Sicherheitshinweis zur GnuPG-Sicherheitslücke: gpg4o bei Einsatz der aktuellen Standard-Schlüssellänge nicht gefährdet

Dreieich/Frankfurt am Main, 05. Juli 2017 – Am Dienstag den 04. Juli machten Meldungen zu einer Sicherheitslücke bei RSA-Schlüsseln die Runde. Demnach sind ältere Versionen der in GnuPG verbauten Kryptobibliothek Libgcrypt anfällig für eine Seitenkanalattacke (siehe beispielsweise Meldung hierzu bei Heise: www.heise.de/security/meldung/Seitenkanalangriff-RSA-Verschluesselung-der-GnuPG-Kryptobibliothek-geknackt-3762957.html). Dies betrifft vor allem Schlüssel mit einer Länge von lediglich 1024 Bit.

Da das Verschlüsselungs-Add-In gpg4o von Giegerich & Partner von Anbeginn 2048 Bit und seit der Version 3.2 (Mai 2013) sogar 4096 Bit als Standardeinstellung für Schlüssel vorschlägt, besteht für Anwender von gpg4o in der Regel keine Gefahr. Sofern Anwender bei der Erstellung eines Schlüsselpaares den Standardwert nicht auf einen unsicheren Wert von 1024 Bit gesetzt haben, sind sie also nicht von der Sicherheitslücke betroffen. Falls Anwender derzeit dennoch Schlüssel mit einem geringeren Wert einsetzen, sollten über die Schlüsselverwaltung die verwendeten Schlüssel umgehend zurückgezogen und ein neuer Schlüssel mit aktuellen Werten erstellt werden. Hilfestellung hierzu gibt es im gpg4o-Handbuch, das direkt im Programm unter gpg4o-Hilfe aufgerufen werden kann.

Sobald eine neue Version von GnuPG vorliegt, stellt Giegerich & Partner diese seinen Kunden zur Installation zur Verfügung. Als Konsequenz aus der Sicherheitslücke wird das Unternehmen zudem mittelfristig die Möglichkeit Schlüssel mit 1024 Bit zu erstellen in gpg4o deaktivieren, eine Erkennung solcher unsicherer Schlüssel ermöglichen und eine entsprechende Hilfestellung zur Lösung des Problems bieten.