Verschlüsselung: BSI verschickt privaten PGP-Schlüssel

Öffentliche und private Schlüssel haben offenbar auch das BSI verwirrt. Das hat einen privaten Schlüssel verschickt, allerdings mit Passwortschutz.

Eine Exklusivmeldung von veröffentlicht am
Ist es ein öffentlicher oder privater Schlüssel? Public-Key-Verschlüsselung ist verwirrend.
Ist es ein öffentlicher oder privater Schlüssel? Public-Key-Verschlüsselung ist verwirrend. (Bild: Hanno Böck)

Die Benutzung von Mailverschlüsselung mittels des OpenPGP-Standards gilt häufig als kompliziert, was einer der Gründe ist, warum sie sich bislang nicht in der Breite durchsetzen konnte. Verwirrend war dies offenbar auch für das Bundesamt für Sicherheit in der Informationstechnik (BSI): Das verschickte versehentlich einen privaten PGP-Schlüssel.

Stellenmarkt
  1. Chief Information Security Officer / CISO (m/f/d
    J.M. Voith SE & Co. KG, Heidenheim
  2. Consultant (m/w/d) MES
    J.M. Voith SE & Co. KG, Heidenheim an der Brenz
Detailsuche

Jemand hatte die Kontaktmailadresse des BSI für die Zulassung von Produkten um die Zusendung eines PGP-Schlüssels gebeten, um verschlüsselt mit der Behörde kommunizieren zu können. Als Antwort darauf erhielt die Person jedoch nicht, wie erwartet, einen öffentlichen, sondern einen privaten PGP-Schlüssel.

Das BSI bestätigte den Vorfall gegenüber Golem.de: "Tatsächlich ist es zu einem Versand einer Datei gekommen, die einen entsprechenden privaten Schlüssel enthielt."

Glück im Unglück: Ein hoffentlich sicheres Passwort

PGP-basierte Verschlüsselung funktioniert mit sogenannter Public-Key-Kryptographie. Dabei werden für Ver- und Entschlüsselung unterschiedliche Schlüssel verwendet. Den öffentlichen Schlüssel kann man an Kommunikationspartner schicken, die damit verschlüsseln können. Den privaten Schlüssel muss man für sich behalten, er dient zur Entschlüsselung.

Golem Akademie
  1. PowerShell Praxisworkshop: virtueller Vier-Tage-Workshop
    20.–23. Dezember 2021, virtuell
  2. Cloud Computing mit Amazon Web Services (AWS): virtueller Drei-Tage-Workshop
    14.–16. Februar 2022, virtuell
Weitere IT-Trainings

Glück im Unglück für das BSI: Der verschickte private Schlüssel war mit einem Passwort geschützt. Wie schwerwiegend der Vorfall zu bewerten ist, hängt daher davon ab, wie sicher das Passwort ist. Passwort-geschützte private Schlüssel lassen sich unter Umständen mit einem Brute-Force-Angriff knacken, das ist aber nur bei eher schwachen Passwörtern praktikabel möglich.

Das BSI teilte Golem.de mit, "dass der angesprochene Passwortschutz ein sehr hohes Niveau erfüllt. Darüber hinaus werden schutzbedürftige Anhänge zusätzlich mit Chiasmus verschlüsselt. Das BSI geht daher derzeit davon aus, dass keine konkrete Gefährdung der Informationssicherheit besteht."

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

BSI nutzte Schlüssel noch Monate nach dem Vorfall

Zunächst wurde der Vorfall beim BSI nicht ernst genommen. Die Person, der der Schlüssel zugeschickt wurde, informierte die Behörde danach umgehend. Doch das BSI nutzte den Schlüssel noch für mehrere Monate weiter.

Erst eine Anfrage von Golem.de an die Pressestelle des BSI führte dazu, dass der Schlüssel ersetzt wurde. "Es wurde umgehend ein neuer PGP-Schlüssel für das genannte Mail-Postfach erzeugt", antwortete das BSI. "Der zugehörige Public Key und ein Revocation Certificate für den alten PGP-Schlüssel werden nun sukzessive an die jeweiligen Ansprechpartner verteilt."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Poweruser3000 16. Nov 2021 / Themenstart

Das geht leider so weit, dass Curve25519 (ein ECC Algo) immer noch im RFC Draft für...

yumiko 16. Nov 2021 / Themenstart

Wer hätte gedacht dass die beim BSI Fans von XKCD sind :D

stan__lemur 16. Nov 2021 / Themenstart

So funktioniert PGP (und generell private/public Key-Verfahren) nicht. 1. der private...

Termuellinator 16. Nov 2021 / Themenstart

Genau das ist der Punkt. Fehler machen ist das eine - das kann jedem passieren. (Auch...

corruption 16. Nov 2021 / Themenstart

Chiasmus ist die proprietäre Chiffre aus Deutschland: https://en.wikipedia.org/wiki...

Kommentieren



Aktuell auf der Startseite von Golem.de
Resident Evil (1996)
Grauenhaft gut

Resident Evil zeigte vor 25 Jahren, wie Horror im Videospiel auszusehen hat. Wir schauen uns den Klassiker im Golem retro_ an.

Resident Evil (1996): Grauenhaft gut
Artikel
  1. Streaming: Chromecast erhält spezielle Youtube-Fernbedienung
    Streaming
    Chromecast erhält spezielle Youtube-Fernbedienung

    Die Steuerung von Youtube auf einem Chromecast soll mit einer neuen Funktion deutlich komfortabler werden.

  2. Studie: Kinder erhalten Smartphone meist zwischen 6 und 11 Jahren
    Studie
    Kinder erhalten Smartphone meist zwischen 6 und 11 Jahren

    Nur eine sehr geringe Minderheit der Eltern will ihrem Kind erst mit 15 Jahren ein Smartphone zur Verfügung stellen.

  3. Google: Kopfhörer verlieren Google-Assistant-Support auf iPhones
    Google
    Kopfhörer verlieren Google-Assistant-Support auf iPhones

    Wer Google Assistant am Kopfhörer benutzen will, ist künftig auf ein Android-Gerät angewiesen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Saturn-Advent: Samsung Portable SSD T5 1 TB 84€ • ViewSonic VX2718-2KPC-MHD (WQHD, 165 Hz) 229€ • EPOS Sennheiser GSP 670 199€ • EK Water Blocks Elite Aurum 360 D-RGB All in One 205,89€ • KFA2 Geforce RTX 3070 OC 8 GB 1.019€ • Alternate (u. a. AKRacing Core SX 269,98€) [Werbung]
    •  /