Cryptome PGP-Key kompromittiert?

Edit: Offenbar wirklich!

Edit: Auf den Keyservern ist der obige Schlüssel inzwischen revoked. Offenbar hat schon alles seine Richtigkeit.

Heise meldet soeben, dass der PGP-Schlüssel der Enthüllungsseite Cryptome kompromittiert sei. In der Tat findet man auf Cryptome einen entsprechenden Hinweis. Allerdings gibt es ein paar Merkwürdigkeiten, die man von einem „Crypto-Profi“ wie John Young erwarten würde:

  • Auf der Webseite befindet sich kein Revocation Certificate
  • Das Announcement gibt zwei Keys mit (unsicherer) kurzer Schlüssel-ID an
  • Auf zwei getesteten Keyservern 1 2 sind die Schlüssel ebenfalls noch nicht zurückgezogen.

Weitere Indizien:

  • Die merkwürdige Formatierung der Nachricht (Leerzeichen vor dem PGP-Header) lassen nicht auf übermäßige Sorgfalt schließen.
  • Die alten Keys wurden mit PGP Universal, einer Serverlösung, generiert. Wieso sollten nun die neuen mit PGP Desktop erzeugt worden sein?
  • Andererseit ist die Revocation auch auf Twitter angekündigt, ein vermeintlicher Angreifer hätte also nicht zur Zugriff auf die Webseite, sondern auch auf den Twitter-Feed.

So lange kein Revocation Ceritifcate vorliegt, wäre ich mit vorschnellen Schlüsseln vorsichtig - eine ebenso valide Möglichkeit ist, dass sich ein Unbekannter Zugang zur Webseite verschafft hat und nun Leute davon überzeugen will, den Schlüssel zu wechslen (um ab sofort Mails mitlesen zu können).

Umgekehrt wäre ich momentan vorsichtig, Dokumente von der Webseite herunterzuladen (vom Versenden von Nachrichten an den vermeintlichen neuen Schlüssel ganz abgesehen): Sollte jemand Zugriff auf die Seite haben, ist es natürlich möglich, Falschmeldungen zu platzieren oder vorhandene Dokumente mit Malware zu versehen.

Edit: Auf den Keyservern ist der obige Schlüssel inzwischen revoked. Offenbar hat schon alles seine Richtigkeit.

comments powered by Disqus