• IT-Karriere:
  • Services:

Vergiftete Schlüssel überlasten Keyserver

Fügt man mehrere große Nutzerkennungen an einen Key an, ist der Keyserver überlastet und kann diesen nicht mehr exportieren. Damit kann man einen Schlüssel vergiften und dafür sorgen, dass er von niemandem mehr abgerufen werden kann. Laut dem Fehlerbericht bei SKS hört ein Keyserver bei etwa 30 MByte auf, den Schlüssel zu exportieren. Solche und ähnliche Angriffsversuche haben zuletzt dazu geführt, dass die Schlüsselserver immer häufiger überlastet und für normale Nutzer nicht mehr erreichbar waren.

Stellenmarkt
  1. Bezirkskliniken Mittelfranken, Ansbach, Erlangen
  2. Universität Hamburg, Hamburg

Auf der Mailingliste des SKS-Projekts häufen sich die Problemberichte. Einzelne Betreiber von Schlüsselservern versuchen sich zu behelfen, indem sie Zugriffe auf solche vergifteten Schlüssel blockieren, doch eine Lösung ist das natürlich nicht. Hoffnung auf Abhilfe gibt es kaum, denn die SKS-Software wird nicht aktiv weiterentwickelt. Einige sprechen inzwischen davon, dass das Schlüsselserver-Netzwerk sterben wird.

Verschiedene Alternativen werden diskutiert. Häufiger verwiesen wird auf das Web-Key-Directory-Protokoll, das einen völlig anderen Ansatz hat. Hier werden Schlüssel auf der zu einer E-Mail-Adresse gehörenden Domain mittels HTTPS auf einer definierten URL bereitgestellt. Das funktioniert allerdings nur, wenn man in der Lage ist, dort etwas zu hosten. Bei großen Mailanbietern wie Gmail oder GMX ist so etwas bisher nicht vorgesehen.

Schlüsselserver mit Prüfung von Mailadressen

Denkbar sind auch Keyserver, die nicht jeden Schlüssel akzeptieren, sondern nur solche, deren Besitzer seine Mailadresse validiert hat. Es gibt bereits seit längerer Zeit das von Symantec betriebene PGP Global Directory. Allerdings ist der dahinterstehende Code nicht als freie Software verfügbar und der Service wird von der Community kaum genutzt.

Die Entwickler des Webmail-OpenPGP-Plugins Mailvelope betreiben ebenfalls einen Schlüsselserver, der E-Mail-Adressen validiert. Allerdings funktioniert der Angriff mit vergifteten Schlüsseln hier trotzdem, denn wenn dort ein Schlüssel einmal hochgeladen ist, können zusätzliche Signaturen von beliebigen Nutzern hinzugefügt werden.

Einen experimentellen, in Rust geschriebenen validierenden Schlüsselserver namens Hagrid gibt es außerdem vom Sequoia-Projekt, allerdings betreibt hier bislang niemand eine öffentliche Installation.

Unklar, wie es weitergeht

Daniel Kahn Gillmor von der US-Bürgerrechtsorganisation ACLU hat inzwischen eine Reihe von Vorschlägen formuliert, wie robustere Schlüsselserver gestaltet werden können, ohne dabei auf die Validierung von E-Mail-Adressen zu setzen. Es handelt sich aber nur um grobe Ideen. Eine Implementierung gibt es bisher nicht.

Dass die bisherigen Schlüsselserver auf Basis von SKS keine Zukunft mehr haben, scheint festzustehen. Wie es weitergeht und ob es in Zukunft überhaupt noch PGP-Schlüsselserver gibt, ist allerdings bisher offen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Verschlüsselung: Ärger für die PGP-Keyserver
  1.  
  2. 1
  3. 2


Anzeige
Spiele-Angebote
  1. 5,49€
  2. (u. a. Persona 4 Golden: Deluxe Edition für 14,99€, Alien: Isolation - The Collection für 9...
  3. 29,99€

torrbox 08. Apr 2019

Keys über Nextcloud syncen und auf dem jeweiligen Gerät importieren? Den Key bekommt man...

ConiKost 08. Apr 2019

Mein Schlüssel ist schon lange via Record bei mir gelistet. Bringt nur leider in der...

M.P. 08. Apr 2019

Web of trust Keyserver sind eine nette Einrichtung, aber bisher habe ich noch nie einen...


Folgen Sie uns
       


Xbox Series X und S - Fazit

Im Video zum Test der Xbox Series X und S zeigt Golem.de die Hardware und das Dashboard der Konsolen von Microsoft.

Xbox Series X und S - Fazit Video aufrufen
Samsung QLED 8K Q800T im Test: 8K im Fernseher reicht nicht aus
Samsung QLED 8K Q800T im Test
8K im Fernseher reicht nicht aus

Samsungs Q800T-Fernseher stellt viele Pixel auf einem großen Bildschirm dar. Der relativ preisgünstige Einstieg in 8K hat aber Schwächen.
Ein Test von Oliver Nickel

  1. Anzeige Angebote der Woche - Galaxy S21, Speichermedien und mehr
  2. Korea Samsung-Chef erneut wegen Korruption verurteilt
  3. Smartphone Samsung will künftig auf Netzteile verzichten

Biden und die IT-Konzerne: Die Zähmung der Widerspenstigen
Biden und die IT-Konzerne
Die Zähmung der Widerspenstigen

Bislang konnten sich IT-Konzerne wie Google und Facebook noch gegen eine schärfere Regulierung wehren. Das könnte sich unter Joe Biden ändern.
Eine Analyse von Friedhelm Greis

  1. Quibi Mobile-Streaming-Dienst nach einem halben Jahr dicht

Notebook-Displays: Tschüss 16:9, hallo 16:10!
Notebook-Displays
Tschüss 16:9, hallo 16:10!

Endlich schwenken die Laptop-Hersteller auf Displays mit mehr Pixeln in der Vertikalen um. Das war überfällig - ist aber noch nicht genug.
Ein IMHO von Marc Sauter

  1. Microsoft LTE-Laptops für Schüler kosten 200 US-Dollar
  2. Galaxy Book Flex2 5G Samsungs Notebook unterstützt S-Pen und 5G
  3. Expertbook B9 (B9400) Ultrabook von Asus nutzt Tiger Lake und Thunderbolt 4

    •  /