NCSC waarschuwt voor dubbele pgp-sleutels op keyservers
Het Nationaal Cyber Security Center (NCSC) van de overheid heeft een waarschuwing voor dubbele pgp-sleutels afgegeven die op de keyservers zijn gepubliceerd en ervoor kunnen zorgen dat pgp-gebruikers versleutelde berichten niet kunnen lezen.
Om versleuteld te kunnen e-mailen wordt er gebruik gemaakt van een publieke en privésleutel. De afzender gebruikt de publieke sleutel van de ontvanger om het bericht te versleutelen. De ontvanger kan het bericht vervolgens met zijn privésleutel ontsleutelen en zo de inhoud lezen. Om het eenvoudiger te maken om deze publieke sleutels uit te wisselen werden keyservers bedacht. Een keyserver is een centrale plek waar mensen hun publieke sleutel opslaan en met iedereen kunnen delen die erom vraagt.
Recent zijn er dubbele pgp-sleutels op de keyservers gepubliceerd. Deze sleutels hebben dezelfde 'user-ID' (het e-mailadres) en 'key-ID' van andere sleutels. Het 'key-ID' wordt gevormd door de laatste 32 bits van de sleutel. Dit kan een probleem zijn voor mensen die versleuteld met elkaar willen e-mailen en de keyservers gebruiken om een publieke sleutel te vinden. Indien er gezocht wordt op het e-mailadres of het korte 'key-ID' kan de dubbele sleutel worden opgehaald. Deze methode is in 2014 gepubliceerd als de Evil32-aanval.
De onderzoekers van de Evil32-aanval hebben in 2014 een grote set dubbele sleutels gegenereerd en beschikbaar gesteld. Samen met SURFcert heeft het NCSC vastgesteld dat deze verzameling in juni naar de publieke keyservers is gestuurd. Het is volgens het NCSC onwaarschijnlijk dat deze dubbele sleutels van de keyservers verwijderd zullen worden. Wie van een keyserver een publieke sleutel downloadt wordt geacht na het binnenhalen van de sleutel te verifiëren of het om de echte sleutel gaat.
Als alleen gekeken wordt naar het 'key-ID', kan mogelijk een dubbele sleutel gebruikt worden voor het versleutelen van berichten. Wordt een bericht met deze dubbele pgp-sleutel versleuteld in plaats van de originele pgp-sleutel, dan zal de beoogde ontvanger het bericht niet kunnen ontsleutelen en lezen. De beschikbare verzameling dubbele pgp-sleutels bevat geen geheime sleutels. De dubbele sleutels kunnen dan ook niet direct door aanvallers worden gebruikt om berichten te ontsleutelen.
Maatregelen
Het NCSC adviseert om bij het toevoegen van nieuwe sleutels altijd de volledige fingerprint te controleren, bijvoorbeeld door deze telefonisch te verifiëren bij de eigenaar. Indien er een dubbele sleutel in omloop is kunnen derden deze gebruikt hebben. Hierdoor zijn e-mailberichten mogelijk onleesbaar omdat het ontsleutelen met de originele sleutel niet werkt. Gebruikers krijgen in dit geval het advies om de verzender de dubbele sleutel onbruikbaar te laten maken. Daarnaast wordt geopperd om een nieuwe pgp-sleutel te genereren als er een dubbele sleutel voor het e-mailadres in omloop is en de nieuwe fingerprint met alle contacten te delen.
[1] https://www.ncsc.nl/actueel/factsheets/gedupliceerde-pgp-sleutels.html
[1] https://www.ncsc.nl/actueel/factsheets/gedupliceerde-pgp-sleutels.html
[1] https://www.ncsc.nl/actueel/factsheets/gedupliceerde-pgp-sleutels.html
Uit ditzelfde stuk: "Het NCSC adviseert om bij het toevoegen van nieuwe sleutels altijd de volledige fingerprint te controleren, bijvoorbeeld door deze telefonisch te verifiëren bij de eigenaar."
De key-ID van een sleutel laat de laatste 8 getallen van de Fingerprint daarvan zien bijvoorbeeld (0xF0D5B1E5).
Nu heb ik de 64bits uitvoering van probeerversie PGP Symantec 10.30.MP3 geïnstalleerd, en gelet op de Fingerprint van de sleutel, is deze 64bits, maar de Key-ID is niet groter dan 8 getallen, en dat is dan 32bits.
De vraag is hoe krijg ik een 64bits Key-ID, of is dat niet mogelijk.
Als Henk en Ingrid geen analfabeten zijn dan kunnen ze lezen. Mensen die kunnen lezen kunnen handleidingen opzoeken en lezen.
Dankzij Henk en Ingrid hebben we nu berichtenboxen en online belastingaangifte, die HTTPS gebruiken, waar elke week wel weer een nieuw kritiek lek voor in het nieuws verschijnt. Websites zijn nooit ontworpen als privaat communicatiemiddel maar als publiek presentatiemiddel.
Bedankt Henk en Ingrid.
Maar goed, beetje gelijk heb je wel. Als de overheid eens pro actief zouden optreden zouden ze het een stuk toegankelijker kunnen maken.
Dus als ik een gesigneerde e-mail (met de nieuwe sleutel) van iemand ontvang die schrijft dat hij zijn oude sleutel niet meer gebruikt vanwege een duplicate key-ID, en mij verzoekt zijn oude sleutel aan mijn sleutelbos te vervangen door de nieuwe, dan moet ik dat gewoon doen?
Als je zonder verdere controle een willekeurige sleutel gaat gebruiken neem je bijna geen risico weg en kan je jezelf beter gaan bezinnen waarom je pgp wil gebruiken. Wat je op zijn minst zou moeten doen is vooraf bij de andere partij controleren of de sleutel werkelijk van die andere is. Liefst zo persoonlijk mogelijk, via een medium dat je genoeg kan vertrouwen.
De key-ID van een sleutel laat de laatste 8 getallen van de Fingerprint daarvan zien bijvoorbeeld (0xF0D5B1E5).
Nu heb ik de 64bits uitvoering van probeerversie PGP Symantec 10.30.MP3 geïnstalleerd, en gelet op de Fingerprint van de sleutel, is deze 64bits, maar de Key-ID is niet groter dan 8 getallen, en dat is dan 32bits.
De vraag is hoe krijg ik een 64bits Key-ID, of is dat niet mogelijk.
Met een zogenaamde 'DEADBEEF' aanval, worden net zolang nieuwe sleutelparen gemaakt tot deze de gewenste KeyID opleveren ('0xDEADBEEF' dus).. Dit was al bekend en mogelijk in de jaren negentig. Waarom het nu anders heet weet ik niet. Erg vervelend dat ze de keyservers met zulke sleutels hebben zitten vervuilen. (Niet dat ik een groot fan van keyservers ben, maar dit was onnodig).
Deze posting is gelocked. Reageren is niet meer mogelijk.
