Edit: Auf den Key­ser­vern ist der obige Schlüs­sel in­zwi­schen re­vo­ked. Of­fen­bar hat schon alles seine Rich­tig­keit.

Heise mel­det so­eben, dass der PGP-Schlüs­sel der Ent­hül­lungs­sei­te Cryp­to­me kom­pro­mit­tiert sei. In der Tat fin­det man auf Cryp­to­me einen ent­spre­chen­den Hin­weis. Al­ler­dings gibt es ein paar Merk­wür­dig­kei­ten, die man von einem „Cryp­to-Pro­fi“ wie John Young er­war­ten würde:

• Auf der Web­sei­te be­fin­det sich kein Re­vo­ca­ti­on Cer­ti­fi­ca­te
• Das An­noun­ce­ment gibt zwei Keys mit (un­si­che­rer) kur­zer Schlüs­sel-ID an
• Auf zwei ge­tes­te­ten Key­ser­vern 1 2 sind die Schlüs­sel eben­falls noch nicht zu­rück­ge­zo­gen.

Wei­te­re In­di­zi­en:

• Die merk­wür­di­ge For­ma­tie­rung der Nach­richt (Leer­zei­chen vor dem PGP-Hea­der) las­sen nicht auf über­mä­ßi­ge Sorg­falt schlie­ßen.
• Die alten Keys wur­den mit PGP Uni­ver­sal, einer Ser­ver­lö­sung, ge­ne­riert. Wieso soll­ten nun die neuen mit PGP Desk­top er­zeugt wor­den sein?
• An­de­rer­seit ist die Re­vo­ca­ti­on auch auf Twit­ter an­ge­kün­digt, ein ver­meint­li­cher An­grei­fer hätte also nicht zur Zu­griff auf die Web­sei­te, son­dern auch auf den Twit­ter-Feed.

So lange kein Re­vo­ca­ti­on Ce­ri­tif­ca­te vor­liegt, wäre ich mit vor­schnel­len Schlüs­seln vor­sich­tig - eine eben­so va­li­de Mög­lich­keit ist, dass sich ein Un­be­kann­ter Zu­gang zur Web­sei­te ver­schafft hat und nun Leute davon über­zeu­gen will, den Schlüs­sel zu wechs­len (um ab so­fort Mails mit­le­sen zu kön­nen).

Um­ge­kehrt wäre ich mo­men­tan vor­sich­tig, Do­ku­men­te von der Web­sei­te her­un­ter­zu­la­den (vom Ver­sen­den von Nach­rich­ten an den ver­meint­li­chen neuen Schlüs­sel ganz ab­ge­se­hen): Soll­te je­mand Zu­griff auf die Seite haben, ist es na­tür­lich mög­lich, Falsch­mel­dun­gen zu plat­zie­ren oder vor­han­de­ne Do­ku­men­te mit Mal­wa­re zu ver­se­hen.

Edit: Auf den Key­ser­vern ist der obige Schlüs­sel in­zwi­schen re­vo­ked. Of­fen­bar hat schon alles seine Rich­tig­keit.