Gefälschter PGP-Schlüssel

Published: Nov 12, 2020 by Jesper Zedlitz

Gestern bekam ich eine verschlüsslete E-Mail, die mir mein E-Mail-Programm nicht entschlüsseln wollte:

Meldung aus Thunderbird

Zunächst dachte ich an eine defekte Enigmail-Konfiguration durch ein Update. Andere verschlüsselte E-Mail ließen sich aber problemlos im Klartext anzeigen. Also habe ich mir die Fehlermeldung von Engimail genauer angesehen:

Enigmail Details

Da ich mir bestimmte Zahlenmuster gut merken kann, habe ich gleich geahnt, dass das nicht mein PGP-Schlüssel ist. Ein Aufruf von gpg -K zum Auflisten der privaten Schlüssel bestätigte die Vermutung:

sec   dsa1024 2002-01-27 [SC]
      B9DEA6206CAA4B3C14020E3E8D2C56E7CC8BC5D8
uid        [uneingeschränkt] Jesper Zedlitz <jesper@zedlitz.de>
uid        [uneingeschränkt] Jesper Zedlitz <jesper@zedlitz.net>
ssb   elg1024 2002-01-27 [E]

Um der Sache nachzugehen, habe ich mir den in der E-Mail verwendeten Schlüssel heruntergeladen und angesehen:

$ gpg --recv-keys 0xB2E494BE9F7AAC9B
gpg: Schlüssel 5F67F4BEAFEE3FC7: Öffentlicher Schlüssel "Jesper Zedlitz <jesper@zedlitz.de>" importiert
gpg: Anzahl insgesamt bearbeiteter Schlüssel: 1
gpg:               importiert: 1

$ gpg --fingerprint 0xB2E494BE9F7AAC9B
pub   rsa3072 2019-03-05 [SC] [verfallen: 2020-03-04]
      B5C4 9611 9FE3 F75F 72B5  39CC 5F67 F4BE AFEE 3FC7
uid        [ verfallen] Jesper Zedlitz <jesper@zedlitz.de>

Der Schlüssel ist tatsächlich auf meine E-Mail-Adresse ausgestellt, ist aber bereits abgelaufen. Vermutlich stammt der falsche Schlüssel aus dem Evil 32 Experiment, mit dem jemand Schabernack getrieben hat. Dummerweise liefern Keyserver bei der Frage nach jesper@zedlitz.de den gefälschten Schlüssel (obwohl er abgelaufen ist!) zuerst aus. Mein E-Mail-Partner hat offenbar ohne zu prüfen zugegriffen und so den falschen Schlüssel erwischt.

Wer mir eine verschlüsselte E-Mail schreiben möchte, sollte nur den im Impressum verlinkten PGP-Schlüsel verwenden.

Share