Abo
  • IT-Karriere:

Vergiftete Schlüssel überlasten Keyserver

Fügt man mehrere große Nutzerkennungen an einen Key an, ist der Keyserver überlastet und kann diesen nicht mehr exportieren. Damit kann man einen Schlüssel vergiften und dafür sorgen, dass er von niemandem mehr abgerufen werden kann. Laut dem Fehlerbericht bei SKS hört ein Keyserver bei etwa 30 MByte auf, den Schlüssel zu exportieren. Solche und ähnliche Angriffsversuche haben zuletzt dazu geführt, dass die Schlüsselserver immer häufiger überlastet und für normale Nutzer nicht mehr erreichbar waren.

Stellenmarkt
  1. Voith Group, Heidenheim an der Brenz, York (USA), Sao Paulo (Brasilien), Västerås (Schweden)
  2. LORENZ Life Sciences Group, Frankfurt am Main

Auf der Mailingliste des SKS-Projekts häufen sich die Problemberichte. Einzelne Betreiber von Schlüsselservern versuchen sich zu behelfen, indem sie Zugriffe auf solche vergifteten Schlüssel blockieren, doch eine Lösung ist das natürlich nicht. Hoffnung auf Abhilfe gibt es kaum, denn die SKS-Software wird nicht aktiv weiterentwickelt. Einige sprechen inzwischen davon, dass das Schlüsselserver-Netzwerk sterben wird.

Verschiedene Alternativen werden diskutiert. Häufiger verwiesen wird auf das Web-Key-Directory-Protokoll, das einen völlig anderen Ansatz hat. Hier werden Schlüssel auf der zu einer E-Mail-Adresse gehörenden Domain mittels HTTPS auf einer definierten URL bereitgestellt. Das funktioniert allerdings nur, wenn man in der Lage ist, dort etwas zu hosten. Bei großen Mailanbietern wie Gmail oder GMX ist so etwas bisher nicht vorgesehen.

Schlüsselserver mit Prüfung von Mailadressen

Denkbar sind auch Keyserver, die nicht jeden Schlüssel akzeptieren, sondern nur solche, deren Besitzer seine Mailadresse validiert hat. Es gibt bereits seit längerer Zeit das von Symantec betriebene PGP Global Directory. Allerdings ist der dahinterstehende Code nicht als freie Software verfügbar und der Service wird von der Community kaum genutzt.

Die Entwickler des Webmail-OpenPGP-Plugins Mailvelope betreiben ebenfalls einen Schlüsselserver, der E-Mail-Adressen validiert. Allerdings funktioniert der Angriff mit vergifteten Schlüsseln hier trotzdem, denn wenn dort ein Schlüssel einmal hochgeladen ist, können zusätzliche Signaturen von beliebigen Nutzern hinzugefügt werden.

Einen experimentellen, in Rust geschriebenen validierenden Schlüsselserver namens Hagrid gibt es außerdem vom Sequoia-Projekt, allerdings betreibt hier bislang niemand eine öffentliche Installation.

Unklar, wie es weitergeht

Daniel Kahn Gillmor von der US-Bürgerrechtsorganisation ACLU hat inzwischen eine Reihe von Vorschlägen formuliert, wie robustere Schlüsselserver gestaltet werden können, ohne dabei auf die Validierung von E-Mail-Adressen zu setzen. Es handelt sich aber nur um grobe Ideen. Eine Implementierung gibt es bisher nicht.

Dass die bisherigen Schlüsselserver auf Basis von SKS keine Zukunft mehr haben, scheint festzustehen. Wie es weitergeht und ob es in Zukunft überhaupt noch PGP-Schlüsselserver gibt, ist allerdings bisher offen.

 Verschlüsselung: Ärger für die PGP-Keyserver
  1.  
  2. 1
  3. 2


Anzeige
Top-Angebote
  1. 198,04€ + Versand mit Gutschein: NBBTUF15 (Vergleichspreis 232,90€ + Versand)
  2. (u. a. mit Spiele-Angeboten)

torrbox 08. Apr 2019

Keys über Nextcloud syncen und auf dem jeweiligen Gerät importieren? Den Key bekommt man...

ConiKost 08. Apr 2019

Mein Schlüssel ist schon lange via Record bei mir gelistet. Bringt nur leider in der...

M.P. 08. Apr 2019

Web of trust Keyserver sind eine nette Einrichtung, aber bisher habe ich noch nie einen...


Folgen Sie uns
       


Samsungs Monitor The Space - Test

Der Space-Monitor von Samsung ist ungewöhnlich: Er wird mit einer Schraubzwinge an die Tischkante geklemmt. Das spart tatsächlich viel Platz. Mit 32 Zoll Diagonale und 4K-Auflösung ist auch genug Platz für die tägliche Arbeit vorhanden.

Samsungs Monitor The Space - Test Video aufrufen
SEO: Der Google-Algorithmus benachteiligt Frauen
SEO
Der Google-Algorithmus benachteiligt Frauen

Websites von Frauen werden auf Google schlechter gerankt als die von Männern - und die deutsche Sprache ist schuld. Was lässt sich dagegen tun?
Von Kathi Grelck

  1. Google LED von Nest-Kameras lässt sich nicht mehr ausschalten
  2. FIDO Google führt Logins ohne Passwort ein
  3. Nachhaltigkeit 2022 sollen Google-Geräte Recycling-Kunststoff enthalten

Raspberry Pi 4B im Test: Nummer 4 lebt!
Raspberry Pi 4B im Test
Nummer 4 lebt!

Das Raspberry Pi kann endlich zur Konkurrenz aufschließen, aber richtig glücklich werden wir mit dem neuen Modell des Bastelrechners trotz bemerkenswerter Merkmale nicht.
Ein Test von Alexander Merz

  1. Eben Upton Raspberry-Pi-Initiator spielt USB-C-Fehler herunter
  2. 52PI Ice Tower Turmkühler für Raspberry Pi 4B halbiert Temperatur
  3. Kickstarter Lyra ist ein Gameboy Advance mit integriertem Raspberry Pi

Ryzen 5 3400G und Ryzen 3 3200G im Test: Picasso passt
Ryzen 5 3400G und Ryzen 3 3200G im Test
Picasso passt

Vier Zen-CPU-Kerne plus integrierte Vega-Grafikeinheit: Der Ryzen 5 3400G und der Ryzen 3 3200G sind zwar im Prinzip nur höher getaktete Chips, in ihrem Segment aber weiterhin konkurrenzlos. Das schnellere Modell hat jedoch trotz verlötetem Extra für Übertakter ein Preisproblem.
Ein Test von Marc Sauter

  1. Agesa 1003abb Viele ältere Platinen erhalten aktuelles UEFI für Ryzen 3000
  2. Ryzen 3000 Agesa 1003abb behebt RDRAND- und PCIe-Gen4-Bug
  3. Ryzen 5 3600(X) im Test Sechser-Pasch von AMD

    •  /