Das SKS-Netzwerk für OpenPGP-Schlüsselserver wird attackiert

22.07.2019 | Allgemein

Am 29. Juni wurde auf Github der Artikel „SKS Keyserver Network Under Attack“ (unter https://gist.github.com/rjhansen ) veröffentlicht, in dem auf Probleme mit böswillig „vergifteten“ OpenPGP-Schlüsseln hingewiesen wird, die auf SKS-Schlüsselservern abgelegt wurden. Der Import solcher vergifteten Schlüssel kann beim Import lokale gnupg-Schlüsselringe dermaßen beeinträchtigen, dass mit diesen nicht mehr gearbeitet werden kann. Um diese Probleme zu vermeiden, empfehlen wir die folgende Maßnahme:

Verwenden Sie in und mit gpg4o die aktuelle Version von GnuPG, 2.2.17. Sie können die GnuPG Version per Aktualisierung von GnuPG in gpg4o verwenden (einzeln erhältlich auch unter https://download.giepa.de/gnupg/gnupg-w32-2.2.17_20190709.exe).

Zusätzlich können Sie folgende Regeln beachten:
• Importieren Sie nur Schlüssel aus vertrauenswürdigen Quellen.
• Falls Sie momentan SKS- oder andere nicht vertrauenswürdige Schlüsselserver verwenden, deaktivieren bzw. löschen Sie die entsprechenden Einträge in ihrer Konfiguration.
• Führen Sie tägliche Datensicherungen ihrer Schlüssel durch.

Die tägliche Datensicherung kann bereits seit gpg4o v5.1 (5.1.18.8514, 11.07.2017) auf der Seite „Datensicherung und Wiederherstellung“ im Abschnitt „Automatische Sicherung der Schlüssel“ in den gpg4o-Einstellungen aktiviert werden.

Für Anwender von gpg4o existiert die Funktion der automatischen Sicherung, mit der irrtümlich vorgenommene Importe vergifteter Schlüssel rückgängig gemacht werden können. Details dazu finden sich im gpg4o-Handbuch ab Seite 70:
https://download.giepa.de/gpg4o/latest/release/Handbuch_gpg4o_DE.pdf

Kommentare

Ihr Kommentar

* Die markierten Felder sind Pflichtfelder. Bitte ausfüllen.

Kommentar *

Ich willige ein, dass die oben stehenden Daten zum genannten Zweck verarbeitet werden und habe das Recht, Ihre datenschutzrechtliche Einwilligungserklärung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Ich habe dazu die Datenschutzerklärung zur Kenntnis genommen.