Original-URL des Artikels: https://www.golem.de/news/verschluesselung-aerger-fuer-die-pgp-keyserver-1904-140512.html    Veröffentlicht: 08.04.2019 14:00    Kurz-URL: https://glm.io/140512

Verschlüsselung

Ärger für die PGP-Keyserver

Die Schlüsselserver für PGP sind so ausgelegt, dass sie fast alles ungeprüft akzeptieren. Das führt zu zahlreichen Problemen, zuletzt wurden die Keyserver aufgrund von Angriffen mit vergifteten Schlüsseln immer unzuverlässiger.

Ein seit jeher wichtiger und oft schlecht verstandener Teil des PGP-Ökosystems sind die Schlüsselserver oder Keyserver. Dort kann jeder seinen öffentlichen PGP-Schlüssel hochladen und ihn damit anderen Nutzern zur Verfügung stellen. Auch kann er die Schlüssel anderer Nutzer signieren und die an einen öffentlichen Schlüssel angehängten Signaturen ebenfalls hochladen. Die Keyserver werden mit einer Software namens SKS betrieben und von zahlreichen Freiwilligen zur Verfügung gestellt. Zuletzt gab es einige Angriffe gegen einzelne Schlüssel auf den Keyservern, die schon lange bekannte Schwachpunkte ausnutzen.

Die Keyserver tauschen dabei untereinander ständig Daten aus. Sprich: Was auf einen Keyserver hochgeladen wird, landet einige Zeit später auch auf anderen Keyservern. Im Normalfall arbeiten die Keyserver so, dass Daten nur hochgeladen werden, aber nie gelöscht. Einen Schlüssel wieder zu entfernen, ist nicht vorgesehen. Ein Schlüssel kann allerdings durch eine angehängte Widerrufssignatur als ungültig markiert werden.

Server prüft hochgeladene Daten nicht

Wichtig zum Verständnis ist dabei, dass die Daten auf den Schlüsselservern nicht geprüft werden - und zwar weder kryptographisch noch inhaltlich. Wenn ein Schlüssel für alice@example.com ausgestellt ist, bedeutet das nicht, dass die Person mit der E-Mail-Adresse alice@example.com diesen Schlüssel erstellt hat. Jeder andere könnte einen solchen Schlüssel erstellen und hochladen.

Ob ein Schlüssel echt ist, muss auf anderem Wege geprüft werden. Die Idee dabei ist ein sogenanntes Web of Trust - jeder Nutzer kann dabei die Schlüssel anderer Nutzer signieren und bestätigt damit indirekt deren Echtheit. Die Schlüsselsignaturen können an andere Schlüssel angehängt und ebenfalls auf die Keyserver hochgeladen werden. Doch auch hier prüfen die Schlüsselserver nicht, ob die Signatur tatsächlich kryptographisch korrekt ist.

Dieses Konzept der Schlüsselserver führt zu einer Reihe von Problemen. Da es praktisch nicht vorgesehen ist, Daten wieder zu löschen, stellt sich schon die Frage, ob der Betrieb eines Schlüsselservers datenschutzrechtlich zulässig ist. Einzelne Keyserver wurden deshalb in der Vergangenheit schon abgeschaltet.

Doch das nahezu ungeprüfte Hinzufügen von neuen Daten führt auch zu möglichen Angriffsszenarien. Spekuliert wurde darüber schon häufiger, aber in jüngerer Zeit haben einzelne Personen verstärkt Angriffe praktisch ausprobiert. So ist es etwa möglich, an einen bestehenden Key eine zusätzliche Nutzerkennung anzuhängen, die so groß ist, dass GnuPG damit nicht mehr umgehen kann. Das führt effektiv dazu, dass man den Key nicht mehr vom Schlüsselserver herunterladen und mit GnuPG importieren kann.

Vergiftete Schlüssel überlasten Keyserver

Fügt man mehrere große Nutzerkennungen an einen Key an, ist der Keyserver überlastet und kann diesen nicht mehr exportieren. Damit kann man einen Schlüssel vergiften und dafür sorgen, dass er von niemandem mehr abgerufen werden kann. Laut dem Fehlerbericht bei SKS hört ein Keyserver bei etwa 30 MByte auf, den Schlüssel zu exportieren. Solche und ähnliche Angriffsversuche haben zuletzt dazu geführt, dass die Schlüsselserver immer häufiger überlastet und für normale Nutzer nicht mehr erreichbar waren.

Auf der Mailingliste des SKS-Projekts häufen sich die Problemberichte. Einzelne Betreiber von Schlüsselservern versuchen sich zu behelfen, indem sie Zugriffe auf solche vergifteten Schlüssel blockieren, doch eine Lösung ist das natürlich nicht. Hoffnung auf Abhilfe gibt es kaum, denn die SKS-Software wird nicht aktiv weiterentwickelt. Einige sprechen inzwischen davon, dass das Schlüsselserver-Netzwerk sterben wird.

Verschiedene Alternativen werden diskutiert. Häufiger verwiesen wird auf das Web-Key-Directory-Protokoll, das einen völlig anderen Ansatz hat. Hier werden Schlüssel auf der zu einer E-Mail-Adresse gehörenden Domain mittels HTTPS auf einer definierten URL bereitgestellt. Das funktioniert allerdings nur, wenn man in der Lage ist, dort etwas zu hosten. Bei großen Mailanbietern wie Gmail oder GMX ist so etwas bisher nicht vorgesehen.

Schlüsselserver mit Prüfung von Mailadressen

Denkbar sind auch Keyserver, die nicht jeden Schlüssel akzeptieren, sondern nur solche, deren Besitzer seine Mailadresse validiert hat. Es gibt bereits seit längerer Zeit das von Symantec betriebene PGP Global Directory. Allerdings ist der dahinterstehende Code nicht als freie Software verfügbar und der Service wird von der Community kaum genutzt.

Die Entwickler des Webmail-OpenPGP-Plugins Mailvelope betreiben ebenfalls einen Schlüsselserver, der E-Mail-Adressen validiert. Allerdings funktioniert der Angriff mit vergifteten Schlüsseln hier trotzdem, denn wenn dort ein Schlüssel einmal hochgeladen ist, können zusätzliche Signaturen von beliebigen Nutzern hinzugefügt werden.

Einen experimentellen, in Rust geschriebenen validierenden Schlüsselserver namens Hagrid gibt es außerdem vom Sequoia-Projekt, allerdings betreibt hier bislang niemand eine öffentliche Installation.

Unklar, wie es weitergeht

Daniel Kahn Gillmor von der US-Bürgerrechtsorganisation ACLU hat inzwischen eine Reihe von Vorschlägen formuliert, wie robustere Schlüsselserver gestaltet werden können, ohne dabei auf die Validierung von E-Mail-Adressen zu setzen. Es handelt sich aber nur um grobe Ideen. Eine Implementierung gibt es bisher nicht.

Dass die bisherigen Schlüsselserver auf Basis von SKS keine Zukunft mehr haben, scheint festzustehen. Wie es weitergeht und ob es in Zukunft überhaupt noch PGP-Schlüsselserver gibt, ist allerdings bisher offen.  (hab)


Verwandte Artikel:
E-Mail-Verschlüsselung: "90 Prozent des Enigmail-Codes sind von mir"   
(12.11.2018, https://glm.io/137612 )
Keyserver: Chaos mit doppelten PGP-Key-IDs   
(17.08.2016, https://glm.io/122733 )
Anwaltspostfach: Die unnötige Ende-zu-Mitte-Verschlüsselung von BeA   
(26.01.2018, https://glm.io/132394 )
Enigmail/Pep: Klartext-Mails trotz angeblicher Verschlüsselung   
(04.10.2018, https://glm.io/136931 )
Schweizer Ratgeber zur Privatkopie und Tauschbörsen   
(12.04.2007, https://glm.io/51634 )

© 1997–2020 Golem.de, https://www.golem.de/