PGP-Kryptokampagne vorläufig gestoppt

Die tschechischen Kryptologen Vlastimil Klima und Thomas Rosa haben ein Sicherheitsproblem in PGP gefunden. Klima und Rosa wollen im Laufe des Tages auf ihrer Web-Seite nähere technische Informationen über das Sicherheitsproblem veröffentlichen. Da derzeit nicht klar ist, ob existierende PGP-Keys in Zukunft noch verwendet werden können, hat c't die Erstellung und Zertifizierung von Schlüsseln im Rahmen der Kryptokampagne vorläufig gestoppt.

Das Problem beruht laut Klima und Rosa auf unzureichend gesicherten Informationen innerhalb des Private Key. Ein Angreifer kann ohne Kenntnis der Passphrase den verschlüsselt abgespeicherten Key so modifizieren, dass er anhand einer abgefangenen signierten Meldung den Private Key rekonstruieren kann. Das Problem ist mittlerweile Network Associates und Phil Zimmermann, dem Erfinder von PGP bekannt. Sie arbeiten bereits an einer Lösung des Problems; wenn klar wird, dass die bis zur Verfügbarkeit eines Patches erstellten Keys ohne Sicherheitsgefahren weiter benutzt werden können, wird c't die Kryptokampagne wieder aufnehmen. (hag)