. Dort können beliebige Schlüssel hochgeladen werden, die die Server untereinander austauschen. So lassen sich nicht nur Schlüssel für beliebige Mailadressen und Personen hochladen, sondern auch Signaturen zu bestehenden Schlüsseln hinzufügen. Ein Schlüsselserver kann mit bis zu 150.000 solcher Schlüsselsignaturen umgehen, GnuPG allerdings nicht. Wird ein solcher Schlüssel heruntergeladen und importiert, wird die lokale GnuPG-Installation überlastet und stürzt ab. Erst kürzlich wurden auf diese Weise die Schlüssel von zwei aktiven Entwicklern aus der OpenPGP-Community unbrauchbar und schädlich gemacht.

Bye, bye Web of Trust

Die Entscheidung dürfte auch eine Abkehr vom Web of Trust bedeuten. Die Idee dahinter ist, dass die Nutzer ihre Schlüssel gegenseitig signieren und damit indirekt deren Echtheit bestätigen. Diese werden auf die Schlüsselserver hochgeladen und lassen sich - wie der Schlüssel selbst - nie wieder löschen. Bei den Angriffen auf die Schlüssel der beiden Entwickler adressiert ein Kommentar das dahinterliegende Problem für die Privatsphäre: "Sobald SKS-Keyserver geächtet werden, werden PGP-Nutzer mehr Privatsphäre haben."

Seit dem 12. Juni läuft ein neuer Keyserver auf anderer Softwarebasis. Er soll dem Problem begegnen, dass beliebige Daten hochgeladen und verteilt werden können, indem die Mailadressen der Nutzer geprüft werden. Außerdem können sich mit der verifizierten Mailadresse zugehörige Schlüssel löschen lassen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Klage
Paypal friert Konten ein und behält Geld nach 180 Tagen

In einer Sammelklage wird Paypal vorgeworfen, Konten ohne Nennung von Gründen einzufrieren und das Geld nach 180 Tagen zu behalten.

Klage: Paypal friert Konten ein und behält Geld nach 180 Tagen
Artikel
  1. Krypto-Verbot: Panikverkäufe von Krypto-Mininggerät im Kosovo
    Krypto-Verbot
    Panikverkäufe von Krypto-Mininggerät im Kosovo

    Schürfen von Kryptowährungen ist im Kosovo seit kurzem verboten. Mineure versuchen, ihr Equipment oft zu Schleuderpreisen loszuwerden.

  2. Malware: Microsoft warnt vor ungewöhnlicher Schadsoftware in Ukraine
    Malware
    Microsoft warnt vor ungewöhnlicher Schadsoftware in Ukraine

    Die Schadsoftware soll sich als Ransomware tarnen.

  3. Großunternehmen: Lindner will Mindeststeuer zum 1. Januar 2023 umsetzen
    Großunternehmen
    Lindner will Mindeststeuer zum 1. Januar 2023 umsetzen

    Bundesfinanzminister Christian Lindner will die Mindeststeuer für Großunternehmen in Deutschland schnell einführen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindStar (u.a. WD Blue 3D 1TB 79€, be quiet! Straight Power 11 850W 119€ u. PowerColor RX 6600 Hellhound 529€) • Alternate: Weekend-Deals • HyperX Cloud II Wireless 107,19€ • Cooler Master MH752 54,90€ • Gainward RTX 3080 12GB 1.599€ • Saturn-Hits • 3 für 2: Marvel & Star Wars [Werbung]
    •  /