Thunderbird ignoriert möglicherweise unsichere Eigenschaften von OpenPGP-Schlüsseln

Thunderbird Thunderbird Zuletzt aktualisiert:

Wenn Sie in Thunderbird die Details eines OpenPGP-Schlüssels anzeigen, sehen Sie möglicherweise die Warnung, dass der Schlüssel unsichere Eigenschaften enthält. Der Artikel beschreibt die Bedeutung dieser Warnung.

Bitte beachten Sie: Manche Anwendungen benutzen anstelle der Bezeichnung „geheimer Schlüssel“ auch den Begriff „privater Schlüssel“. Da Thunderbirds Benutzeroberfläche die Bezeichnung „geheimer Schlüssel“ verwendet, wird dies im gesamten Artikel einheitlich beibehalten. Das trifft auch dann zu, wenn sich allgemeine Textteile auf solche Anwendungen beziehen, die den Begriff „privater Schlüssel“ benutzen (ausgenommen, der Artikel beschreibt konkret jenen Teil der Benutzeroberfläche einer solchen Anwendung, die den Begriff „privater Schlüssel“ enthält).

Hintergrund

OpenPGP verwendet geheime und öffentliche Schlüssel, die Eigenschaften wie Benutzername, E-Mail-Adresse, zusätzliche Unterschlüssel, Informationen zu Gültigkeit und Ablauf usw. enthalten. Diese Eigenschaften eines Schlüssels beinhalten digitale Signaturen zum Beweis, dass sie tatsächlich vom Schlüsselbesitzer selbst hinzugefügt oder geändert wurden und nicht von einer anderen Person. Wenn z. B. ein Schlüsseleigentümer die Eigenschaft des Ablaufdatums eines OpenPGP-Schlüssels aktualisiert, wird durch diese Änderung dem OpenPGP-Schlüssel eine Signatur hinzugefügt.

Digitale Signaturen verwenden Verschlüsselungstechniken in Kombination mit mehreren Algorithmen, um einen Echtheitsnachweis zu erbringen, der nicht leicht zu fälschen ist. Da Computer im Laufe der Zeit immer leistungsfähiger wurden, gelten Algorithmen, die in der Vergangenheit als sicher angesehen wurden, heute möglicherweise nicht mehr als sicher. Beispielsweise wird der SHA-1-Hashing-Algorithmus nicht mehr empfohlen, da bestimmte Angriffe auf diesen Algorithmus möglich sind. Obwohl diese Empfehlung bereits vor mehreren Jahren ausgesprochen wurde, ist sie einigen Nutzern möglicherweise noch nicht bekannt und sie benutzen immer noch alte OpenPGP-Software oder Softwarekonfigurationen, die zur Verwendung von SHA-1 führen.

Thunderbird-Version 91.8.0

Die Thunderbird-Versionen 91.8.0 und 91.8.1 enthielten eine Änderung, um Signaturen mit unsicheren Algorithmen basierend auf dem Erstellungsdatum der Signatur abzulehnen. Signaturen, die den SHA-1-Algorithmus verwenden, werden deshalb abgelehnt, wenn sie nach Mitte Januar 2019 erstellt wurden.

Nach der Veröffentlichung der Thunderbird-Version 91.8.0 meldeten mehr Benutzer als erwartet, dass sie die betroffenen OpenPGP-Schlüssel nicht mehr verwenden konnten. Die Thunderbird-Entwickler analysierten daraufhin das Problem und stellten dabei fest, dass der SHA-1-Algorithmus an allen von den Nutzern gemeldeten Fällen beteiligt war.

Thunderbird 91.9.0

Um für den Übergang vom SHA-1-Algorithmus zu einem neueren, sichereren Algorithmus mehr Zeit zur Verfügung zu stellen, wurde die Thunderbird-Version 91.9.0 so geändert, dass sie weniger „streng“ ist als Version 91.8.0. In Version 91.9.0 funktionieren Signaturen, die den SHA-1-Algorithmus verwenden, wieder in OpenPGP-Schlüsseleigenschaften und für Schlüsselsperrsignaturen. Deshalb können betroffene Nutzer ihre Schlüssel mit Thunderbird verwenden, bis der SHA-1-Algorithmus in einer zukünftigen Version vollständig veraltet sein wird.

Andere unsichere Algorithmen wie MD5 werden jedoch weiterhin abgelehnt und auch der SHA-1-Algorithmus wird ebenfalls weiterhin für jene E-Mail-Signaturen abgelehnt, die nach Mitte Januar 2019 erstellt wurden.

Ablehnung des SHA-1-Algorithmus in einer zukünftigen Version von Thunderbird

Die Thunderbird-Entwickler beabsichtigen weiterhin, zukünftig die Verwendung des SHA-1-Algorithmus in OpenPGP-Schlüsseln vollständig abzulehnen. Allerdings wurde entschieden, dass zur Umstellung mehr Zeit benötigt wird, und dass Thunderbird einige Änderungen vornehmen sollte, um den Nutzern die erforderliche Umstellung zu erleichtern. Wenn Sie Ihre geheimen OpenPGP-Schlüssel mit Thunderbird verwalten, wird Ihnen eine zukünftige Version bei der Aktualisierung Ihrer Schlüssel helfen.

Andere Software

Andere OpenPGP-Software kann - basierend auf diesen unsicheren Eigenschaften – einen Schlüssel bereits jetzt oder in Zukunft ablehnen. Wenn Sie die Warnung für den öffentlichen Schlüssel einer Ihrer Kontakte sehen, sollten Sie diesen um Aktualisierung des Schlüssels bitten, damit der SHA-1-Algorithmus nicht mehr verwendet wird, oder zu einem neuen Schlüssel wechseln.

War der Artikel hilfreich?

Bitte warten…

Diese netten Menschen haben geholfen, diesen Artikel zu schreiben:

Illustration of hands

Mitmachen

Vergrößern und teilen Sie Ihr Fachwissen mit anderen. Beantworten Sie Fragen und verbessern Sie unsere Wissensdatenbank.

Weitere Informationen