PGP-Nutzer, die ihren öffentlichen Schlüssel auf keyserver.pgp.com gespeichert haben, bekommen derzeit ungewöhnliche Mails: Der Absender "PGP Global Directory" informiert darüber, dass der eigene Schlüssel zum öffentlichen Verzeichnis hinzugefügt wurde und man bestätigen soll, dass die E-Mail-Adresse für diesen Schlüssel gültig ist. Dazu soll der Empfänger eine Webseite besuchen, die als Link in der Mail steht.
Obwohl vieles auf einen Phishing-Versuch deutet -- zumal die E-Mail nicht signiert ist --, handelt es sich um eine authentische Nachricht. Hintergrund ist die Einführung des PGP Global Directory, ein neues Front- und Backend für PGP-Schlüssel und -Server. Die neue Infrastruktur befindet sich noch in der Beta-Phase, aber auf den zugehörigen Keyserver keyserver-beta.pgp.com können bereits Schlüssel gespeichert werden. Offenbar erhält jeder Schlüsselbesitzer eine solche E-Mail, sobald sein Schlüssel dort hochgeladen wird. Das kann durchaus auch ohne Wissen des Besitzers passieren, wenn beispielsweise jemand seinen PGP-Keyring mit mehreren öffentlichen Schlüsseln überträgt.
Die PGP Corporation gab bislang keine offizielle Erklärung oder sonstige Hinweise zu den Mails heraus, bestätigte gegenüber heise Security aber die Echtheit der Mails. Auf der Webseite sind lediglich generelle Informationen zu PGP Global Directory zu finden, danach sollen diese Überprüfungs-Mails alle sechs Monate eintreffen -- in Zukunft hoffentlich signiert.
Quelle:heise Security
Cheers
@Jack:chrz:
