Bitte verbreiten Sie diese Information umgehend weiter. Untenstehend eine
genaue deutsche Begründung von Ralf Senderek. Eine noch genauere Begründung
mit sämtlichen Details (einschließlich Sourcecode) gibt es auf
http://senderek.de/security/key-experiments.html
Ich halte es für wirklich KEINE gute Idee, die neuen PGP Versionen zu verwenden,
da Sie damit sämtliche Privatsphäre opfern und den Überwachungsorganen
sämtliche wichtigen Nachrichten auf dem Silbertablett servieren. Soll das
die Aufgabe von PGP sein?
------------------
Neuer ist besser? - Die Versionen von PGP
Als PGP-5.0 1997 vorgestellt wurde, versprach diese neue Version alle
bisherigen Schwächen von PGP-2.6.x zu beseitigen und den Weg für eine breite
Nutzung starker Kryptographie insbesondere auf modernen, graphischen
Standard-Arbeitsplatzrechnern freizumachen. Obwohl ich glaube, dass die
Anwendung von PGP-2.6.x mit seinen Kommandozeilenoptionen keine
Ãœberforderung des verantwortungsbewussten, normalen Computeranwenders
darstellt, sind Verbesserungen der alltäglichen Handhabung des Programms und
insbesondere die Integration in verfügbare Standardanwendungen sicherlich zu
begrüßen, wenn für den Anwender jederzeit deutlich wird, was er gerade tut
und welche Konsequenzen dies hat. So wichtig diese Fragen der
Benutzerfreundlichkeit für die weitere Verbreitung von PGP auch sein mögen,
so möchte ich mich hier auf die Beurteilung der Sicherheit der neuen
Möglichkeiten von PGP-5.x konzentrieren, denn einige dieser
"Verbesserungen", die mit Blick auf die Anpassung von PGP an die
Erfordernisse einer modernen Informationstechnologie vorgenommen worden
sind, erweisen sich meines Erachtens als höchst zweifelhaft, wenn nicht
sogar als unvereinbar mit dem Ziel des Schutzes der Privatsphäre in
Computernetzen.
Erfreulicherweise ist PGP-5.x abwärtskompatibel, so dass alle RSA-Schlüssel,
die mit PGP-2.6.x erzeugt wurden, weiterhin gültig sind und so alle
signierten Dokumente überprüft bzw. alle verschlüsselten Nachrichten
entschlüsselt werden können. Die drei Verfahren RSA, IDEA und MD5 können in
PGP-5.x weiterhin angewendet werden. Darüberhinaus stellt PGP-5.x allerdings
einen neuen Schlüsseltyp zur Verfügung (d.h. genauer gesagt zwei Schlüssel,
einen für die Signatur (DSS) und einen für die Verschlüsselung
(DH/ElGamal)), der als Ersatz für die alten RSA-Schlüssel vorgesehen ist und
angeblich die neuesten Entwicklungen im Bereich der Kryptographie nutzbar
macht. In der neuen Version PGP-5.x ersetzt der Secure Hash Algorithmus
(SHA-1) mit 160-Bit Hashwerten die alte 128-Bit Hashfunktion MD5. Zur
Erzeugung digitaler Signaturen ersetzt der Digital Signature Algorithmus
(DSA) mit maximal 1024 Bit das RSA-Verfahren. Für die asymmetrische
Verschlüsselung der Session-Keys, für die bisher das RSA-Verfahren
eingesetzt wurde, wird nun eine Variante des ElGamal-Algorithmus
(Diffie/Hellman-Variante) mit maximal 4096-Bit Schlüsseln verwendet und für
die symmetrische Verschlüsselung stellt PGP-5.x neben IDEA auch noch die
Algorithmen CAST (128-Bit) und Triple-DES (168 Bit) zur Verfügung.
Damit stellt sich nun die Frage, wie die Sicherheit der neuen Verfahren
insbesondere DSA und ElGamal/Diffie-Hellman im Vergleich zu den bisherigen
Verfahren MD5 und RSA zu bewerten ist. Welche Aufgabe - analog zum
Faktorisierungsproblem bei RSA - ist von einem potentiellen Datenstrolch zu
leisten, um den Secret-Key zu erlangen?
Sowohl beim Digital Signature Algorithmus als auch beim ElGamal-Verfahren
gibt es eine Beziehung zwischen dem geheimen Schlüssel X und dem
öffentlichen Schlüssel Y:
Y = GX mod P
Die Basis G (Generator) und die Restwertbildung mit Hilfe der großen
Primzahl P sorgen dafür, dass aus der Kenntnis von Y praktisch kein
Rückschluss auf den geheimen Schlüssel X möglich ist. Ein potentieller
Datenstrolch müsste nämlich eine (Logarithmen-) Tabelle berechnen, in der
für eine große Anzahl von geheimen Schlüsseln X der jeweilige öffentliche
Schlüssel Y (mod P) berechnet wird, so dass umgekehrt zu einem gegebenen
Public-Key der zugehörige Secret-Key nachgeschlagen werden könnte.
Beim DSS (Digital Signature Standard) wird nun die Größe der verwendeten
Primzahl P auf 1024 Bit beschränkt, was im Vergleich zum RSA-Verfahren, bei
dem üblicherweise 1024-2048 Bit Modulzahlen verwendet werden, als
unbedeutende Einschränkung erscheint. Viel wichtiger aber ist für den
Datenstrolch, dass dieser Standard auch den Zahlenbereich für den Secret-Key
auf maximal 160-Bit einschränkt, denn so reicht es aus, einen relevanten
Teil dieses Zahlenbereichs von 0 bis 2160 zu untersuchen, wobei die Größe
der Primzahl P nur den Rechenaufwand pro Test steigert, aber nicht die Menge
der geheimen Schlüssel beeinflusst.
Der fragliche Zahlenbereich, aus dem der Secret-Key ausgewählt wird, ist
zwar immer noch sehr groß, aber es wäre ein Missverständnis, die Länge des
Secret-Keys mit der Länge des DSS-Schlüssels (der Länge der Primzahl) zu
verwechseln. Außerdem könnte eine Analyse des Zufallszahlengenerators, mit
dessen Hilfe die Secret-Keys erzeugt werden, Hinweise darauf geben, wie der
Bereich möglicher Secret-Keys weiter einzuschränken wäre. Ob bei der
Verschlüsselung mit Hilfe des ElGamal-Verfahrens auch eine Beschränkung der
Anzahl der Secret-Keys stattfindet, wäre eine lohnenswerte Untersuchung, die
für die Beurteilung der Sicherheit dieses Verfahrens relevant wäre.
Das neue Schlüssel-Format
Mit der Einführung der neuen DSS/DH-Schlüssel wurde auch das Format
geändert, in dem diese Schlüssel gespeichert werden. Dies wird auch sichtbar
in der Änderung des Dateinamens für die Schlüsselringe, die nun nicht mehr
pubring.pgp und secring.pgp sondern neuerdings pubring.pkr und secring.skr
heißen. In dieses neue Schlüsselformat ist in der kommerziellen Version
PGP-5.5 ein Datenbereich hinzugefügt worden, das CAF (Corporate Access
Field), das drastische Veränderungen mit sich bringt. Das CAF ist nämlich
dafür vorgesehen, einen zweiten Schlüssel, den Message-Recovery-Key der
Firma im Schlüsselzertifikat des Benutzers zu speichern, so dass bei der
Benutzung seines öffentlichen Schlüssels die vertrauliche Nachricht
automatisch ein zweites Mal mit dem Message-Recovery-Key verschlüsselt wird,
so dass damit der Zugriff der Firma auf den Inhalt der Nachricht
gewährleistet ist. Der Firmenschlüssel wird bei der Erzeugung des
Schlüsselpaars für den Benutzer durch einen Signaturprozess fest mit dem
öffentlichen Schlüssel des Benutzers verbunden, so dass immer gleichzeitig
beide Schlüssel, der öffentliche Schlüssel des Benutzers und der
Message-Recovery-Key der Firma verwendet wird, wenn jemand eine vertrauliche
Nachricht sendet. Aus diesem Grund wird auch dann, wenn ein Schlüssel über
einen Keyserver abgefragt wird, zusätzlich zum Schlüssel des Adressaten der
entsprechende Message-Recovery-Key mitübertragen. Mir ist nicht bekannt,
durch welchen Mechanismus hierbei verhindert werden kann, dass im Nachhinein
und ohne Zustimmung des Betroffenen ein anderer bzw. manipulierter
Message-Recovery-Key mit dem angeforderten öffentlichen Schlüssel verbunden
werden kann.
Es wäre falsch, diesen Mechanismus lediglich als einen"komfortablen Ersatz"
für die bereits existierende Möglichkeit der Verschlüsselung für
Benutzergruppen misszuverstehen. Denn während die Nutzung dieser Möglichkeit
"in einem Rutsch" eine vertrauliche Nachricht an verschiedene Personen zu
senden auf einer freiwilligen Entscheidung des Absenders beruht, ist die
Eintragung eines zweiten Schlüssels im Schlüsselzertifikat des Benutzers mit
der Abschaffung seiner Privatsphäre im Netz gleichzusetzen. So sehr auch
dieser Mechanismus den organisatorischen Bedürfnissen der Wirtschaft
entsprechen mag, so fundamental widerspricht diese zwangsweise Hinterlegung
einer für eine zentrale Aufsichtsbehörde lesbaren Kopie jeder vertraulichen
Nachricht den legitimen Interessen der Benutzer nach einem wirksamen Schutz
ihrer Privatsphäre und ihrer Persönlichkeit - und, wie ich meine, auch den
ursprünglichen Absichten des Projekts Pretty Good Privacy.
Die offensichtlichen Gefahren, die sich aus der Abschaffung der
Eigenverantwortlichkeit der Benutzer durch die Einführung dieses
zwangsweisen Ãœberwachungsmechanismus ergeben, werden v.a. dann wirksam, wenn
unter dem Deckmantel der kryptographischen"Innovation" ein neues
Schlüsselformat mit CAF schleichend eingeführt und anschließend im Rahmen
gesetzlicher Regulierungsbemühungen als legales Schlüsselformat sanktioniert
wird. Das legitime Interesse an Message-Recovery lässt sich nämlich auch auf
der Basis von Eigenverantwortlichkeit des Adressaten durch"encryption to
groups" lösen, ohne dass alle Absender von vertraulichen Nachrichten durch
den Entmündigungsschlüssel gezwungen werden, eine lesbare Kopie bei einer
zentralen Stelle zu hinterlegen. Wenn die Verantwortung für den sinnvollen
Einsatz kryptographischer Verfahren weiterhin von eigenverantwortlichen
Menschen wahrgenommen werden soll, ist es m. E. wesentlich, das alte
Schlüsselformat ohne CAF (PGP-2.6.x) nicht nur weiterhin zu verwenden,
sondern auch offensiv vor den drohenden Gefahren der neuen Möglichkeiten zu
warnen, um ihre unreflektierte, schleichende Einführung ohne eine
öffentliche Diskussion zu verhindern. Es ist zu hoffen, dass die Bemühungen
um die Entwicklung eines offenen Standards für PGP (OpenPGP) dazu führen
werden, dass eine Kopplung des öffentlichen Schlüssels eines Benutzers mit
weiteren Schlüsseln definitiv ausgeschlossen werden kann.
<center>
<HR>
</center> |