• IT-Karriere:
  • Services:

Verschlüsselung: Ärger für die PGP-Keyserver

Die Schlüsselserver für PGP sind so ausgelegt, dass sie fast alles ungeprüft akzeptieren. Das führt zu zahlreichen Problemen, zuletzt wurden die Keyserver aufgrund von Angriffen mit vergifteten Schlüsseln immer unzuverlässiger.

Ein Bericht von Hanno Böck veröffentlicht am
PGP-Schlüsselserver speichern alle PGP-Schlüssel - und alles, was dranhängt - für unbegrenzte Zeit.
PGP-Schlüsselserver speichern alle PGP-Schlüssel - und alles, was dranhängt - für unbegrenzte Zeit. (Bild: dontworry/Wikimedia Commons/CC-BY-SA 3.0)

Ein seit jeher wichtiger und oft schlecht verstandener Teil des PGP-Ökosystems sind die Schlüsselserver oder Keyserver. Dort kann jeder seinen öffentlichen PGP-Schlüssel hochladen und ihn damit anderen Nutzern zur Verfügung stellen. Auch kann er die Schlüssel anderer Nutzer signieren und die an einen öffentlichen Schlüssel angehängten Signaturen ebenfalls hochladen. Die Keyserver werden mit einer Software namens SKS betrieben und von zahlreichen Freiwilligen zur Verfügung gestellt. Zuletzt gab es einige Angriffe gegen einzelne Schlüssel auf den Keyservern, die schon lange bekannte Schwachpunkte ausnutzen.

Inhalt:
  1. Verschlüsselung: Ärger für die PGP-Keyserver
  2. Vergiftete Schlüssel überlasten Keyserver

Die Keyserver tauschen dabei untereinander ständig Daten aus. Sprich: Was auf einen Keyserver hochgeladen wird, landet einige Zeit später auch auf anderen Keyservern. Im Normalfall arbeiten die Keyserver so, dass Daten nur hochgeladen werden, aber nie gelöscht. Einen Schlüssel wieder zu entfernen, ist nicht vorgesehen. Ein Schlüssel kann allerdings durch eine angehängte Widerrufssignatur als ungültig markiert werden.

Server prüft hochgeladene Daten nicht

Wichtig zum Verständnis ist dabei, dass die Daten auf den Schlüsselservern nicht geprüft werden - und zwar weder kryptographisch noch inhaltlich. Wenn ein Schlüssel für alice@example.com ausgestellt ist, bedeutet das nicht, dass die Person mit der E-Mail-Adresse alice@example.com diesen Schlüssel erstellt hat. Jeder andere könnte einen solchen Schlüssel erstellen und hochladen.

Ob ein Schlüssel echt ist, muss auf anderem Wege geprüft werden. Die Idee dabei ist ein sogenanntes Web of Trust - jeder Nutzer kann dabei die Schlüssel anderer Nutzer signieren und bestätigt damit indirekt deren Echtheit. Die Schlüsselsignaturen können an andere Schlüssel angehängt und ebenfalls auf die Keyserver hochgeladen werden. Doch auch hier prüfen die Schlüsselserver nicht, ob die Signatur tatsächlich kryptographisch korrekt ist.

Stellenmarkt
  1. Rational AG, Landsberg am Lech
  2. Deutsche Rentenversicherung Bund, Berlin

Dieses Konzept der Schlüsselserver führt zu einer Reihe von Problemen. Da es praktisch nicht vorgesehen ist, Daten wieder zu löschen, stellt sich schon die Frage, ob der Betrieb eines Schlüsselservers datenschutzrechtlich zulässig ist. Einzelne Keyserver wurden deshalb in der Vergangenheit schon abgeschaltet.

Doch das nahezu ungeprüfte Hinzufügen von neuen Daten führt auch zu möglichen Angriffsszenarien. Spekuliert wurde darüber schon häufiger, aber in jüngerer Zeit haben einzelne Personen verstärkt Angriffe praktisch ausprobiert. So ist es etwa möglich, an einen bestehenden Key eine zusätzliche Nutzerkennung anzuhängen, die so groß ist, dass GnuPG damit nicht mehr umgehen kann. Das führt effektiv dazu, dass man den Key nicht mehr vom Schlüsselserver herunterladen und mit GnuPG importieren kann.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Vergiftete Schlüssel überlasten Keyserver 
  1. 1
  2. 2
  3.  


Anzeige
Top-Angebote
  1. (u. a. Nintendo Switch 270,00€, Gigabyte GeForce RTX 2070 Super Gaming OC für 479,00€, Zotac...
  2. 59,99€ (PC)/ 69,99€ (PS4, Xbox) - Release am 20. März
  3. 68,90€
  4. (aktuell u. a. Emtec X150 Power Plus SSD 480 GB für 52,90€, Apacer AS340 120 GB SSD für 18...

torrbox 08. Apr 2019

Keys über Nextcloud syncen und auf dem jeweiligen Gerät importieren? Den Key bekommt man...

ConiKost 08. Apr 2019

Mein Schlüssel ist schon lange via Record bei mir gelistet. Bringt nur leider in der...

M.P. 08. Apr 2019

Web of trust Keyserver sind eine nette Einrichtung, aber bisher habe ich noch nie einen...


Folgen Sie uns
       


Asus Expertbook B9 - Hands on (CES 2020)

Das Expertbook B9 von Asus ist ein sehr leichtes, leistungsfähiges Business-Notebook. Im ersten Kurztest macht das Gerät einen guten Eindruck.

Asus Expertbook B9 - Hands on (CES 2020) Video aufrufen
Ryzen Mobile 4000 (Renoir): Lasst die Ära der schrottigen AMD-Notebooks enden!
Ryzen Mobile 4000 (Renoir)
Lasst die Ära der schrottigen AMD-Notebooks enden!

Seit vielen Jahren gibt es kaum Premium-Geräte mit AMD-Chips und selbst bei vermeintlich identischer Ausstattung fehlen Eigenschaften wie eine beleuchtete Tastatur oder Thunderbolt 3. Schluss damit!
Ein IMHO von Marc Sauter

  1. HEDT-Prozessor 64-kerniger Threadripper schlägt 20.000-Dollar-Xeons
  2. Ryzen Mobile 4000 AMDs Renoir hat acht 7-nm-Kerne für Ultrabooks
  3. Zen+ AMD verkauft Ryzen 5 1600 mit flotteren CPU-Kernen

Kaufberatung (2020): Die richtige CPU und Grafikkarte
Kaufberatung (2020)
Die richtige CPU und Grafikkarte

Grafikkarten und Prozessoren wurden 2019 deutlich besser, denn AMD ist komplett auf 7-nm-Technik umgestiegen. Intel hat zwar 10-nm-Chips marktreif, die Leistung stagniert aber und auch Nvidia verkauft nur 12-nm-Designs. Wir beraten bei Komponenten und geben einen Ausblick.
Von Marc Sauter

  1. SSDs Intel arbeitet an 144-Schicht-Speicher und 5-Bit-Zellen
  2. Schnittstelle PCIe Gen6 verdoppelt erneut Datenrate

Kailh-Box-Switches im Test: Besser und lauter geht ein klickender Switch kaum
Kailh-Box-Switches im Test
Besser und lauter geht ein klickender Switch kaum

Wer klickende Tastatur-Switches mag, wird die dunkelblauen Kailh-Box-Schalter lieben: Eine eingebaute Stahlfeder sorgt für zwei satte Klicks pro Anschlag. Im Test merken unsere Finger aber schnell den hohen taktilen Widerstand.
Ein Test von Tobias Költzsch

  1. Keychron K6 Kompakte drahtlose Tastatur mit austauschbaren Switches
  2. Charachorder Schneller tippen als die Tastatur erlaubt
  3. Brydge+ iPad-Tastatur mit Multi-Touch-Trackpad

    •  /