Taeuschen echt aussehende falsche PGP-Keys

[Meillo]

Hoi,

heute bin ich auf eine erschreckende Sache gestossen. Ich habe einem Bekannten meine Key-ID gegeben (0xe5fda812). Dieser meinte darauf hin, dass mein Key revoked sei. Ich konnte das nicht glaube, und hab auf dem Keyserver nachgeschaut:
http://pgp.zdv.uni-mainz.de:11371/pks/l ... erprint=on
... und tatsaechlich, da steht ``revok''!

Weil ich es immer noch nicht glauben konnte, habe ich genauer nachgeschaut. In dieser Ansicht wird die Loesung des Raetsels einfacher ersichtlich:
http://pgp.zdv.uni-mainz.de:11371/pks/l ... erprint=on

Da hat jemand 2014-06-16 einen Key mit meiner UID erzeugt, der die gleiche Key-ID wie mein Key hat! Und nicht nur das, die ganzen Signaturen sind auf die gleiche Weise nachgebaut worden -- ein taeuschend echtes Parallel-WOT, sozusagen.

Man muss schon den Fingerprint anschauen, um den richtigen Key zu erkennen (oder das Erzeugungsdatum oder bei meinem alten DSA-Key das Verfahren, weil der Imitierte ist ein RSA-Key). Seit zwei Monaten sind die imitierten Keys zum Glueck revorked. Trotzdem! Das fuehrt einem erschreckend vor Augen, wie wichtig das Vergleichen der Fingerprints ist!


Dies mal als Information an euch.

Nun meine Frage: Hat jemand etwas zu der Sache mitbekommen? War das ein Proof of Concept? Wollte man damit ein Bewusstsein fuer das Problem schaffen? Ist dazu was veroeffentlicht worden? -- Ich meine, das ist ja schon 'ne grosse Nummer, aber ich hab nichts davon gehoert, bis ich nun selbst damit konfrontiert worden bin. -- Weiss jemand mehr?

[eggy]

http://www.heise.de/security/meldung/Ha ... 97175.html

[dufty2]

Mist, eggy war schneller

"Evil 32", ist vor einiger Zeit durch die (Fach-)presse gegeistert:
Die key id's sind halt zu kurz.

[am2]

Einmal Bruce Schneier, "Applied Cryptography" lesen. Verdammt Mathe-lastig, aber auch viel über vermeintliche Sicherheit, Mißtrauen, Spionage, etc... Danach sollte nichts mehr wundern, außer vllt. blauäugige, die Win 10 installieren... Ich hatte meine PGP-Keys noch nie auf einem Server.

[reox]

mh die keys auf einem server haben ist ja nicht wirklich schlimm? Der Public key darf und soll ja public sein.
Fingerprints vergleichen tu ich sowieso immer - sonst kannst die kommunikation ja gleich plaintext machen.

[Meillo]

Danke mal noch fuer die Antworten.

Ich fand es deshalb hart, weil ich davon nichts mitbekommen habe, obwohl ich mich an sich fuer das Thema interessiere.

Technisch schlimm ist die Sache vielleicht nicht, aber fuer die Sicherheit ist sie schon schlimm, weil bisher die allermeisten Menschen nur Key-IDs verwendet haben. Das hat auch ganz gut funktioniert (obwohl den meisten bewusst war, dass man da Kollisionen erzeugen kann). Nun hat sich die Welt insofern gewandelt, dass man keine Key-IDs mehr verwenden sollte, bzw. nur mit dem Fingerprint dazu. Das erfordert ein anderes Verhalten der User ... aber die haben -- wenn ich da mal von mir auf andere schliesse -- gar nicht mitbekommen, dass das jetzt notwendig ist.

Wir haben hier eine Art Heartbleed, der nicht als solcher wahrgenommen wird. Natuerlich haette davor auch allen klar sein koennen, dass OpenSSL ein kritisches Stueck Software ist, dem nicht genug Aufmerksamkeit gewidmet wird, aber keinen hat's interessiert, bis man mit den Folgen konfrontiert worden ist. Dann sind die Leute aufgewacht und wachsamer geworden. Bei PGP haette einem auch klar sein koennen, dass kurze Key-IDs nicht ausreichen, aber keinen hat's interessiert. Nun hat man die Folgen ... aber in diesem Fall aendert sich nichts ... weil man bekommt das Problem ja nicht mal mit. Haette das nicht auch einen Thread in jedem Computerforum ausloesen muessen? Haette nicht jeder PGP-User ab da wissen muessen, dass er fortan immer Fingerprints vergleichen muss? Haette nicht die Suche nach kurzen Key-IDs auf Keyservern angemessen um eine Infobox angereichert werden muessen? Mir kommt es so vor, wie wenn wir uns im PGP-Umfeld noch vor dem Aha-Erlebnis eines Heartbleeds befinden.

[reox]

Ich hab eigentlich von Anfang an "gelernt", immer den gesamten Fingerprint zu vergleichen. Bin auch schon so paranoid, dass ich die Ausdrucke meines Fingerprints mit denen auf meinem PC verglichen habe - könnte ja ne ganz fiese malware sowas manipulieren (wobei dann könnte sie mir ja auch nen falschen FP anzeigen...).
Eigentlich alle die in meinem Umfeld GPG verwenden, haben dazu die selbe Meinung. Vllt leb ich da aber auch nur in einer Blase...

Warum solche News nicht eingeschlagen sind versteh ich auch nicht. Vermutlich weil heute jede Sicherheitslücke mega gehyped wird und man schon sehr abgestumpft ist?

[KBDCALLS]

Läßt man sich lange Key-id anzeigen . Wirds etwas erträglicher. Die 32 bittige Key-id ist etwas kurz aber bei einer 64 bittigen Key-id stimmts schon nicht mehr.

• https://lkml.org/lkml/2016/8/15/445

Die letzten 32 Bit . bzw. 64 Bit sind bei einem korrekten Key identisch mit dem Fingerprint Beim Fake Keys sinds nur die letzen 32 Bit für die das zutrifft.

Code: Alles auswählen

gpg --fingerprint --keyid-format 0xlong

[Meillo]

Einen Fake-Key mit gleicher 32-Bit-ID haben sie in 4 Sekunden erzeugt. Bei 64-Bit-IDs braeuchte man dann (wenn ich mich nicht verrechnet habe) bei gleicher Rechenpower: 2^32 * 4s = ~ 560 Jahre. Das ist schon ein bisschen besser, selbst wenn man schnellere Rechner einkalkuliert.

Immer volle Fingerprints anzugeben ist halt etwas unhandlich. Klar, beim Signieren von Keys werde ich immer den ganzen Fingerprint vergleichen, aber wenn ich jemandem nur schreiben will, dass er sich meinen Key (0x....) vom Keyserver holen soll, dann konnte ich die Short-ID halt auswendig. Die 64-Bit-ID werde ich evtl. auch mal noch auswendig lernen (erfordert halt deutlich mehr Aufwand), den ganzen Fingerprint werde ich sicher nie auswendig koennen. Nun gut, so ist das halt ... aber es muss einem auch bewusst sein.