Verschlüsselung: BSI verschickt privaten PGP-Schlüssel

Öffentliche und private Schlüssel haben offenbar auch das BSI verwirrt. Das hat einen privaten Schlüssel verschickt, allerdings mit Passwortschutz.

Eine Exklusivmeldung von veröffentlicht am
Ist es ein öffentlicher oder privater Schlüssel? Public-Key-Verschlüsselung ist verwirrend.
Ist es ein öffentlicher oder privater Schlüssel? Public-Key-Verschlüsselung ist verwirrend. (Bild: Hanno Böck)

Die Benutzung von Mailverschlüsselung mittels des OpenPGP-Standards gilt häufig als kompliziert, was einer der Gründe ist, warum sie sich bislang nicht in der Breite durchsetzen konnte. Verwirrend war dies offenbar auch für das Bundesamt für Sicherheit in der Informationstechnik (BSI): Das verschickte versehentlich einen privaten PGP-Schlüssel.

Stellenmarkt
  1. Backend Developer (f/m/d)
    HEINE Optotechnik GmbH & Co. KG, Weimar, Gilching, remote
  2. Software Developer Frontend (m/f/d)
    Advantest Europe GmbH, Duisburg
Detailsuche

Jemand hatte die Kontaktmailadresse des BSI für die Zulassung von Produkten um die Zusendung eines PGP-Schlüssels gebeten, um verschlüsselt mit der Behörde kommunizieren zu können. Als Antwort darauf erhielt die Person jedoch nicht, wie erwartet, einen öffentlichen, sondern einen privaten PGP-Schlüssel.

Das BSI bestätigte den Vorfall gegenüber Golem.de: "Tatsächlich ist es zu einem Versand einer Datei gekommen, die einen entsprechenden privaten Schlüssel enthielt."

Glück im Unglück: Ein hoffentlich sicheres Passwort

PGP-basierte Verschlüsselung funktioniert mit sogenannter Public-Key-Kryptographie. Dabei werden für Ver- und Entschlüsselung unterschiedliche Schlüssel verwendet. Den öffentlichen Schlüssel kann man an Kommunikationspartner schicken, die damit verschlüsseln können. Den privaten Schlüssel muss man für sich behalten, er dient zur Entschlüsselung.

Golem Akademie
  1. C++ Programmierung Basics: virtueller Fünf-Tage-Workshop
    13.–17. Dezember 2021, virtuell
  2. Hands-on C# Programmierung: virtueller Zwei-Tage-Workshop
    12.–13. Januar 2022, virtuell
Weitere IT-Trainings

Glück im Unglück für das BSI: Der verschickte private Schlüssel war mit einem Passwort geschützt. Wie schwerwiegend der Vorfall zu bewerten ist, hängt daher davon ab, wie sicher das Passwort ist. Passwort-geschützte private Schlüssel lassen sich unter Umständen mit einem Brute-Force-Angriff knacken, das ist aber nur bei eher schwachen Passwörtern praktikabel möglich.

Das BSI teilte Golem.de mit, "dass der angesprochene Passwortschutz ein sehr hohes Niveau erfüllt. Darüber hinaus werden schutzbedürftige Anhänge zusätzlich mit Chiasmus verschlüsselt. Das BSI geht daher derzeit davon aus, dass keine konkrete Gefährdung der Informationssicherheit besteht."

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

BSI nutzte Schlüssel noch Monate nach dem Vorfall

Zunächst wurde der Vorfall beim BSI nicht ernst genommen. Die Person, der der Schlüssel zugeschickt wurde, informierte die Behörde danach umgehend. Doch das BSI nutzte den Schlüssel noch für mehrere Monate weiter.

Erst eine Anfrage von Golem.de an die Pressestelle des BSI führte dazu, dass der Schlüssel ersetzt wurde. "Es wurde umgehend ein neuer PGP-Schlüssel für das genannte Mail-Postfach erzeugt", antwortete das BSI. "Der zugehörige Public Key und ein Revocation Certificate für den alten PGP-Schlüssel werden nun sukzessive an die jeweiligen Ansprechpartner verteilt."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Poweruser3000 16. Nov 2021 / Themenstart

Das geht leider so weit, dass Curve25519 (ein ECC Algo) immer noch im RFC Draft für...

yumiko 16. Nov 2021 / Themenstart

Wer hätte gedacht dass die beim BSI Fans von XKCD sind :D

stan__lemur 16. Nov 2021 / Themenstart

So funktioniert PGP (und generell private/public Key-Verfahren) nicht. 1. der private...

Termuellinator 16. Nov 2021 / Themenstart

Genau das ist der Punkt. Fehler machen ist das eine - das kann jedem passieren. (Auch...

corruption 16. Nov 2021 / Themenstart

Chiasmus ist die proprietäre Chiffre aus Deutschland: https://en.wikipedia.org/wiki...

Kommentieren



Aktuell auf der Startseite von Golem.de
Cloud-Ausfall
Eine AWS-Region als Single Point of Failure

Ein stundenlanger Ausfall der AWS-Cloud legte zentrale Dienste und sogar Amazon selbst teilweise lahm. Das zeigt die Grenzen der Cloud-Versprechen.
Ein Bericht von Sebastian Grüner

Cloud-Ausfall: Eine AWS-Region als Single Point of Failure
Artikel
  1. Ampelkoalition: Das Verkehrsministerium wird zum Digitalministerium
    Ampelkoalition
    Das Verkehrsministerium wird zum Digitalministerium

    Aus dem geplanten Ministerium für Verkehr und Digitales wird ein Ministerium für Digitales und Verkehr. Minister Wissing erhält zusätzliche Kompetenzen.

  2. Bundesnetzagentur: 30 Messungen an drei unterschiedlichen Kalendertagen
    Bundesnetzagentur
    30 Messungen an drei unterschiedlichen Kalendertagen

    Die Bundesnetzagentur hat festgelegt, wann der Netzbetreiber/Provider den Vertrag nicht erfüllt. Es muss viel gemessen werden.

  3. Euro NCAP: Renault Zoe mit katastrophalem Crash-Ergebnis
    Euro NCAP
    Renault Zoe mit katastrophalem Crash-Ergebnis

    Mit dem Renault Zoe sollte man keinen Unfall bauen. Im Euro-NCAP-Crashtest erhielt das Elektroauto null Sterne.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Acer-Monitore zu Bestpreisen (u. a. 27" FHD 165Hz OC 199€) • Kingston PCIe-SSD 1TB 69,90€ & 2TB 174,90€ • Samsung Smartphones & Watches günstiger • Saturn: Xiaomi Redmi Note 9 Pro 128GB 199€ • Alternate (u. a. Razer Opus Headset 69,99€) • Release: Halo Infinite 68,99€ [Werbung]
    •  /