SKS: Das Ende der alten PGP-Keyserver

Der Serverpool für die PGP-Keyserver mit der Software SKS wurde abgeschaltet. Grund sind Beschwerden wegen der Datenschutz-Grundverordnung.

Artikel von veröffentlicht am
Das war's dann wohl mit den alten PGP-Keyservern: Der SKS-Serverpool wird abgeschaltet.
Das war's dann wohl mit den alten PGP-Keyservern: Der SKS-Serverpool wird abgeschaltet. (Bild: Hanno Böck)

Für die alten PGP-Keyserver mit der Software SKS ist wohl endgültig das Ende gekommen. Wie auf der Webseite der SKS-Keyserver-Pools zu lesen ist, wird der Service als veraltet angesehen. Die DNS-Records für den Serverpool wurden entfernt. Die einzelnen Keyserver sind teilweise noch direkt erreichbar, es ist aber wohl absehbar, dass diese mittelfristig verschwinden werden.

Stellenmarkt
  1. Senior Software Entwickler / Technischer Projektleiter (w/m/d)
    EURO-LOG AG, Hallbergmoos
  2. Junior Network Engineer - Connectivity (m/w/d)
    STRABAG BRVZ GMBH & CO.KG, Stuttgart, Köln
Detailsuche

Die Meldung auf der Webseite lässt sich nicht einfach lesen. Das Zertifikat ist seit April abgelaufen und da die Webseite HTTP Strict Transport Security (HSTS) verwendet, kann sie nur abgerufen werden, wenn man im Browser mit speziellen Einstellungen diesen Sicherungsmechanismus umgeht.

Die PGP-Keyserver arbeiten nach dem Prinzip, dass man dort beliebige öffentliche Schlüssel hochladen kann. Die SKS-Server tauschen untereinander regelmäßig Daten aus, so dass ein auf einen Server hochgeladener Schlüssel später auf allen anderen Servern landet.

Datenschutzproblem: Schlüssel löschen nicht vorgesehen

Ein Löschen der Schlüssel ist nicht vorgesehen, sie können lediglich ablaufen oder Besitzer können einen Schlüssel als ungültig markieren. Das führt zu Konflikten mit dem Datenschutz, da Nutzer üblicherweise ein Recht haben, auf einer Löschung ihrer persönlichen Daten zu bestehen. In der Meldung auf der SKS-Keyserver-Webseite heißt es dazu, dass es zuletzt mehrere Beschwerden auf Basis der Datenschutz-Grundverordnung gegeben habe.

Golem Karrierewelt
  1. First Response auf Security Incidents: Ein-Tages-Workshop
    14.11.2022, Virtuell
  2. IT-Sicherheit für Webentwickler: virtueller Zwei-Tage-Workshop
    14./15.09.2022, Virtuell
Weitere IT-Trainings

Die SKS-Keyserver hatten zuletzt noch andere Probleme. So gibt es die Möglichkeit, die Server durch Nonsensdaten zu überlasten oder fremde Schlüssel mit unzähligen unsinnigen Signaturen hochzuladen. Eine Prüfung der hochgeladenen Daten findet kaum statt und ist im Web of Trust von PGP auch nicht vorgesehen.

Diese Probleme waren schon lange bekannt, im Jahr 2019 fanden allerdings das erste Mal derartige Angriffe im großen Stil statt.

Umstellung von Hostname erforderte Spezialfall im GnuPG-Code

Nutzer von GnuPG können die bisher unter hpks.pool.sks-keyserver.net erreichbaren Keyserver nicht mehr nutzen. Auch der früher genutzte Alias keys.gnupg.net, der nach wie vor in der Dokumentation von GnuPG empfohlen wird, funktioniert nicht mehr.

Früher war dieser Alias ein eigener Keyserver-Pool. Als er auf den SKS-Alias umgestellt wurde, ergab sich daraus das Problem, dass der Hostname der Zertifikate für die TLS-Verbindung nicht mehr passte.

Dies ist daher als Sonderfall im Code von GnuPG vorgesehen - wenn ein Nutzer versucht, sich über das HPKS-Protokoll mit keys.gnupg.net zu verbinden, wird ein anderer Hostname geprüft.

Als Alternative können Nutzer den Keyserver keys.openpgp.org nutzen. Dieser nutzt die Software Hagrid und arbeitet nach einem völlig anderen Prinzip. Persönliche Daten wie beispielsweise Nutzer-IDs werden dort nur veröffentlicht, wenn sie via Mail verifiziert wurden. Sie können auch wieder gelöscht werden.

Weiterhin existieren noch einige Keyserver mit der Software Hockeypuck, die aber teilweise ähnliche Probleme wie SKS hat. Unter anderem betreibt Ubuntu einen Keyserver mit Hockeypuck.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Gaius Baltar 25. Jun 2021

Das Problem mit der eindeutigen Zuordnung Mailadresse Nutzer gibt es bei PGP auch...

chefin 25. Jun 2021

Häää Und andere Software benutzen keine Datenbank? Codieren die das in den Quellcode...



Aktuell auf der Startseite von Golem.de
Machine Learning
Die eigene Stimme als TTS-Modell

Mit Machine Learning kann man ein lokal lauffähiges und hochwertiges TTS-Modell der eigenen Stimme herstellen. Dauert das lange? Ja. Braucht man das? Nein. Ist das absolut nerdig? Definitv!
Eine Anleitung von Thorsten Müller

Machine Learning: Die eigene Stimme als TTS-Modell
Artikel
  1. US-Streaming: Abonnenten immer unzufriedener mit Netflix
    US-Streaming
    Abonnenten immer unzufriedener mit Netflix

    Wenn Netflix-Abonnenten das Abo kündigen, wird vor allem der hohe Preis sowie ein schlechtes Preis-Leistungs-Verhältnis als Grund dafür genannt.

  2. Krypto-Gaming: Spieleentwickler wollen nichts mit NFT zu tun haben
    Krypto-Gaming
    Spieleentwickler wollen nichts mit NFT zu tun haben

    Die Gamesbranche wehrt sich bislang vehement gegen jedes neue Blockchain-Projekt. Manager und Entwickler erklären warum.
    Von Daniel Ziegener

  3. Mojo Lens: Erster Tragetest mit Augmented-Reality-Kontaktlinse
    Mojo Lens
    Erster Tragetest mit Augmented-Reality-Kontaktlinse

    Ein winziges Micro-LED-Display, ein Funkmodem, ein Akku - und kein Kabel: Der Chef von Mojo Lens hat seine AR-Kontaktlinse im Auge getragen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindStar (G.Skill Trident Z Neo 32 GB DDR4-3600 149€) • The Quarry + PS5-Controller 99,99€ • Alternate (Acer Nitro QHD/165 Hz 246,89€, Acer Predator X28 UHD/155 Hz 1.105,99€) • Samsung GU75AU7179 699€ • Kingston A400 480 GB 39,99€ • Top-PC mit Ryzen 7 & RTX 3070 Ti 1.700€ [Werbung]
    •  /