Vorsicht vor gefälschten PGP-Schlüsseln
Wer mir eine OpenPGP-verschlüsselte E-Mail schicken will, sollte demnächst doppelt vorsichtig sein. Ich entdeckte heute, dass es zur Key-ID 0xEA3E4D61 zwei Schlüssel gibt. Einer der beiden wurde vermutlich automatisch erzeugt und gehört mir nicht! Der Fingerabdruck meines derzeitig aktiven Schlüssels ist:
pub 4096R/0x65B3F094EA3E4D61 2010-01-15 Schl.-Fingerabdruck = 60D8 5B8D 9A1C D2D1 355E BE9F 65B3 F094 EA3E 4D61 uid Jens Kubieziel <jens@kubieziel.de> uid Jens Kubieziel <jens@freie-re.de> uid Jens Kubieziel <kubieziel@gmx.de> uid Jens Kubieziel <lugjena@kubieziel.de> uid Jens Kubieziel <jens@torservers.net> sub 4096R/0x7A0A527D47FFDBE1 2010-01-15
Wenn ihr mir eine verschlüsselte E-Mail schicken wollt, vergleicht unbedingt die obige zweite Zeile. Im Allgemeinen empfiehlt es sich in der Konfigurationsdatei von GnuPG die Variable keyid-format 0xlong oder gleich long zu setzen. Die kurze Key-ID ist, wie oben zu sehen, leicht zu fälschen.
Update: Das Problem betrifft nicht nur mich. Auf Twitter war von mehreren Fällen zu lesen und auch die Kernel-Entwickler sind betroffen.