Suche nach manipulierten PGP-Schlüsseln
Das gestern bekannt gewordene Sicherheitsloch in Pretty Good Privacy [PGP], das als Quasi-Standard im Internet und Referenz für sichere Verschlüsselungsprogramme gilt, sieht nur auf den ersten Blick relativ harmlos aus.
Wenn man bedenkt, dass es vor allem dort, wo PGP wirklich gebraucht und verwendet wird - nämlich in Banken, Hi-Tech-Unternehmen, Ministerien - gefährlich wird, ist das schon weniger beruhigend.
Die Tatsache, dass dieses Sicherheitsloch seit gut zwei Jahren existiert, dürfte so manchem Geheimnisträger in der Nacht auf heute zu Schlaflosigkeit verholfen haben.
Wie ernst das Sicherheitsloch zu nehmen ist, zeigt sich daran, dass Phil Zimmermann angeordnet hat, einen Patch auf dem offiziellen Keyserver zu installieren. Ausgefiltert werden sollen manipulierte Schlüssel mit "bogus ADK packets", von denen ganz offensichtlich welche in Umlauf sind.
Der Additional Decryption Key ...
Die auf den Einsatz im Businessbereich konzipierten Versionen PGP
5.5 und höher verfügen über ein Feature namens ADK [Additional
Decryption Key]. Damit wird etwa sichergestellt, dass auch ein
Vorgesetzter Zugriff auf die verschlüsselte Kommunikation einer
Arbeitsgruppe hat. Phil Zimmermann, der Erfinder des Programms, hat
noch am Donnerstag diesen "bedeutsamen Fehler" bedauert und rasche
Abhilfe versprochen.
Die Erklärung Phil Zimmermanns... wird nicht mehr überprüft
Die Sicherheitsmaßnahme, dass der Eigentümer des betreffenden Schlüssels jeden zusätzlich darangehängten Key durch eine digitale Signatur absegnen muss, greift ganz offensichtlich nicht. Der Zusatzschlüssel wird in Folge nämlich nicht mehr auf seine Legitimität überprüft.
Im übertragenen Sinn: Gelingt es einem Angreifer, seinen eigenen Schlüssel einmal in den "Schlüsselbund" einer Gruppe einzuschmuggeln, liest er fortan jede Botschaft im Klartext mit.
Während alle brachialen Knackmethoden [brute force attacks] angesichts der von PGP verwendeten Algorithmen bis dato fruchtlos waren, eröffnet diese mit vergleichsweise geringen Mitteln zu öffnende Hintertür den Zugriff auf die gesamte verschlüsselte Kommunikation der Vorstandsetage einer Bank oder eines Ministeriums.
Ein Programmierer aus DE
Entdeckt und für alle Hardcores, denen Begriffe wie "key
fingerprints" oder "hashfunctions" etwas sagen, genau beschrieben
hat das Sicherheitsloch
Ralf SenderekDas "Computer Emergency Response Team" [CERT] der Carnegie Mellon University hat mit einem seiner
nicht gerade häufigen "Advisories" reagiert."Keine Strohmänner der NSA"
"Wie kommt es, Mr Larson, dass Ihr Unternehmen einerseits große Geschäfte mit US-Regierungsstellen und Geheimdiensten macht, andererseits durch den freien Vertrieb des hochsicheren Kryptographieprogrammes Pretty Good Privacy direkt gegen die Interessen dieser Dienste verstößt?"
"Wir sind keine Strohmänner der NSA", antwortete Bill Larson, CEO des PGP-Eigentümers Network Associates International [NAI], darauf.
Das Interview