Patch für PGP-Sicherheitsloch angekündigt (Update)

Am gestrigen Donnertag wurde bekannt, dass bei allen PGP-Versionen ab 5.5 die Möglichkeit besteht, unbemerkt vom Anwender öffentliche Schlüssel so zu manipulieren, dass auch der Angreifer die versandte E-Mail entschlüsseln kann. NAI/PGP Security hat in einer Stellungnahme von Phil Zimmermann ein Update für alle PGP-Versionen angekündigt, das "so schnell wie möglich" zur Verfügung stehen soll. Zudem sei der Key-Server von NAI/PGP (ldap://certserver.pgp.com) seit heute Nacht europäischer Zeit mit einem Patch versehen, sodass von dort heruntergeladene Schlüssel unbedenklich seien.

Das Sicherheitsloch war in der Funktion neuerer PGP-Versionen entdeckt worden, die das Anlegen von Additional Decryption Keys (ADK) ermöglicht. Versierte Hacker können für den Anwender unbemerkt einen solchen ADK in den öffentlichen Schlüssel einfügen, sodass sie bei Zugriff auf die E-Mail diese als Klartext lesen können. Die Möglichkeit eines solchen Angriffs wurde laut der Nachrichtenagentur AP von NAI-Präsident Mike Wallach als "ziemlich esoterisch" bezeichnet. Hinzu kommt, dass zwar ein Angreifer die Nachricht entschlüsseln kann, aber immer noch zuerst in ihren Besitz kommen muß. Für private Anwender besteht also in der Regel keine direkte Gefahr.

Praktisch alle neueren PGP-Versionen gelten als potenziell gefährdet; auch Benutzer von GnuPG sind demnach insofern betroffen, als das Programm manipulierte Schlüssel nicht in jedem Fall erkennt. Auf der sicheren Seite sei man nur, wenn man die Version 2.6.x für DOS/Mac OS benutzt, die generell keine Schlüssel mit ADK verarbeiten kann. Davon abgesehen kann nur ein Vergleich des kompletten Public-Key-Blocks (nicht des Fingerprints) Gewissheit bringen, dass der Schlüssel gültig ist. (pmo)