Auf öffentlichen PGP-Schlüssel-Servern sind zahlreiche gefälschte Schlüssel aufgetaucht, die die gleiche ID wie bereits existierende Schlüssel aufweisen. Unter anderem sind so gefälschte Keys von Linux-Entwicklern wie Linus Torvalds und Greg Kroah-Hartman in Umlauf gekommen. Auch für viele Heise-Mail-Adressen finden sich gefälschte Schlüssel auf den Keyservern. Deren Betreiber arbeiten jedoch bereits an vorbeugenden Maßnahmen.

Die geklonten Schlüsseln gleichen den echten (fast) wie ein Ei dem anderen: Name, E-Mail-Adresse und die ID sind identisch. Die ID sollte eigentlich eindeutig sein. Doch seit langem ist bekannt, dass dafür 32 Bit zu wenig sind. So haben Sicherheitsforscher bereits 2014 mit ihrem Tool Scallion Kollisionen provoziert; auf ihrer Webseite Evil 32 erläutern die Entwickler Eric Swanson und Richard Klafter, dass ein derartiger Klon-Vorgang lediglich vier Sekunden dauert.

Als Demonstration der Gefahr haben sie damit Schlüssel für über 50.000 PGP-IDs des sogenannten PGP Strong-Sets erstellt. In diesem befinden sich sehr gut vernetzte Schlüssel, deren Echtheit viele hochwertige Unterschriften bestätigen. Und genau diese Schlüssel hat jetzt offenbar ein Unbekannter auf die offiziellen PGP-Keyserver hochgeladen.

Falsche Unterschriften auf PGP-Schlüsseln

Die gefälschten Schlüssel sind deshalb besonders heimtückisch, weil sie sogar die gleichen Unterschriften tragen wie die Originale. Selbstverständlich sind diese Unterschriften ebenfalls gefälscht – und zwar mit den Klonen der Unterschreiber-Schlüssel. Der gefälschte Schlüssel der c't-Kryptokampagne etwa trägt über 100 solcher Klon-Unterschriften.

Derartige Klone kann man über den Fingerprint entlarven. Das Problem: Diese Fingerprints sind sehr lang, unhandlich und für die (menschliche) Kommunikation kaum geeignet. Als Kompromiss kann man für einfache Verwaltungsaufgaben auch die von PGP ebenfalls unterstützten langen IDs mit 64 Bit verwenden. So hat der gefälschte Schlüssel der c't-Kryptomapagne die ID 0x91944162daffb000 ; dies hingegen sind die Eckdaten des echten (die Sie übrigens absolut fälschungssicher auch im Impressum jeder c't-Ausgabe finden):

ct magazine CERTIFICATE <pgpCA@ct.heise.de>

32-Bit-ID: DAFF B000

64-Bit-ID: 2BAE 3CF6 DAFF B000

Fingerprint: A3B5 24C2 01A0 D0F2 355E 5D1F 2BAE 3CF6 DAFF B000

Bevor man einem Schlüssel vertraut, sollte man immer den kompletten Fingerprint checken; das ist zwar etwas Arbeit, schützt aber zuverlässig vor Fälschungen. Man findet ihn in den Eigenschaften des Schlüssels oder mit dem Kommandozeilenbefehl gpg --fingerprint

Fake-Schlüssel bereits ungültig

Um weiteren Missbrauch zu verhindern, haben die ursprünglichen Ersteller der Klon-Keys diese jetzt für ungültig erklärt. Swanson et al befinden sich offenbar noch im Besitz der geheimen Schlüssel, mit denen sie die dazu erforderlichen Widerrufs-Zertifikate ausstellen konnten. Außerdem haben die Betreiber der Keyserver dafür gesorgt, dass die Fake-Keys bei einer Suche nicht mehr auftauchen. (des)