Privater Schluessel entschluesselt und Widerrufszertifikat

Werner Koch wk at gnupg.org
Do Jan 7 15:11:07 CET 2010 

On Thu, 7 Jan 2010 11:50:14 +0100, Thomas Steinbach wrote:

> warum kann man den auf einem Keyserver veroeffentlicheten
> Schluessel nicht ohne Widerrufs-Zertifikat fuer ungueltig
> erklaeren. So lese ich das zumindest momentan aus diversen

Nun, dann könnte ja jeder kommen und jeden beliebige Key widerrufen.
Deswegen muss man ein Revocation Certificate haben.  Dieses sollte man
direkt nach der Erstellung des Keys erzeugen, ausdrucken und abheften.
Auf diese Weise kann man einen Key auch widerrufen obglich man seine
Passphrase verlegt hat.


> Hier koennte man doch gegenueber einer Zertifizierungsstelle
> auch nachweisen (Ausweis). (Z.B. auf der CeBIT an einem
> c't Krypto-Kampangnen Stand) dass man auch derjenige ist
> dem der Schluessel gehoert und man ja auch den Private Key
> besitzt.

OpenPGP ist normalerweise darauf ausgelegt dezentral zu arbeiten und
keine zentrale Instanz zu benötigen.  Allerdings gibt es es ein
Feature umd anderen keys zu erlauben seinen eigenen Key zu widerrufen
(Designated Revoker; "gpg --edit-key", "addrevoker").  Man muss das
aber vorher im Key verankert haben.

> Problem bei mir ist momentan dass ich vor ca. dreieinhalb Jahren
> mal eine Schluessel (andere email-Adresse) auf einen Keyserver
> geladen habe (mehr aus Neugierde, bin nach wie vor Newbie),

Damit bist Du in guter Gesellschaft. Ich würde mal schätzen das
mindestea eine Millionen Keys davon betroffen sind (PGP 6.x hatte
nämlich mal der Default neue Keys auf die Keyserver geladen).

> dieser IMHO aber a) wohl nicht mehr als sehr sicher gilt (1024
> bit DSA soweit ich das jetzt mit GPG Shell sehe) und b) ich den

Unsinn.  Die Frage ist was ist der Key Wert?  Kann man damit auch noch
in Zukunft Gewinne von mehreren Millionen Euro machen?  Falls ja,
sollte man sicherheitshalber mal einen stärkeren Key benutzen und den
alten verfallen lassen.

> damals fuer "verfaellt nie" erklaert habe und ich c) die Passphrase
> nicht mehr weiss. btw: mein alter Schluessel war self-signed.

und wie üblich ist kein Revocation Zertifikat vorhanden.

> Koennte ich dennoch auf diese email einen neuen Schluessel
> erstellen und veroeffentlichen?

Sicher.  Schau mal auf meinen Key: Es gibt mehrere Keys mit
wk at gnupg.org.

> Ich kann ja den alten (momentan) nicht fuer ungueltig erklaeren.
> Was passiert mit dem "alten", aber dann wohl noch gueltigen
> Schluessel?

Die meisten Frontends verlangen das ein Schlüssel ausgewahlt wird,
wenn keine eindeutig bestimmt werden kann.  gpg hat hier kein Policy
sondern nimmt was Du angibst (z.B. per Fingerprint)

> Was passiert mit den Schluesseln die zurueckgezogen worden
> sind? Werden diese dann irgendwann geloescht?

Nein.  Das geht nicht.  Sprich, welche Kopie des Schlüssels soll denn
gelöscht werden und wie oll man an all die Kopien auf private Platten
kommen.  Das Web vergisst nichts und Keyserver auch nicht.

> Wenn man auf einem Keyserver (z.B. http://keys.gnupg.net/)
> nach der MAD Figur "Alfred E. Neumann" sucht, sind
> dort drei Schluessel zu sehen. Welcher gilt denn nun und
> warum ist einer der Schluessel ohne Passphrase?
> Macht das ueberhaupt einen Sinn?

Da gibt es auch keys alpha at example.org und ich kann dir die Passphrase
verraten: "abc" .  Keine Ahnung ob da schon mal jemand eine Revocation
Zertifikat erstellt hat - ich glaueb nicht, kann es aber nicht sagen
da ich immer die Original Kopie zum Testen benuzten.

> btw2: Kann mir jemand hier Programme/DL-Links nennen
> mit denen man einen privaten key "knacken" kann, also die
> Passphrase herausbekommen kann? So wie ich als Laie das aus

Du verwechselst hier zwei Sachen:

 1. Der private Key (Secret Key in OpenPGP Sprechweise).
 2. Die Passphrase zum schüztenh des privaten Keys.

wenn du den private Key knacken kannst, bedeuted dies, aus dem
*öfffentlichen Key* den *privaten Key* zu errechnen.  Falls Dir das
bei einem 1024 Bit DSA Key gelingt, wirst Du mit Sicherheit die
nächsten Jahre über zu jeder Kryptokonferenz eingeladen - sofern Du
nicht schon in Fort Meade arbeitest.

Das Brechen der Passphrase ist nichts anderes als das Brechen eines
beliebigen anderen Passworts (die heutzutage ja auch oft aus mehreren
Wörtern bestehen dürfen).  Das hängt also von der Güte der Passphrase
ab.  Sofern es nicht ein wirklicher Zufallsstring ist, so ist es mit
Sicherheit einfacher als einen 1024 Bit DSA oder RSA Schlüssel zu
brechen.  Es gibt Programme die dies machen; ein wenig Suche sollte
ein paar aufzeigen.

> die 15/20 Zeichen maximal. Weiss aber nicht mehr ob das nur
> "reale" Worte waren  (vgl. Dictionary Attack). und ob ueberhaupt
> mit Leerzeichen.

Leerzeichen oder nicht ist eher uninteressant.  Die gesamte Entropie
der Passphrase ist was zählt; und ob es sich lohnr einen Dictionary
Attack aufzusetzen.  Es gibt jede Menge Abhandlungen zu der Starke von
Passphrases.



Salam-Shalom,

   Werner


-- 
Die Gedanken sind frei.  Ausnahmen regelt ein Bundesgesetz.