DefCon22: Aktuelle Probleme bei Verschlüsselung mit PGP

pgp-logoZu den größten Probleme bei allen Verschlüsselungssystemen gehört die Verwaltung der Schlüssel. Woher soll der Benutzer denn wissen, dass der Schlüssel des Kommunikationspartners echt ist?

Bei TLS und HTTPS sollen die Zertifzierungsstellen dafür sorgen – allerdings funktioniert dieses System alles andere als gut.

Dafür setzen PGP und dessen freies Pendant GnuPG stattdessen auf ein Web-of-Trust. Dabei kann man mit dem eigenen Schlüssel andere Schlüssel unterschreiben und dadurch bestätigen, dass der Schlüssel wirklich zu der entsprechenden Person gehört.

Hier ist das Problem, dass das Web-of-Trust für viele Anwender schwer verständlich ist und daher von den meisten nicht genutzt wird .

Ein weiteres Problem sind zu kurze IDs, denn PGP-Schlüssel werden über eine achtstellige Hexadezimalzahl identifiziert, das sind 32 Bit, zum Beispiel “KAX31L44”. Leider sind diese IDs so kurz, dass schon rein zufällig doppelte IDs auftauchen müssen. Dummerweise kann ein Angreifer auch gezielt einen neuen Schlüssel mit einer anderen ID erstellen.

Diese und weitere Probleme mit der PGP-Verschlüsselung vertieft ein Artikel bei Golem.

Über Klaus

Ich beschäftige mich schon seit 40 Jahren mit dem Internet. Meine Schwerpunkte sind Seitenerstellung, Programmierung, Analysen, Recherchen und Texte (auch Übersetzungen aus dem Englischen oder Niederländischen), Fotografie und ganz besonders die sozialen Aspekte der "Brave New World" oder in Merkel-Neusprech des "Neulands".
Dieser Beitrag wurde unter Internet, News, Programmierung, Sicherheit, Tipps und Tricks abgelegt und mit , , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.