zurück zum Artikel

PGP-Schlüssel lassen sich prüfen

Jürgen Schmidt

Ein Angriff auf den geheimen PGP-Schlüssel führt zu ungültigen Signaturen.

Wie der Kryptologe Dr. Rüdiger Weis c't mitteilte, führen nach seinen Analysen die von Vlastimil Klima und Thomas Rosa beschriebenen Modifikationen an geheimen PGP-Keys [1] zu ungültigen Signaturen.

Wer also befürchtet, dass sein Schlüssel manipuliert worden sei, kann das relativ einfach überprüfen. Er erstellt dazu eine digital signierte Nachricht und überprüft die Echtheit seiner eigenen Unterschrift. Dazu kommt der Public Key zum Einsatz, dessen Integrität er anhand seiner Signaturen – zum Beispiel durch die c't Kryptokampagne – verifizieren kann. Ist der Public Key intakt und die digitale Unterschrift korrekt, darf man mit sehr hoher Wahrscheinlichkeit davon ausgehen, dass der Schlüssel nicht kompromittiert ist.

Um einem Angriff vorzubeugen, sollte man dafür sorgen, dass niemand Zugang zum geheimen Schlüssel erlangen kann. Dazu kann man diesen zum Beispiel auf eine Diskette kopieren, die man anschließend schreibschützt und sicher aufbewahrt. (ju [2])


URL dieses Artikels:
https://www.heise.de/-38810

Links in diesem Artikel:
[1] https://www.heise.de/news/PGP-Sicherheitsluecke-bestaetigt-Kryptokampagne-geht-weiter-38249.html
[2] mailto:ju@ct.de