Bild: Pixabay

"Sigspoof"-Schwäche existiert seit 1998 und betrifft viele beliebte Verschlüsselungstools

Wer möglichst anonym und privat kommunizieren will, der muss verschlüsseln. Eine Weisheit, die vor allem seit Edward Snowdens Enthüllungen rund um die Aktivitäten der NSA und anderer Geheimdienste. Eines der beliebtesten Verschlüsselungswerkzeuge ist PGP ("Pretty Good Privacy"). Es setzt auf ein paar aus öffentlichem und privatem Schlüssel, um den Inhalt von Nachrichten vor fremder Einsicht zu schützen.

Nun ist allerdings eine Schwachstelle aufgetaucht. Der "Sigspoof" genannte Bug ermöglicht es, auf einfache Weise die Signatur einer anderen Person zu "spoofen", also zu fälschen. Dafür reicht der für alle einsehbare öffentliche Key oder dessen ID aus. Der Fund hat potenziell große Bedeutung, denn das Leck existiert seit Jahrzehnten. Das bedeutet, dass zahlreiche Mails und andere Kommunikation, die PGP-verschlüsselt verschickt wurde, möglicherweise nicht authentisch ist. Auch Backups sind betroffen.