Codesigning mit x509 sicherer als mit PGP

Die Bullshit-Meldung der Woche

Die Woche ist erst we­ni­ge Stun­den alt, aber ich wage zu be­haup­ten, dass ich guten Ge­wis­sens diese Slash­dot-Mel­dung als Bull­s­hit der Woche be­zeich­nen kann. Es sind auf PGP-Key­ser­vern of­fen­bar fal­sche Schlüs­sel für Ent­wick­ler an Tor und Bit­co­in auf­ge­taucht. Die Schlüs­sel wer­den von den Ent­wick­lern zum Si­gnie­ren ihrer Code-Re­lea­ses ge­nutzt. Der Ar­ti­kel spe­ku­liert, daß Nach­rich­ten­diens­te ver­su­chen könn­ten, auf diese Weise ma­ni­pu­lier­ten Code unter die Leute zu brin­gen – und daß ein Wech­sel von PGP auf x509 eine pro­ba­te Ge­gen­maß­nah­me wäre. Was für ein un­glaub­li­cher Bull­s­hit!

Mit dem Si­gnie­ren des Codes wer­den zwei Dinge be­zweckt: Zum einen wird be­stä­tigt, daß der Code tat­säch­lich vom Autor stammt (bzw. der Autor den Code­stand für in­te­ger hält), zum an­de­ren füh­ren Ver­än­de­run­gen des Code­pa­kets dazu, daß die Si­gna­tur un­gül­tig wird. Das dar­aus fol­gen­de Pro­blem ist, den ver­wen­de­ten Schlüs­sel ein­wand­frei dem Autor zu­zu­ord­nen. PGP folgt hier­bei dem Web-of-Trust-An­satz, wo­hin­ge­gen x509 eine Hier­ar­chie von Zer­ti­fi­zie­rungs­stel­len nutzt.

Ge­ra­de wenn es aber um die Angst vor ir­gend­wel­chen Re­gie­rungs­stel­len geht, eig­nen sich zen­tra­lis­ti­sche, hier­ar­chi­sche Struk­tu­ren wie bei x509 be­son­ders gut, un­be­merkt Ma­ni­pu­la­tio­nen vor­zu­neh­men: Es ge­nügt eben, an einer ein­zi­gen Stel­le auf ir­gend­ei­ne Weise – an­ge­fan­gen mit kom­pro­mit­tier­ter In­fra­struk­tur bei der CA über be­stech­li­che Mit­ar­bei­ter bis hin zu einer rich­ter­li­chen An­ord­nung – einen Zweit­schlüs­sel zu ge­ne­rie­ren. Das Web of Trust ist (bei kor­rek­ter Be­nut­zung) hier be­deu­tend re­sis­ten­ter gegen Än­de­run­gen. Ge­ra­de aus Sorge vor Ma­ni­pu­la­ti­on durch Re­gie­rungs­or­ga­ne sich in die Hände eines ein­zel­nen „star­ken Man­nes“ zu be­ge­ben ist aus­ge­spro­che­ner Blöd­sinn.

Eben­so falsch ist die Be­haup­tung, daß es zwar „plau­si­bel scheint, es dafür aber bis dato kei­ner­lei Be­wei­se“ für eine kom­pro­mit­tier­te CA gäbe. Hier seien ei­ni­ge Bei­spie­le ge­nannt, die Liste ist si­cher nicht voll­stän­dig:

Gro­ßar­tig ist die Nai­vi­tät des ab­schlie­ßen­den Ar­gu­ments des Ar­ti­kels: Fal­sche Zer­ti­fi­ka­te könn­ten bei einer CA ja wi­der­ru­fen wer­den, wo­hin­ge­gen man bei PGP außer Blog­posts nichts ma­chen könne. Das ist im Prin­zip rich­tig, läßt aber den Um­kehr­schluß außer acht: Eine CA kann auch das (ehe­mals) le­gi­ti­me Zer­ti­fi­kat eines Nut­zers wi­der­ru­fen und so die Fäl­schung per­fekt ma­chen.

Ver­trau­en in Kryp­to-Schlüs­sel ist ein kom­pli­zier­tes Pro­blem und kann nicht axio­ma­tisch her­ge­stellt wer­den. Sich aber aus die­sem Grund in die Hände zen­tra­li­sier­ter Stel­len zu be­ge­ben ist schlicht Bull­s­hit.