Verschlüsselung: BSI verschickt privaten PGP-Schlüssel

Öffentliche und private Schlüssel haben offenbar auch das BSI verwirrt. Das hat einen privaten Schlüssel verschickt, allerdings mit Passwortschutz.

Eine Exklusivmeldung von veröffentlicht am
Ist es ein öffentlicher oder privater Schlüssel? Public-Key-Verschlüsselung ist verwirrend.
Ist es ein öffentlicher oder privater Schlüssel? Public-Key-Verschlüsselung ist verwirrend. (Bild: Hanno Böck)

Die Benutzung von Mailverschlüsselung mittels des OpenPGP-Standards gilt häufig als kompliziert, was einer der Gründe ist, warum sie sich bislang nicht in der Breite durchsetzen konnte. Verwirrend war dies offenbar auch für das Bundesamt für Sicherheit in der Informationstechnik (BSI): Das verschickte versehentlich einen privaten PGP-Schlüssel.

Stellenmarkt
  1. Leiter*in der Abteilung IT-Entwicklung
    Deutsche Gesellschaft für Internationale Zusammenarbeit (GIZ) GmbH, Eschborn
  2. IT Product Manager (m/w/d) Identity und Access Management (IAM)
    Porsche AG, Zuffenhausen
Detailsuche

Jemand hatte die Kontaktmailadresse des BSI für die Zulassung von Produkten um die Zusendung eines PGP-Schlüssels gebeten, um verschlüsselt mit der Behörde kommunizieren zu können. Als Antwort darauf erhielt die Person jedoch nicht, wie erwartet, einen öffentlichen, sondern einen privaten PGP-Schlüssel.

Das BSI bestätigte den Vorfall gegenüber Golem.de: "Tatsächlich ist es zu einem Versand einer Datei gekommen, die einen entsprechenden privaten Schlüssel enthielt."

Glück im Unglück: Ein hoffentlich sicheres Passwort

PGP-basierte Verschlüsselung funktioniert mit sogenannter Public-Key-Kryptographie. Dabei werden für Ver- und Entschlüsselung unterschiedliche Schlüssel verwendet. Den öffentlichen Schlüssel kann man an Kommunikationspartner schicken, die damit verschlüsseln können. Den privaten Schlüssel muss man für sich behalten, er dient zur Entschlüsselung.

Golem Karrierewelt
  1. Adobe Premiere Pro Aufbaukurs: virtueller Zwei-Tage-Workshop
    26./27.01.2023, Virtuell
  2. Grundlagen für Virtual Reality mit Unreal Engine: virtueller Drei-Tage-Workshop
    05.-07.12.2022, Virtuell
Weitere IT-Trainings

Glück im Unglück für das BSI: Der verschickte private Schlüssel war mit einem Passwort geschützt. Wie schwerwiegend der Vorfall zu bewerten ist, hängt daher davon ab, wie sicher das Passwort ist. Passwort-geschützte private Schlüssel lassen sich unter Umständen mit einem Brute-Force-Angriff knacken, das ist aber nur bei eher schwachen Passwörtern praktikabel möglich.

Das BSI teilte Golem.de mit, "dass der angesprochene Passwortschutz ein sehr hohes Niveau erfüllt. Darüber hinaus werden schutzbedürftige Anhänge zusätzlich mit Chiasmus verschlüsselt. Das BSI geht daher derzeit davon aus, dass keine konkrete Gefährdung der Informationssicherheit besteht."

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

BSI nutzte Schlüssel noch Monate nach dem Vorfall

Zunächst wurde der Vorfall beim BSI nicht ernst genommen. Die Person, der der Schlüssel zugeschickt wurde, informierte die Behörde danach umgehend. Doch das BSI nutzte den Schlüssel noch für mehrere Monate weiter.

Erst eine Anfrage von Golem.de an die Pressestelle des BSI führte dazu, dass der Schlüssel ersetzt wurde. "Es wurde umgehend ein neuer PGP-Schlüssel für das genannte Mail-Postfach erzeugt", antwortete das BSI. "Der zugehörige Public Key und ein Revocation Certificate für den alten PGP-Schlüssel werden nun sukzessive an die jeweiligen Ansprechpartner verteilt."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Poweruser3000 16. Nov 2021

Das geht leider so weit, dass Curve25519 (ein ECC Algo) immer noch im RFC Draft für...

yumiko 16. Nov 2021

Wer hätte gedacht dass die beim BSI Fans von XKCD sind :D

stan__lemur 16. Nov 2021

So funktioniert PGP (und generell private/public Key-Verfahren) nicht. 1. der private...

Termuellinator 16. Nov 2021

Genau das ist der Punkt. Fehler machen ist das eine - das kann jedem passieren. (Auch...



Aktuell auf der Startseite von Golem.de
Windows on ARM
Mit einem Arm in der Entwicklungshölle

Eine Entwicklungsoffensive soll die Probleme von ARM-Laptops endlich lösen. Windows on ARM, Linux-Support und die CPUs zeigen dabei aber noch deutliche Schwächen.
Von Sebastian Grüner

Windows on ARM: Mit einem Arm in der Entwicklungshölle
Artikel
  1. Kraftfahrt-Bundesamt: Elektrischer Corsa sollte zur Abgasuntersuchung
    Kraftfahrt-Bundesamt
    Elektrischer Corsa sollte zur Abgasuntersuchung

    Das Kraftfahrt-Bundesamt ruft den Opel Corsa samt der Elektro-Variante zurück, weil ein Softwarefehler im Auto eine Messung verhindert.

  2. GDDR6W: Samsung packt doppelte Menge Speicherchips in Module
    GDDR6W
    Samsung packt doppelte Menge Speicherchips in Module

    Weniger Speichermodule bei gleicher Bandbreite und Kapazität: Modernes Packaging vereint zwei GDDR6-Module zu einem.

  3. Mediatek und Bullitt: Smartphone mit Satelliten-Nachrichtenübertragung kommt 2023
    Mediatek und Bullitt
    Smartphone mit Satelliten-Nachrichtenübertragung kommt 2023

    Das neue Smartphone von Bullitt und Mediatek soll eine nahtlose Satelliten-Nachrichtenübertragung ermöglichen, wenn keine Netzverbindung besteht.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 bei Amazon bestellbar • Tiefstpreise: Crucial SSD 4TB 319€, Palit RTX 4080 1.499€, HTC Vive Pro 2 659€ • Alternate: Team Group SSD 512GB 29,99€, AOC Curved 27" 240 Hz 199,90€ • Samsung Cyber Week • Top-TVs (2022) LG & Samsung über 40% günstiger • AOC Curved 34" WQHD 389€ [Werbung]
    •  /