Vergiftete Schlüssel überlasten Keyserver

Fügt man mehrere große Nutzerkennungen an einen Key an, ist der Keyserver überlastet und kann diesen nicht mehr exportieren. Damit kann man einen Schlüssel vergiften und dafür sorgen, dass er von niemandem mehr abgerufen werden kann. Laut dem Fehlerbericht bei SKS hört ein Keyserver bei etwa 30 MByte auf, den Schlüssel zu exportieren. Solche und ähnliche Angriffsversuche haben zuletzt dazu geführt, dass die Schlüsselserver immer häufiger überlastet und für normale Nutzer nicht mehr erreichbar waren.

Stellenmarkt
  1. Automation Engineer (m/w/d)
    Packsize GmbH, deutschlandweit (Home-Office)
  2. IT-Engineer / Administrator Network Services (m/w/d)
    GILDEMEISTER Beteiligungen GmbH, Bielefeld
Detailsuche

Auf der Mailingliste des SKS-Projekts häufen sich die Problemberichte. Einzelne Betreiber von Schlüsselservern versuchen sich zu behelfen, indem sie Zugriffe auf solche vergifteten Schlüssel blockieren, doch eine Lösung ist das natürlich nicht. Hoffnung auf Abhilfe gibt es kaum, denn die SKS-Software wird nicht aktiv weiterentwickelt. Einige sprechen inzwischen davon, dass das Schlüsselserver-Netzwerk sterben wird.

Verschiedene Alternativen werden diskutiert. Häufiger verwiesen wird auf das Web-Key-Directory-Protokoll, das einen völlig anderen Ansatz hat. Hier werden Schlüssel auf der zu einer E-Mail-Adresse gehörenden Domain mittels HTTPS auf einer definierten URL bereitgestellt. Das funktioniert allerdings nur, wenn man in der Lage ist, dort etwas zu hosten. Bei großen Mailanbietern wie Gmail oder GMX ist so etwas bisher nicht vorgesehen.

Schlüsselserver mit Prüfung von Mailadressen

Denkbar sind auch Keyserver, die nicht jeden Schlüssel akzeptieren, sondern nur solche, deren Besitzer seine Mailadresse validiert hat. Es gibt bereits seit längerer Zeit das von Symantec betriebene PGP Global Directory. Allerdings ist der dahinterstehende Code nicht als freie Software verfügbar und der Service wird von der Community kaum genutzt.

Golem Karrierewelt
  1. Container Technologie: Docker und Kubernetes - Theorie und Praxis: virtueller Drei-Tage-Workshop
    14.-16.12.2022, virtuell
  2. Einführung in das Zero Trust Security Framework (virtueller Ein-Tages-Workshop)
    02.11.2022, virtuell
Weitere IT-Trainings

Die Entwickler des Webmail-OpenPGP-Plugins Mailvelope betreiben ebenfalls einen Schlüsselserver, der E-Mail-Adressen validiert. Allerdings funktioniert der Angriff mit vergifteten Schlüsseln hier trotzdem, denn wenn dort ein Schlüssel einmal hochgeladen ist, können zusätzliche Signaturen von beliebigen Nutzern hinzugefügt werden.

Einen experimentellen, in Rust geschriebenen validierenden Schlüsselserver namens Hagrid gibt es außerdem vom Sequoia-Projekt, allerdings betreibt hier bislang niemand eine öffentliche Installation.

Unklar, wie es weitergeht

Daniel Kahn Gillmor von der US-Bürgerrechtsorganisation ACLU hat inzwischen eine Reihe von Vorschlägen formuliert, wie robustere Schlüsselserver gestaltet werden können, ohne dabei auf die Validierung von E-Mail-Adressen zu setzen. Es handelt sich aber nur um grobe Ideen. Eine Implementierung gibt es bisher nicht.

Dass die bisherigen Schlüsselserver auf Basis von SKS keine Zukunft mehr haben, scheint festzustehen. Wie es weitergeht und ob es in Zukunft überhaupt noch PGP-Schlüsselserver gibt, ist allerdings bisher offen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Verschlüsselung: Ärger für die PGP-Keyserver
  1.  
  2. 1
  3. 2


torrbox 08. Apr 2019

Keys über Nextcloud syncen und auf dem jeweiligen Gerät importieren? Den Key bekommt man...

ConiKost 08. Apr 2019

Mein Schlüssel ist schon lange via Record bei mir gelistet. Bringt nur leider in der...

M.P. 08. Apr 2019

Web of trust Keyserver sind eine nette Einrichtung, aber bisher habe ich noch nie einen...



Aktuell auf der Startseite von Golem.de
Potential Motors
Winziges E-Offroad-Wohnmobil mit 450 kW vorgestellt

Potential Motors hat mit dem Adventure 1 ein kleines Offroad-Wohnmobil mit E-Motoren vorgestellt, die insgesamt 450 kW Leistung erbringen.

Potential Motors: Winziges E-Offroad-Wohnmobil mit 450 kW vorgestellt
Artikel
  1. Minority Report wird 20 Jahre alt: Die Zukunft wird immer gegenwärtiger
    Minority Report wird 20 Jahre alt
    Die Zukunft wird immer gegenwärtiger

    Minority Report zog aus, die Zukunft des Jahres 2054 vorherzusagen. 20 Jahre später scheint so manches noch prophetischer.
    Von Peter Osteried

  2. Luftfahrt: Wisk Aero zeigt autonomes Flugtaxi
    Luftfahrt
    Wisk Aero zeigt autonomes Flugtaxi

    Das senkrecht startende und landende Lufttaxi soll in fünf Jahren im regulären Einsatz sein.

  3. Gegen Agile Unlust: Macht es wie Bruce Lee
    Gegen Agile Unlust
    Macht es wie Bruce Lee

    Unser Autor macht seit vielen Jahren agile Projekte und kennt "agile Unlust". Er weiß, warum sie entsteht, und auch, wie man gegen sie ankommen kann.
    Ein Erfahrungsbericht von Marvin Engel

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindFactory (u. a. PowerColor RX 6700 XT Hellhound 489€, ASRock RX 6600 XT Challenger D OC 388€) • Kingston NV2 1TB (PS5) 72,99€ • be quiet! Silent Loop 2 240 99,90€ • Star Wars: Squadrons PS4a 5€ • Acer 24"-FHD/165 Hz 149€ + Cashback • PCGH-Ratgeber-PC 3000 Radeon Edition 2.500€ [Werbung]
    •  /