Abo
  • IT-Karriere:

OpenPGP: GnuPG verwirft Signaturen von Keyservern

Nach mehreren Angriffen auf OpenPGP-Schlüssel auf Schlüsselservern zieht GnuPG die Reißleine und akzeptiert keine Signaturen mehr von diesen. Damit dürfte sich auch das Web of Trust erledigt haben.

Artikel veröffentlicht am ,
GnuPG nun ohne Schlüsselsignaturen von Schlüsselservern
GnuPG nun ohne Schlüsselsignaturen von Schlüsselservern (Bild: Capri23auto/Pixabay)

Mit der am 9. Juli veröffentlichten Version 2.2.17 ignoriert die Verschlüsselungssoftware standardmäßig alle von Keyservern erhaltenen Schlüsselsignaturen. Die Entwickler begegnen damit Denial-of-Service-Angriffen (DoS) durch massenhaftes Hinzufügen von Schlüsselsignaturen.

Stellenmarkt
  1. KDO Service GmbH, Oldenburg
  2. TÜV SÜD Gruppe, München

Hintergrund der Entscheidung sind vermehrte Angriffe auf die PGP-Keyserver auf Basis der Software SKS. Dort können beliebige Schlüssel hochgeladen werden, die die Server untereinander austauschen. So lassen sich nicht nur Schlüssel für beliebige Mailadressen und Personen hochladen, sondern auch Signaturen zu bestehenden Schlüsseln hinzufügen. Ein Schlüsselserver kann mit bis zu 150.000 solcher Schlüsselsignaturen umgehen, GnuPG allerdings nicht. Wird ein solcher Schlüssel heruntergeladen und importiert, wird die lokale GnuPG-Installation überlastet und stürzt ab. Erst kürzlich wurden auf diese Weise die Schlüssel von zwei aktiven Entwicklern aus der OpenPGP-Community unbrauchbar und schädlich gemacht.

Bye, bye Web of Trust

Die Entscheidung dürfte auch eine Abkehr vom Web of Trust bedeuten. Die Idee dahinter ist, dass die Nutzer ihre Schlüssel gegenseitig signieren und damit indirekt deren Echtheit bestätigen. Diese werden auf die Schlüsselserver hochgeladen und lassen sich - wie der Schlüssel selbst - nie wieder löschen. Bei den Angriffen auf die Schlüssel der beiden Entwickler adressiert ein Kommentar das dahinterliegende Problem für die Privatsphäre: "Sobald SKS-Keyserver geächtet werden, werden PGP-Nutzer mehr Privatsphäre haben."

Seit dem 12. Juni läuft ein neuer Keyserver auf anderer Softwarebasis. Er soll dem Problem begegnen, dass beliebige Daten hochgeladen und verteilt werden können, indem die Mailadressen der Nutzer geprüft werden. Außerdem können sich mit der verifizierten Mailadresse zugehörige Schlüssel löschen lassen.



Anzeige
Top-Angebote
  1. 4,49€
  2. (-70%) 14,99€
  3. 0,00€ im Epic Store
  4. (aktuell u. a. Asus PG279Q ROG Monitor 689€, Corsair Glaive RGB Maus 34,99€)

bw71236196231 12. Jul 2019 / Themenstart

Ich bin deiner Meinung bzgl. PGP. Es ist immer wieder zu beobachten, dass das Konzept...

YarYar 11. Jul 2019 / Themenstart

Dann musst du halt selbst signieren. Lokal, ohne keyserver.

Kommentieren


Folgen Sie uns
       


ANC-Kopfhörer im Lautstärkevergleich

Wir haben Microsofts Surface Headphones und die Jabra Elite 85h bei der ANC-Leistung verglichen. Für einen besseren Vergleich zeigen wir auch die besonders leistungsfähigen ANC-Kopfhörer von Sony und Bose, die WH-1000XM3 und die Quiet Comfort 35 II.

ANC-Kopfhörer im Lautstärkevergleich Video aufrufen
Endpoint Security: IT-Sicherheit ist ein Cocktail mit vielen Zutaten
Endpoint Security
IT-Sicherheit ist ein Cocktail mit vielen Zutaten

Tausende Geräte in hundert verschiedenen Modellen mit Dutzenden unterschiedlichen Betriebssystemen. Das ist in großen Unternehmen Alltag und stellt alle, die für die IT-Sicherheit zuständig sind, vor Herausforderungen.
Von Anna Biselli

  1. Datendiebstahl Kundendaten zahlreicher deutscher Firmen offen im Netz
  2. Metro & Dish Tisch-Reservierung auf Google übernehmen
  3. Identitätsdiebstahl SIM-Dieb kommt zehn Jahre in Haft

Erneuerbare Energien: Die Energiewende braucht Wasserstoff
Erneuerbare Energien
Die Energiewende braucht Wasserstoff

Kein anderes Element ist so universell und dabei simpel aufgebaut wie Wasserstoff und das energiereiche Gas lässt sich aus fast jedem Energieträger gewinnen. Genauso vielseitig gestaltet sich seine Nutzung.
Ein Bericht von Jan Oliver Löfken

  1. Strom-Boje Mittelrhein Schwimmende Kraftwerke liefern Strom aus dem Rhein
  2. Speicherung von Überschussstrom Wasserstoff soll bei Engpässen helfen
  3. Energiewende DLR-Forscher bauen Kohlekraftwerke zu Stromspeichern um

In eigener Sache: Golem.de bietet Seminar zu TLS an
In eigener Sache
Golem.de bietet Seminar zu TLS an

Der Verschlüsselungsexperte und Golem.de-Redakteur Hanno Böck gibt einen Workshop zum wichtigsten Verschlüsselungsprotokoll im Netz. Am 24. und 25. September klärt er Admins, Pentester und IT-Sicherheitsexperten in Berlin über Funktionsweisen und Gefahren von TLS auf.

  1. In eigener Sache Zweiter Termin für Kubernetes-Seminar
  2. Leserumfrage Wie können wir dich unterstützen?
  3. In eigener Sache Was du schon immer über Kubernetes wissen wolltest

    •  /