Homepage C-Security Cyberspace CSpionage CTerror  Gefährdung Kriminalität  Computer Kommunikation  Systeme Mensch Information Mobiltelephon Ramson Emission Schwachstellen
 Quanten Forschung Fachberichte Wirtschafte Technik Netzee Kryptologiee Geheimdienste kyb.Waffen Bildung Supercomp. Standorte I-Satelliten Diverses C-Politik  Verschlüsselung
Schwachstellen Hardware Programme Software History Kommunikation IoT / Geräte Militär Netzwerke Handys Mensch Spionagetools Tools Industrie
MS Exchange Solar Winds RamsonFlicken
Schwach-stellen

Allgemeine Bemerkungen

NSA meldet neun Prozent der Zero-Day-Lücken nicht

 
Die größte Gefahr für Computer im Jahre 2016: Eine sieben Jahre alte Windows-Lücke


Zwei Millionen Schadprogramme 2016 enthüllt – Experten
WhatsApp Anfälligkeit zur israelischen Spyware installieren Benutzer aufgefordert, Upgrade

 
20 Jahre alter Fehler entdeckt: PGP-Signaturen ließen sich einfach fälschen

Hack-Brief: Intel behebt einem kritischen Fehler, die für die Dang 7Jahre verweilte



 
 
 
Standard

20 Jahre alter Fehler entdeckt: PGP-Signaturen ließen sich einfach fälschen

18. Juni 2018, 11:53
7 Postings



"Sigspoof"-Schwäche existiert seit 1998 und betrifft viele beliebte Verschlüsselungstools
Wer möglichst anonym und privat kommunizieren will, der muss verschlüsseln. Eine Weisheit, die vor allem seit Edward Snowdens Enthüllungen rund um die Aktivitäten der NSA und anderer Geheimdienste. Eines der beliebtesten Verschlüsselungswerkzeuge ist PGP ("Pretty Good Privacy"). Es setzt auf ein paar aus öffentlichem und privatem Schlüssel, um den Inhalt von Nachrichten vor fremder Einsicht zu schützen.
Nun ist allerdings eine Schwachstelle aufgetaucht. Der "Sigspoof" genannte Bug ermöglicht es, auf einfache Weise die Signatur einer anderen Person zu "spoofen", also zu fälschen. Dafür reicht der für alle einsehbare öffentliche Key oder dessen ID aus. Der Fund hat potenziell große Bedeutung, denn das Leck existiert seit Jahrzehnten. Das bedeutet, dass zahlreiche Mails und andere Kommunikation, die PGP-verschlüsselt verschickt wurde, möglicherweise nicht authentisch ist. Auch Backups sind betroffen.
Metadaten gaukeln echte Signatur vor
Der Spoof funktioniert, in dem Metadaten in einer verschlüsselten Botschaft so versteckt werden, dass das Empfängerprogram sie als Teil des Verifikationsprozesses für die Signatur versteht. Es handelt sich um Kommandos, die dem PGP-Werkzeug praktisch mitteilen, dass mit der Signatur alles okay ist und die Nachricht also vom angegebenen Absender stammt, ohne dass dies tatsächlich abgeglichen wurde, berichtet Ars Technica. Der Entdecker von Sigspoof, Marcus Brinkmann beschrieb gleich drei mögliche Angriffsvarianten.
Diese sind dann möglich, wenn in der jeweiligen Verschlüsselungssoftware eine Option namens "Verbose" gesetzt ist, die bei Fehlern oder "unerwartetem Verhalten" helfen soll. Dieses Feature ist nicht standardmäßig eingeschalten, jedoch wird häufig empfohlen, sie zu aktivieren.
In vielen Tools bereits behoben
Der Fehler existiert seit der Veröffentlichung von GnuPG 0.2.2 im Jahr 1998. Brinkmann informierte die Entwickler beliebter Verschlüsselungstools und wartete die Behebung des Fehlers ab, ehe er mit seiner Entdeckung an die Öffentlichkeit ging. Die aktuellen Versionen von GnuPG (2.2.8), Enigmail (2.0.7), Python GnuPG (0.4.3) und den GPGTools (2018.3) sind gegen Sigspoof abgesichert. Wer noch ältere Releases einsetzt, sollte schleunig updaten.
Brinkmann fand auch zwei weitere Schwachstellen. Eine davon ermöglicht das Spoofen auch ohne aktiviertem Verbose, betrifft aber nur Enigmail und wurde mit Version 2.0.7 ebenfalls gepatched. Ein weiterer betrifft die Signaturen von Konfigurationdateien und Skripten des Simple Password Store, der mit der Veröffentlichung von Pass 1.7.2 behoben wurde. (red, 18.06.2018)

https://derstandard.at/2000081781101/20-Jahre-alter-Fehler-entdeckt-PGP-Signaturen-liessen-sich-einfach