Haufenweise Fake-PGP-Schlüssel im Umlauf
Unbekannte haben gefälschte PGP-Schlüssel auf öffentliche Key-Server hochgeladen. Darunter waren auch Fake-Keys des Linux-Entwicklers Linus Torvalds und der c’t Kryptokampagne.
Auf öffentlichen PGP-Schlüssel-Servern sind zahlreiche gefälschte Schlüssel aufgetaucht, die die gleiche ID wie bereits existierende Schlüssel aufweisen. Unter anderem sind so gefälschte Keys von Linux-Entwicklern wie Linus Torvalds und Greg Kroah-Hartman in Umlauf gekommen. Auch für viele Heise-Mail-Adressen finden sich gefälschte Schlüssel auf den Keyservern. Deren Betreiber arbeiten jedoch bereits an vorbeugenden Maßnahmen.
Die geklonten Schlüsseln gleichen den echten (fast) wie ein Ei dem anderen: Name, E-Mail-Adresse und die ID sind identisch. Die ID sollte eigentlich eindeutig sein. Doch seit langem ist bekannt, dass dafür 32 Bit zu wenig sind. So haben Sicherheitsforscher bereits 2014 mit ihrem Tool Scallion Kollisionen provoziert; auf ihrer Webseite Evil 32 erläutern die Entwickler Eric Swanson und Richard Klafter, dass ein derartiger Klon-Vorgang lediglich vier Sekunden dauert.
Als Demonstration der Gefahr haben sie damit Schlüssel für über 50.000 PGP-IDs des sogenannten PGP Strong-Sets erstellt. In diesem befinden sich sehr gut vernetzte Schlüssel, deren Echtheit viele hochwertige Unterschriften bestätigen. Und genau diese Schlüssel hat jetzt offenbar ein Unbekannter auf die offiziellen PGP-Keyserver hochgeladen.
Falsche Unterschriften auf PGP-Schlüsseln
Die gefälschten Schlüssel sind deshalb besonders heimtückisch, weil sie sogar die gleichen Unterschriften tragen wie die Originale. Selbstverständlich sind diese Unterschriften ebenfalls gefälscht – und zwar mit den Klonen der Unterschreiber-Schlüssel. Der gefälschte Schlüssel der c’t-Kryptokampagne etwa trägt über 100 solcher Klon-Unterschriften.
Derartige Klone kann man über den Fingerprint entlarven. Das Problem: Diese Fingerprints sind sehr lang, unhandlich und für die (menschliche) Kommunikation kaum geeignet. Als Kompromiss kann man für einfache Verwaltungsaufgaben auch die von PGP ebenfalls unterstützten langen IDs mit 64 Bit verwenden. So hat der gefälschte Schlüssel der c’t-Kryptomapagne die ID 0x91944162daffb000
; dies hingegen sind die Eckdaten des echten (die Sie übrigens absolut fälschungssicher auch im Impressum jeder c’t-Ausgabe finden):
ct magazine CERTIFICATE <pgpCA@ct.heise.de> 32-Bit-ID: DAFF B000 64-Bit-ID: 2BAE 3CF6 DAFF B000 Fingerprint: A3B5 24C2 01A0 D0F2 355E 5D1F 2BAE 3CF6 DAFF B000
Bevor man einem Schlüssel vertraut, sollte man immer den kompletten Fingerprint checken; das ist zwar etwas Arbeit, schützt aber zuverlässig vor Fälschungen. Man findet ihn in den Eigenschaften des Schlüssels oder mit dem Kommandozeilenbefehl gpg --fingerprint
Fake-Schlüssel bereits ungültig
Um weiteren Missbrauch zu verhindern, haben die ursprünglichen Ersteller der Klon-Keys diese jetzt für ungültig erklärt. Swanson et al befinden sich offenbar noch im Besitz der geheimen Schlüssel, mit denen sie die dazu erforderlichen Widerrufs-Zertifikate ausstellen konnten. Außerdem haben die Betreiber der Keyserver dafür gesorgt, dass die Fake-Keys bei einer Suche nicht mehr auftauchen.
Quelle: http://heise.de/-3297175
Suche
Kategorien
- Brexit: IT-Branche bedauert Austritt der Briten aus der EU Freitag, 24. Juni 2016
- Google veröffentlicht Riesen-Patch-Paket für Android Freitag, 20. Januar 2017
- AVM entweicht geheimer FritzBox-Schlüssel Sonntag, 13. November 2016
- Erpressungs-Trojaner: Neue Locky-Welle infiziert Computer Freitag, 24. Juni 2016
- Upgrade auf Windows 10: Drückermethode wird noch aggressiver Dienstag, 31. Mai 2016
- Neue Zertifizierungen Montag, 28. Dezember 2020
- Auch über die Feiertage für Sie erreichbar Dienstag, 15. Dezember 2020
- Schöne Feiertage und einen guten Rutsch! Sonntag, 22. Dezember 2019
- Chaos bei Oktober-Updates für Windows und Internet Explorer Dienstag, 8. Oktober 2019
- Jetzt patchen! Exploit-Code für RDP-Lücke BlueKeep in Windows gesichtet Donnerstag, 23. Mai 2019
- Fahed Fatnassi: Das Gerät vereint einen leistungsst... Mittwoch, 17. August 2016
- Ralf Küpper: geiles Bild aber die Speaker sind s... Mittwoch, 17. August 2016
- Detlef: Professionelle Beratung. Man nahm s... Mittwoch, 17. August 2016
- netzwerkstudio: Hochwertig verarbeitet, modular und... Mittwoch, 17. August 2016
- netzwerkstudio: Hervorragende Verarbeitung, sehr mo... Mittwoch, 17. August 2016