News 25.03.2009, 09:56 Uhr

PGP-Schlüssel im WWW veröffentlicht

Über PGP-Private-Keys werden Daten verschlüsselt. Dumm ist, wenn diese Schlüssel von jedem im Internet zu finden wären, denn dann ist die Sicherung umsonst. Hunderte Anwender machen diesen Fehler.
Das Verschlüsselungsprogramm PGP ist für Privatanwender kostenlos und deshalb vermutlich weit verbreitet. Doch viele Anwender führen das Sicherheitsverfahren ad absurdum, behauptet Compass Security. Gibt man bei Google eine bestimmte Textfolge (******* intext:“Begin PGP Private Key Block“) ein, dann serviert die Suchmaschine mehrere Hundert PGP-Private-Keys auf dem Silbertablett. Das passiert, wenn die Anwender ihren privaten Key aus Unwissenheit im Internet bekannt geben. Datendieben öffnen sie damit Tür und Tor.
So funktioniert das Prinzip der PGP-Verschlüsselung:
Der User besitzt einen Public und einen Private Key. Um Daten sicher austauschen zu können, wird zum Verschlüsseln der öffentliche Schlüssel benötigt, zum Entschlüsseln der private. Damit der Absender verschlüsseln kann, ist es sinnvoll, den Public Key ins Internet zu stellen. Der Private Key hingegen ist geheim und soll die Zugriffssicherheit gewährleisten. Wenn nun jemand beide Schlüssel auf seine Webseite legt, stellt dies eine gefährliche Sicherheitslücke dar, da so vertrauliche Daten entschlüsselt werden können. Um den Content zu dechiffrieren, wird zwar eine Passphrase benötigt, aber erfahrungsgemäss definieren die meisten User sehr einfache und damit leicht knackbare Passwörter.
Artikel drucken
Sandra Adlesgruber
Kommentare
Avatar
coceira
25.03.2009
ganz klar, bei denjenigen bei welchen der paranoialevel schon so hoch ist, das sie meinen ihr zeugs verschluesseln zu muessen um mehr sicherheit fuer die daten oder vor verfaelschungen zu erlangen gilt immer noch, auch bei einfachen dingen, die erste regel - RTFM :D
Avatar
BlackIceDefender
25.03.2009
ich hab mal die Google Suche mit dem im Artikel genannten Suchbegriff laufen lassen. Etwas über 1000 Resultate. Nicht so viel. Einige der PGP-Schluessel im resultat sind aus Diskussionsgruppen, wo Fehler diskutiert wurden und der Schluessel als Beispiel genannt wurde. Viele dieser Schlüssel sind also Entwicklerschlüssel, um Software zu testen. Allerdings gibt es auch solche, wo jemand ein Dokument nicht öffnen konnte und in einem Forum nach Hilfe suchte etc. Das ist zwar dumm, aber ein gut moderiertes Forum entfernt den Schlüssel, wie etwa auch E-Mail Addies entfernt werden - zum Schutz des Laien... Andere haben ihre Zertifikate ablaufen lassen und neue geholt. danach die alten öffentlich gepostet, um sicherzugehen, dass da niemand die als authentisch zu benutzen versucht.
Bitte loggen sie sich ein, um einen Kommentar zu verfassen.