BSI: OpenPGP? Ja, nein, vielleicht

"Behörden dürfen ab sofort auch mit der Geheimhaltungsstufe VS-NfD eingestufte vertrauliche Inhalte unter Verwendung des OpenPGP-Standards verschlüsseln und austauschen", teilte das Bundesamt für Sicherheit in der Informationstechnik (BSI) am 7. Mai 2019 mit. Kurze Zeit später verschwand die Pressemitteilung wieder von der Webseite der Behörde - kommentarlos.

Marcus Brinkmann, wissenschaftlicher Mitarbeiter an der Ruhr-Universität Bochum und ehemaliger GnuPG-Entwickler, wollte wissen, was passiert ist, und stellte eine Anfrage nach dem Informationsfreiheitsgesetz (IFG). Aus den nach einigen Monaten vom BSI veröffentlichten Dokumenten geht hervor, dass OpenPGP bereits seit dem 31. Januar 2019 zum Austausch von eingestuften Informationen verwendet werden durfte - und nicht wie in der Pressemitteilung angegeben seit Mai. Kurz darauf nahm das BSI die Zulassung von OpenPGP jedoch komplett zurück.

Unzulänglichkeiten bei der Zulassung

Die Sicherheitsfirma Cryptovision wies das BSI Ende April - noch vor der Veröffentlichung der Pressemitteilung - auf "Auffälligkeiten" in dem Zulassungsdokument "Einsatz- und Betriebsbedingungen Gpg4 VS-NfD (Gpg4win und Gpg4KDE) Version 3.X" (BSI-VSA-10187) hin. Gpg4 unterstützt sowohl SMIME als auch OpenPGP. Beides erlaubte das BSI im Januar für die Übertragung von eingestuften Dokumenten und legte die Einsatzbedingungen fest, darunter die Mindestlänge der eingesetzten Schlüssel oder die Verwendung von Smartcards. Diese waren jedoch zum Teil widersprüchlich, wie die Sicherheitsfirma gegenüber dem BSI anmerkte.

Beispielsweise verweise das Zulassungsdokument einerseits darauf, dass die privaten Schlüssel auf einer Smartcard gespeichert werden müssten, andererseits beschreibe es den Einsatz von Smartcards als optional. Ohnehin dürfen nur vom BSI zugelassene Smartcards eingesetzt werden, die es bis dato nur für SMIME, nicht jedoch für OpenPGP gibt. Dabei wird auf der Smartcard sowieso nur der RSA-Schlüssel gespeichert, der sich bei SMIME und OpenPGP nicht unterscheidet. Warum es nur zugelassene Smartcards für SMIME gibt, bleibt daher unklar.

Die für SMIME aufgeführte Smartcard Telesec Netkey 3.0 unterstützt zudem nur Schlüssellängen bis 2.048 Bit, obwohl das BSI eine RSA-Schlüssellänge von 3.072 Bit fordert. Wir fragten das BSI, wie es dazu kommen konnte. Nach mehrmaligem Nachhaken erklärte uns Pressesprecher Tim Griese, dass die Zulassung "aufgrund eines Bürofehlers leider einige widersprüchliche Aussagen enthielt, die zu Irritationen bei den Bedarfsträgern geführt haben. Daher wurde auch die Pressemitteilung des BSI zurückgezogen".

Kein OpenPGP mehr

Im August erschien eine aktualisierte Fassung der Zulassung (BSI-VSA-10400). Diese schloss die Verwendung von OpenPGP für eingestufte Dokumente explizit aus. Zudem durfte SMIME nur noch mit Smartcards verwendet werden. Die Mindestlänge für RSA-Schlüssel ist aus dem Dokument verschwunden, wodurch die Smartcard von Telesec mit 2.048 Bit verwendet werden darf. Hintergrund des Verschwindens seien Probleme mit den SMIME-Zertifikaten der Bundesverwaltung gewesen, die standardmäßig eine Länge von 2.048 Bit verwendeten, teilte das BSI dem GnuPG-Entwickler Werner Koch mit.

"Technisch halte ich das auch für kein Problem, wenn man bedenkt, dass der weiterhin zugelassene Chiasmus ein sehr alter (symmetrischer) Algorithmus mit einer 64-Bit-Blocklänge ist (wie 3DES, Blowfish, CAST5)", erklärte Koch. Bereits 2013 war die Forderung laut geworden, die BSI-Entwicklung Chiasmus durch GnuPG zu ersetzen. Auch damals machte das BSI keine gute Figur und bedrohte einen Sicherheitsforscher, dem es gelungen war, eine Chiasmus-Implementierung im GSTool zu knacken.

Im Unterschied zu OpenPGP ist Chiasmus jedoch weiterhin für eingestufte Dokumente zugelassen. Doch die OpenPGP-Geschichte ist noch nicht zu Ende erzählt, wir erhielten Ende Dezember ein weiteres Dokument. Der Einsatz von OpenPGP wurde teilweise wieder erlaubt.