Verschlüsselte Kommunikation: Angriff auf PGP-Keyserver demonstriert hoffnungslose Situation

Inhaltsverzeichnis

Keyserver sind das Fundament der PGP-Infrastruktur. Über sie bekommt man die notwendigen Schlüssel, um mit Dritten verschlüsselt zu kommunizieren oder deren digitale Unterschriften zu prüfen, wenn man keinen direkten Draht zum Schlüsselbesitzer hat. Doch das von PGP-Enthusiasten betriebene SKS-Keyserver-Netz erlebt derzeit einen Angriff, der seinen weiteren Betrieb sehr grundsätzlich in Frage stellt.

Hintergrund ist ein seit vielen Jahren bekanntes aber nie gefixtes Problem: Die SKS-Keyserver lassen sich sehr einfach für Spam aller Art missbrauchen. Dazu muss der Spammer nur Schlüssel immer wieder signieren und auf einen der Server schieben. Robert J. Hansen erklärt das sehr anschaulich: "Stell dir vor, Dropbox erlaubt Tom, Dick und Harry nicht nur, beliebige Daten in deinem öffentlichen Dropbox-Ordner abzulegen, sondern macht es dir auch noch unmöglich, diesen Müll zu löschen."

Ursache Signatur-Spam

Konkret haben Unbekannte den Schlüssel von Hansen und Daniel Kahn Gillmor mit insgesamt weit über hunderttausend Signaturen versehen. Die Keyserver selbst kommen damit durchaus noch klar. Aber alle möglichen Programme wie GnuPG verschlucken sich an den Monster-Schlüsseln und werden unbenutzbar. Das ganze lässt sich jederzeit mit beliebigen anderen Schlüsseln wiederholen.

Die beiden zentral Betroffenen, selbst OpenPGP-Aktivisten des innersten Kreises, zeichnen ein überaus düsteres Bild der Situation: "Derzeit glaube ich nicht, dass sich das weltweite Keyserver-Netz retten lässt" bilanziert Hansen und empfiehlt sogar, in kritischen Umgebungen die Nutzung der SKS-Keyserver sofort einzustellen.

Unwartbare Server-Software

Dieser Fatalismus resultiert aus der schonungslosen Analyse einer offenbar hoffnungslos verfahrenen Situation: Das Grundproblem ist seit vielen Jahren bekannt und wurde trotzdem nie behoben. Denn es ist kein einzelner Bug sondern ein direktes Resultat des beabsichtigten Keyserver-Designs, das darauf ausgelegt ist, dass jeder Schlüssel veröffentlichen und diese dann niemand mehr löschen kann (nein, es ist keine Blockchain, aber ... ;). Sprich: Das Problem lässt sich nicht mit wenigen Patches beseitigen.

Hinzu kommt, dass der Kern der Software der "Synchronizing Key Server" (SKS) in einem sehr eigenwilligen Dialekt der exotischen Programmiersprache OCaml geschrieben ist. Sie wurde im Rahmen einer Doktorarbeit verfasst und wird nicht mehr gepflegt. Niemand in der Keyserver-Community traut sich zu, diesen Code ernsthaft zu überarbeiten. Hansen erklärt die komplizierte Gemengelage ausführlicher in seiner Zusammenfassung SKS Keyserver Network Under Attack.

Der Workaround

Ein kleiner Hoffnungsschimmer ist das erst vor einigen Wochen offiziell gestartete OpenPGP-Keyserver-Projekt. Das hat nämlich in weiser Voraussicht einen klaren Cut vollzogen und sich vom Design des Web of Trust verabschiedet. Der Server keys.openpgp.org speichert gar keine Signaturen von Dritten, was den Betreibern zunächst viel Kritik eingebracht hat, jetzt aber einen ersten Workaround ermöglicht.

Wer um seine eigene GPG-Konfiguration besorgt ist, kann das SKS-Keyserver-Netz durch den neuen OpenPGP-Keyserver ersetzen. Dazu muss man

1. in der Datei gpg.conf alle Einträge mit keyserver entfernen
2. am Ende der Datei dirmngr.conf den Eintrag
   keyserver hkps://keys.openpgp.org einfügen

Allerdings bringt das einige grundsätzliche Änderungen mit sich: Der OpenPGP-Keyserver liefert nur Schlüssel aus, deren Veröffentlichung der Inhaber der darin aufgeführten Mail-Adresse vorher zugestimmt hat. Man findet also nur einen Bruchteil aller PGP-Schlüssel dort. Und die Schlüssel tragen keine Signatur von Dritten – sind also nur über den einfachen E-Mail-Check des Servers einer Person oder Institution zugeordnet. Mehr Sicherheit bekommt man nur, indem man einen Schlüssel direkt mit dessen Eigentümer abgleicht. (ju)