Schwerwiegender Fehler in Verschlüsselungs-Software GnuPG

ElGamal-Signaturschlüssel, die unter der Kryptographie-Software GnuPG 1.0.2 und neuer erstellt wurden, sind kompromittierbar: In einem Advisory wird empfohlen, solche Schlüssel umgehend ungültig zu machen.

In Pocket speichern vorlesen Druckansicht 208 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Patrick Brauch

ElGamal-Signaturschlüssel, die unter der Kryptographie-Software GnuPG 1.0.2 und neuer erstellt wurden, sind kompromittierbar: Der Maintainer Werner Koch empfiehlt in einem Advisory, solche Schlüssel umgehend ungültig zu machen (revoke). Phong Q. Nguyen entdeckte den Fehler, durch den sich binnen weniger Minuten geheime ElGamal-Keys ermitteln lassen, wenn mit diesen eine Nachricht signiert wurde und diese dem Angreifer vorliegt.

Betroffen sind ElGamal-Schlüssel, die zum Signieren und Verschlüsseln erstellt wurden -- solche Schlüssel lassen sich allerdings standardmäßig nicht generieren, dazu muss GnuPG explizit im Expertenmodus (--expert) gestartet werden. Anfällige Schlüssel sind als type 20 gekennzeichnet. Der Typ kann mit dem Kommando

gpg --list-keys --with-colon

ermittelt werden. An vierter Stelle (getrennt durch einen Doppelpunkt) erkennt man anfällige Schlüssel an der "20":

pub:u:1024:20:64FCFAAF7BA7E949:2003-11-26:::u:beispiel ::escESC:

Koch empfiehlt, solche Schlüssel schnellstmöglichst mit einem revocation certificate ungültig zu machen.

Das Problem schlich sich offenbar Anfang 2000 ein, als der GnuPG-Code so verändert wurde, dass sich ElGamal-Schlüssel effizienter beim Verschlüsseln verhalten. Dies wirkte sich auch auf die Signatur aus; mit einem kryptographischen Angriff lässt sich dadurch der geheime Schlüssel aus einer Signatur extrahieren. Laut dem Advisory sind nur Schlüssel betroffen, die mit GnuPG 1.0.2 oder später erstellt wurden -- Koch empfiehlt dennoch, vorsichtshalber auch Schlüssel zu negieren, die mit älteren Versionen generiert wurden.

Etwas Verwirrung gab es indes um die Veröffentlichung des Advisories: Es tauchte am gestrigen Mittwoch in einer Newsgroup für Spiele auf. Koch hatte alle betroffenen Schlüsselinhaber über die Keyserver ausfindig gemacht und das Advisory an diese Adressaten gesandt. Eine Mail-Adresse davon fungierte jedoch als Relay-Bot: Alle an diese Adresse gerichteten Nachrichten wurden direkt an die Newsgroup weiterversandt. Da dieser Bot einen anfälligen ElGamal-Schlüssel auf dem Keyserver besitzt, wurde so das Advisory verfrüht veröffentlicht. Eigentlich wollte Werner Koch noch einige Tage mit der Veröffentlichung warten, damit die Betroffenen Nutzer Zeit haben, ihre Schlüssel ungültig zu machen. Aufgrund der unfreiwilligen Veröffentlichung hat Koch aber beschlossen, das Advisory schon heute morgen öffentlich herauszubringen.

Koch bietet einen Patch für das die aktuelle GnuPG-Version 1.2.3 an, der verhindert, dass man überhaupt Typ-20-Schlüssel erstellen kann; der Patch ist über den Download-Bereich von heise Security erhältlich. In der nächsten GnuPG-Version soll der Patch dann bereits enthalten sein. (pab)