Original-URL des Artikels: https://www.golem.de/0311/28696.html    Veröffentlicht: 27.11.2003 10:49    Kurz-URL: https://glm.io/28696

Sicherheitslücke in Verschlüsselungssoftware GnuPG

Mit GnuPG erzeugte ElGamal-Schlüssel sind kompromittierbar

Die freie Verschlüsselungssoftware GnuPG enthält eine schwere Sicherheitslücke, die es erlaubt, mit ihr generierte ElGamal-Schlüssel zu kompromittieren. Die Sicherheitslücke ermöglicht es, entsprechende Schlüssel in Sekunden zu knacken, warnt Entwickler Werner Koch, der zugleich einen entsprechenden Patch veröffentlichte.

Nutzer von ElGamal-Schlüsseln sollten diese umgehend zurückrufen, so Koch. Er weist aber darauf hin, dass die standardmäßig mit GnuPG unter Verwendung von DSA und ElGamal sowie RSA generierten Schlüssel nicht betroffen sind. Die gefährdeten Schlüssel lassen sich mit GnuPG nur unter Verwendung einer bestimmten Einstellung und dem Übergehen einer entsprechenden Warnung erzeugen.

Auch wenn er schon länger von der Nutzung von ElGamal-Schlüsseln zum Signieren abrät, würden auch heute noch rund 200 Schlüssel pro Jahr auf Keyserver hochgeladen werden, so Koch. Die Verschlüsselung mit ElGamal-Schlüsseln hingegen ist von den aktuellen Problemen ebenfalls nicht betroffen.

Zur Abhilfe rät Koch wiederholt von der Benutzung von ElGamals-Schlüsseln zum Signieren und Verschlüsseln (Type 20) ab. In kommenden GnuPG-Versionen soll zudem die Möglichkeit, solche Schlüssel zu erzeugen und mit ihnen zu signieren, ganz abgeschaltet werden.  (ji)


Verwandte Artikel:
GnuPG 1.2.0 erschienen   
(23.09.2002, https://glm.io/21782 )
E-Mail-Verschlüsselungsprogramm GnuPP 1.1 vorgestellt   
(18.03.2002, https://glm.io/18878 )
MS Outlook-PlugIn für GNU Privacy Guard (GnuPG)   
(27.07.2001, https://glm.io/15076 )

Links zum Artikel:
GnuPG (.org): http://www.gnupg.org/

© 1997–2019 Golem.de, https://www.golem.de/