Pretty Grave Problems
Akute und prinzipielle Probleme von PGP
Die Verschlüsselungs-Universallösung PGP steht schon lange in dem Ruf, unhandlich zu sein. Sie wird aber auch von konzeptionellen Schwächen geplagt, und nach aktuellen Angriffen mehren sich die Stimmen, man solle der Software grundsätzlich abschwören.
Anfang der 90er Jahren revolutionierte PGP die praktische Kryptografie. Seither schickt sich das Urgestein an, E-Mails sicher zu machen – mit nur bedingtem Erfolg. Zwar hat es eine relevante Nutzerbasis, aber die große Mehrheit aller Mails wird nach wie vor unverschlüsselt versendet. PGP sei zu unhandlich in seiner Benutzung und zu kompliziert in seinen Konzepten, hört man häufig als Begründung.
Seit Ende Juni steht genau eines dieser unhandlichen Konzepte unter Beschuss und ist womöglich nicht zu retten: Im Web of Trust (WOT), das PGP-Benutzer authentifizieren soll, wurden Schlüssel mit Spam auf nie dagewesene Größen aufgeblasen. Während die Schlüsselserver im WOT das noch handhaben konnten, wurde GnuPG dadurch bis zur Unbenutzbarkeit ausgebremst oder verweigerte den Dienst gleich ganz. GnuPG (GPG), die mit Abstand am weitesten verbreitete Implementierung des OpenPGP-Standards, war damit praktisch einer DOS-Attacke ausgesetzt.